Skip to content

El Nuevo Esquema Nacional de Seguridad. A cargo de Mar Ibáñez

AD 71/2022

EL NUEVO ESQUEMA NACIONAL DE SEGURIDAD

RESUMEN

A raíz de los imparables avances de las nuevas tecnologías y paralelamente el aumento de las amenazas en el ciberespacio, la ciberseguridad se articula como un desafío cada vez mayor, por ello el Real Decreto 3/2010, de 8 de enero quedaba obsoleto para dar respuestas adecuadas en esta materia al sector público.

En tal sentido, y con la finalidad de ofrecer un nivel de seguridad suficiente, el pasado 3 de mayo se aprobó en el Consejo de ministros el Real Decreto 311/2022, de 3 de mayo por el que se regula el Esquema Nacional de Seguridad.

ABSTRACT

As a result of the unstoppable advances in new technologies and, in parallel, the increase of threats in cyberspace, cybersecurity is becoming an ever-greater challenge, which is why Royal Decree 3/2010 of January 8 became obsolete in order to provide adequate responses in this area to the public sector.

In this sense, and with the aim of offering a sufficient level of security, on May 3 the Council of Ministers approved Royal Decree 311/2022, of May 3, which regulates the National Security Scheme.

PALABRAS CLAVE

Ciberseguridad, amenazas, normativa, seguridad de la información, medios electrónicos, nuevas tecnologías.

Cybersecurity, threats, regulations, information security, electronic media, new technologies.

1.- Introducción al Esquema Nacional de Seguridad.

El Esquema Nacional de Seguridad (en adelante “ENS”), se articula con la finalidad de crear e implantar una política de seguridad para proteger la información en la utilización de medios electrónicos. Para su desarrollo, se establecen los pilares básicos y requisitos mínimos para garantizar que la información goza de un alto nivel de protección.

Esta norma va dirigida a las Administraciones Públicas que tendrán que implementar el ENS de forma obligatoria, así como a todas las entidades privadas que en régimen de concesión interactúen con las Administraciones Públicas y les presten sus servicios.

EL ENS, con la finalidad de ofrecer un sistema de seguridad adecuado al nivel de riesgo, se basa en los siguientes fundamentos de necesario cumplimiento por la entidad pública o privada que vaya a certificarse;

  • Los principios básicos que considerar en las decisiones en materia de seguridad.
  • Los requisitos mínimos que permitan una protección adecuada de la información.
  • El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.
  • Las comunicaciones electrónicas.
  • La auditoría de la seguridad.
  • La respuesta ante incidentes de seguridad.
  • La certificación de la seguridad.
  • La conformidad.

Para el cumplimiento de los estándares de seguridad y por ende, con los fundamentos que se han indicado, el propio ENS establece distintas medidas de seguridad, de forma más concreta, que se dividen en tres grandes grupos;

  1. El marco organizativo el cual se compone de medidas dirigidas a la organización general de la seguridad (como por ejemplo una política de seguridad, o procedimientos de seguridad)
  2. El marco operacional, que consiste en las medidas para proteger el sistema como conjunto integral (por ejemplo, la planificación, el control de accesos o la monitorización del sistema)
  3. Las medidas de protección, que, a diferencia de la anterior, se centran en activos muy concretos y que se adaptarán en función del nivel de seguridad que requiera cada uno de ellos (por ejemplo, la protección de equipos y de comunicaciones, la gestión de personal o la protección de la información)

Dada la necesidad de protección de la información en los sistemas electrónicos y en paralelo con el vertiginoso avance de las nuevas tecnologías, es necesario que este Esquema se encuentre actualizado con la finalidad de mantener estándares de seguridad adecuados. Por ello, se ha publicado su actualización el 3 de mayo de 2022, a través del Real Decreto 311/2022, el cual contiene novedades que es pertinente conocer, por lo que se procede a dar una explicación resumida de las modificaciones introducidas.

2.- Novedades del Esquema Nacional de Seguridad.

La actualización del ENS gira en torno a tres vectores principales;

  • Adaptar el ENS al marco normativo y al contexto estratégico existente para garantizar la seguridad en la administración digital.
  • Ajustar los requisitos del ENS para adaptarlo a la realidad de todos los colectivos o tipos de sistemas, para ello se incluye el concepto “perfil de cumplimiento específico” para lograr una adaptación más eficaz y ágil.
  • Dar respuesta temprana en ciberseguridad, reducir las vulnerabilidades y promover la vigilancia continua con la revisión de los principios básicos y requisitos mínimos.

Dentro de las novedades del ENS, se contempla la extensión del ámbito de aplicación, el cual en un principio se articulaba para proteger la información y los sistemas del sector público, y se amplía a aquellas entidades del sector privado que prestan servicios a las administraciones públicas, con el objetivo de minimizar los potenciales riesgos asociados a los sistemas de información como en caso de sufrir brechas de seguridad.

