Actualización del Esquema nacional de Seguridad

ensEn un post anterior comenté que estaba pendiente la publicación de la actualización del Esquema Nacional de Seguridad. Pues como podéis imaginar por el título de esta entrada, El Consejo de Ministros del pasado viernes 23 de octubre aprobó un Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, que modifica otro Real Decreto del 8 de enero de 2010.

Y como lo prometido es deuda y en ese post me comprometía a contaros las novedades o cambios, sirva éste para saldar mi deuda. Sobra decir que todo el mundo debería leer por lo menos una vez la actualización del ENS (N.d.E. quizá estás exagerando, Eva), pero para quien le de mucha mucha pereza, aquí les dejo un breve resumen…

Tal y como se indica en la página del CCN-Cert, el objeto de la norma entre otras cosas “es reforzar la protección de las Administraciones Públicas frente a las ciberamenazas”. De acuerdo a esto, con la reforma del ENS se pretende adecuar la normativa al marco regulatorio europeo en lo que se refiere a las transacciones electrónicas, en la que se han tenido en cuenta las experiencias adquiridas en la implantación del ENS desde su publicación en 2010. El plazo establecido para cumplir con lo dispuesto en la actualización del ENS es de 24 meses.

Veamos los cambios más destacables que se han introducido en la actualización del esquema.

  • El artículo 11 introduce que las AAPP “deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad”.
  • El artículo 15 indica que “las organizaciones que presten servicios de seguridad deberán contar con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados”. Se presenta la figura de los “profesionales cualificados”.
  • El artículo 18 modifica el título incluyendo la “contratación de servicios de seguridad”. Así mismo, en el primer punto se cambia la valoración positiva de los productos certificados a “se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición”, si bien existen ciertas salvedades. El punto 4 es nuevo totalmente y hace referencia a que la contratación de servicios de seguridad se deberá hacer según los apartados anteriores del artículo 18 y según lo mencionado en el artículo 15.
  • En el artículo 19 se simplifica el apartado a) y se elimina el hecho de que los sistemas no puedan alcanzar ninguna otra funcionalidad.
  • El artículo 24 introduce que deberán existir procedimientos para la gestión de incidentes, hasta el momento era suficiente con el registro de incidente, pero con la actualización del ENS se cita que los procedimientos de gestión de incidentes deberán cubrir los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de las actuaciones.
  • En el artículo 27 se añade que la declaración de aplicabilidad deberá estar firmada por el responsable de seguridad. Además se hace referencia a que las medidas a implantar dispuestas en el anexo II podrán ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor los riesgos sobre los activos. Esto va en línea con lo establecido en el RDLOPD en relación con las medidas de nivel alto (art. 111.2).
  • A continuación en el artículo 29, se cambia el título del artículo y se incluye en el título el concepto de las Instrucciones técnicas de seguridad indicando en el desarrollo del artículo que dichas instrucciones serán de obligado cumplimiento.
  • En el artículo 35 se indica que el CCN articulará los procedimientos necesarios para la recopilación y consolidación de la información referente al Informe de estado de la seguridad. En la misma línea de reporting, en el artículo 36 se indica que las AAPP notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de la información y servicios prestados, y en el artículo 37 se amplía la información que el CCN-CERT podrá recopilar para dar soporte a los incidentes que le sean notificados.

Pasamos ya a las disposiciones, donde también hay cambios significativos. Cito literalmente como han quedado:

  • Disposición adicional primera. Formación.
  • Disposición adicional segunda. Comité de Seguridad de la Información de las Administraciones Públicas.
  • Disposición adicional tercera. Modificación del Disposición adicional tercera. Modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre y
  • Disposición adicional cuarta. Desarrollo del Esquema Nacional de Seguridad.

Merece la pena destacar que en la Disposición Cuarta aparecen las instrucciones técnicas de obligado cumplimiento para las AAPP, y que se concretan en:

  • a) Informe del estado de la seguridad,
  • b) Notificación de incidentes de seguridad,
  • c) Auditoría de la seguridad,
  • d) Conformidad con el Esquema Nacional de Seguridad,
  • e) Adquisición de productos de seguridad,
  • f) Criptología de empleo en el Esquema Nacional de Seguridad,
  • g) Interconexión en el Esquema Nacional de Seguridad, y
  • h) Requisitos de seguridad en entornos externalizados.

A continuación, vemos que en la tabla de dimensiones/niveles/medidas de seguridad del ENS también ha habido algunos cambios, principalmente en relación con la aplicación de alguna medida en un nivel/dimensión que antes no aplicaba, y en la inclusión de mayores medidas de seguridad.

Por ejemplo, se amplían las medidas de seguridad para op.pl.2 Arquitectura de seguridad, op.exp.8 Registro de actividad de usuarios, op.mon.1 Detección de intrusiónmp.si.5 Borrado y destrucción, mp.info.9 Copias de seguridad  (backup).  Además hay un cambio bastante destacable, que es el cambio del término incidencias por incidentes, quedando op.exp.7 como Gestión de incidentes y op.exp.9 como Registro de la gestión de incidentes.

Por último, se incluye a los servicios en el Anexo 5, indicando que el licitador incluirá referencia precisa, documentada y acreditativa de que los productos de seguridad, servicios, equipos, sistemas, aplicaciones o sus componentes, cumplen con lo indicado en la medida op.pl.5 sobre componentes certificados.

Estos son los cambios principales, pero como parece evidente, mi recomendación es que los interesados se cojan el documento en cuestión y lo revisen ellos mismos. Como se puede ver, los cambios son relevantes pero no tan numerosos.

Para finalizar, dejo una noticia publicada recientemente en la que se indica que la nueva normativa para la reforma del funcionamiento de las Administraciones Públicas implanta una administración totalmente electrónica, interconectada, transparente y con una estructura clara y simple…