Para ello, las entidades privadas deberán contar con un punto de contacto de seguridad de la información con la entidad u organismo público al que presten el servicio (POC), que será el responsable de seguridad dentro de la entidad, manteniendo en todo momento la responsabilidad de la entidad pública.

Al mismo tiempo, una de las novedades fundamentales que se incluye es la modificación de los principios básicos y los requisitos mínimos, entre lo que destaca;

  • El principio anteriormente denominado como “prevención, reacción y recuperación”, pasa a ser “prevención, detección, respuesta y conservación” entendiendo que los términos respuesta y conservación sustituyen a los conceptos de recuperación y reacción.
  • Se introduce por primera vez el concepto de “vigilancia continua”, que permitirá la detección de actividades o comportamientos anómalos y su temprana respuesta, a través de una evaluación permanente del estado de los activos.
  • Respecto al concepto de “responsabilidades diferenciadas” se concretan los roles de los diferentes responsables, principalmente del responsable de sistemas de información y del responsable de seguridad.

Respecto a la política de seguridad y sus requisitos, contemplado en el Capítulo III del Real Decreto, se detallan los elementos principales que debe contener, quienes tienen la obligación de disponer esta política y los requisitos mínimos que debe cumplir. Dentro de estos requisitos mínimos se modifica el denominado “seguridad por defecto” por “mínimo privilegio” que representa el estado actual destacando que las funcionalidades de los sistemas deben configurarse de forma que sean las mínimas e imprescindibles para alcanzar los objetivos. A pesar de otras mejoras de los requisitos mínimos (pueden consultarse en el artículo 12 y siguientes del Real Decreto), se considera necesario mencionar el requisito de “protección de las instalaciones” que interrelaciona el cumplimiento del ENS con la protección de las infraestructuras críticas.

Respecto al cumplimiento de los requisitos mínimos de seguridad, se deja abierta la posibilidad de que una vez se hayan cumplido los mismos, el responsable de seguridad, teniendo en cuenta el estado de la tecnología, la naturaleza de la información tratada o los servicios prestados y los riesgos a los que están expuestos, podrá llevar a cabo una ampliación de las medidas de protección.

En el mismo Capítulo mencionado ut supra, se incluyen la diferenciación de roles de responsabilidad que deben integrarse en las entidades y que serán conocidos por todos los empleados (responsable de información, el responsable de servicio, el responsable de seguridad y el responsable del sistema), asimismo más adelante se contemplan los perfiles de cumplimiento específicos, así como la acreditación de entidades para implementar configuraciones seguras.

En materia de seguridad de sistemas: auditoría, informe e incidentes de seguridad, cabe destacar la “capacidad de respuesta a incidentes de seguridad de la información” donde se detalla, que la autoridad a la que la Administración Pública y otras entidades del sector público deberán notificar incidentes al CCN-CERT (Por sus siglas en inglés Computer Emergency Response Team) y por parte de las entidades del sector privado que prestan servicios al sector público, la notificación de los incidentes de seguridad se hará ante el INCIBE-CERT.  

Como respuesta, se contemplan las actuaciones por parte de la Secretaría General de Administración Digital y de las entidades a las que se ha notificado. No obstante, se indica igualmente otros actores como la Oficina de Coordinación de Ciberseguridad del Ministerio del Interior cuando un operador esencial que haya sido designado como operador crítico sufra un incidente; el ESPDEF-CERT del Mando Conjunto del Ciberespacio (MCCE) cuando un operador con incidencia en la Defensa Nacional sufra un incidente; la Intervención General de la Administración del Estado cuando se trate de un incidente de seguridad que afecte a un medio o servicio común bajo su ámbito de responsabilidad.

Para limitar la extensión de este articulo y dando la base de las principales novedades del ENS, no se puede omitir la modificación del Anexo II relativo a las medidas de seguridad, que se han actualizado tanto en el marco operacional como en las medidas de protección.

Se han incluido nuevas medidas relativas a la interconexión de sistemas, servicios en la nube, medios alternativos y vigilancia, se han reforzado medidas para la identificación, la gestión y configuración de la seguridad, el sistema de métricas o el registro de actividad, se han simplificado otras medidas como los sellos de tiempo o la protección de dispositivos portátiles y se han eliminado medidas como el recurso a personal alternativo o la protección de los registros de actividad (suplidos con otras medidas).

Para terminar, se contempla un plazo de veinticuatro meses para la adecuación al Esquema Nacional de Seguridad de los sistemas preexistentes a su entrada en vigor y los nuevos sistemas deberán adecuarse directamente al actual Real Decreto 311/2022, de 3 de mayo por el que se regula el Esquema Nacional de Seguridad.

Bibliografía utilizada:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

MAR IBÁÑEZ ARRIBAS

17 de junio de 2022


 

Mar Ibáñez, abogada especialista en protección de datos y nuevas tecnologías. Actualmente abogada en Bird & Bird.

Deja un comentario

A %d blogueros les gusta esto: