La finalidad del Esquema Nacional de Seguridad es la creación de las medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos.
En este contexto se entiende por seguridad de las redes y de la información, la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Para dar cumplimiento a lo anterior se determinan las dimensiones de seguridad y sus niveles, la categoría de los sistemas, las medidas de seguridad adecuadas y la auditoría periódica de la seguridad.
La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas.
A fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, y de poder establecer la categoría del sistema, se tendrán en cuenta las siguientes dimensiones de la seguridad, que serán identificadas por sus correspondientes iniciales en mayúsculas:
Disponibilidad [D].
Autenticidad [A].
Integridad [I].
Confidencialidad [C].
Trazabilidad [T].
Una información o un servicio pueden verse afectados en una o más de sus dimensiones de seguridad. Cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles: BAJO, MEDIO o ALTO. Si una dimensión de seguridad no se ve afectada, no se adscribirá a ningún nivel.
Nivel BAJO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
Nivel MEDIO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
Nivel ALTO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
Perjuicio limitado | Perjuicio grave | Perjuicio muy grave |
|---|---|---|
-La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose. -El sufrimiento de un daño menor por los activos de la organización. -El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable. -Causar un perjuicio menor a algún individuo, que aun siendo molesto pueda ser fácilmente reparable. -Otros de naturaleza análoga. | -La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose. -El sufrimiento de un daño significativo por los activos de la organización. -El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable. -Causar un perjuicio significativo a algún individuo, de difícil reparación. -Otros de naturaleza análoga. | -La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose. -El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización. -El incumplimiento grave de alguna ley o regulación. -Causar un perjuicio grave a algún individuo, de difícil o imposible reparación. -Otros de naturaleza análoga. |
Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el nivel del sistema en cada dimensión será el mayor de los establecidos para cada información y cada servicio.
Se definen tres categorías: BÁSICA, MEDIA y ALTA.
Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.
Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
Las medidas de seguridad se dividen en tres grupos:
Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.
Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas
Para la selección de las medidas de seguridad se seguirán los pasos siguientes:
Identificación de los tipos de activos presentes.
Determinación de las dimensiones de seguridad relevantes.
Determinación del nivel correspondiente a cada dimensión de seguridad.
Determinación de la categoría del sistema.
Selección de las medidas de seguridad apropiadas de entre las contenidas en el siguiente punto.
La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el responsable de la seguridad del sistema.
La correspondencia entre los niveles de seguridad exigidos en cada dimensión y las medidas de seguridad, es la que se indica en la tabla siguiente:
DIMENSIONES | MEDIDAS DE SEGURIDAD | ||||
Afectadas | B (BAJO) | M (MEDIA) | A (ALTA) | org | Marco organizativo |
categoría | aplica | = | = | Política de seguridad | |
categoría | aplica | = | = | Normativa de seguridad | |
categoría | aplica | = | = | Procedimientos de seguridad | |
categoría | aplica | = | = | Proceso de autorización | |
|
|
|
| op | Marco operacional |
|
|
|
| Planificación | |
categoría | aplica | + | ++ | Análisis de riesgos | |
categoría | aplica | + | ++ | Arquitectura de seguridad | |
categoría | aplica | = | = | Adquisición de nuevos componentes | |
D | n.a. | aplica | = | Dimensionamiento / Gestión de capacidades | |
categoría | n.a. | n.a. | aplica | Componentes certificados | |
|
|
|
| Control de acceso | |
A T | aplica | = | = | Identificación | |
I C A T | aplica | = | = | Requisitos de acceso | |
I C A T | n.a. | aplica | = | Segregación de funciones y tareas | |
I C A T | aplica | = | = | Proceso de gestión de derechos de acceso | |
I C A T | aplica | + | ++ | Mecanismo de autenticación | |
I C A T | aplica | + | ++ | Acceso local (local logon) | |
I C A T | aplica | + | = | Acceso remoto (remote login) | |
|
|
|
| Explotación | |
categoría | aplica | = | = | Inventario de activos | |
categoría | aplica | = | = | Configuración de seguridad | |
categoría | n.a. | aplica | = | Gestión de la configuración | |
categoría | aplica | = | = | Mantenimiento | |
categoría | n.a. | aplica | = | Gestión de cambios | |
categoría | aplica | = | = | Protección frente a código dañino | |
categoría | n.a. | aplica | = | Gestión de incidentes | |
T | aplica | + | ++ | Registro de la actividad de los usuarios | |
categoría | n.a. | aplica | = | Registro de la gestión de incidentes | |
T | n.a. | n.a. | aplica | Protección de los registros de actividad | |
categoría | aplica | + | = | Protección de claves criptográficas | |
|
|
|
| Servicios externos | |
categoría | n.a. | aplica | = | Contratación y acuerdos de nivel de servicio | |
categoría | n.a. | aplica | = | Gestión diaria | |
D | n.a. | n.a. | aplica | Medios alternativos | |
|
|
|
| Continuidad del servicio | |
D | n.a. | aplica | = | Análisis de impacto | |
D | n.a. | n.a. | aplica | Plan de continuidad | |
D | n.a. | n.a. | aplica | Pruebas periódicas | |
|
|
|
| Monitorización del sistema | |
categoría | n.a. | aplica | = | Detección de intrusión | |
categoría | aplica | + | ++ | Sistema de métricas |
|
|
|
| mp | Medidas de protección |
|
|
|
| Protección de las instalaciones e infraestructuras | |
categoría | aplica | = | = | Áreas separadas y con control de acceso | |
categoría | aplica | = | = | Identificación de las personas | |
categoría | aplica | = | = | Acondicionamiento de los locales | |
D | aplica | + | = | Energía eléctrica | |
D | aplica | = | = | Protección frente a incendios | |
D | n.a. | aplica | = | Protección frente a inundaciones | |
categoría | aplica | = | = | Registro de entrada y salida de equipamiento | |
D | n.a. | n.a. | aplica | Instalaciones alternativas | |
|
|
|
| Gestión del personal | |
categoría | n.a. | aplica | = | Caracterización del puesto de trabajo | |
categoría | aplica | = | = | Deberes y obligaciones | |
categoría | aplica | = | = | Concienciación | |
categoría | aplica | = | = | Formación | |
D | n.a. | n.a. | aplica | Personal alternativo | |
|
|
|
| Protección de los equipos | |
categoría | aplica | + | = | Puesto de trabajo despejado | |
A | n.a. | aplica | + | Bloqueo de puesto de trabajo | |
categoría | aplica | = | + | Protección de equipos portátiles | |
D | n.a. | aplica | = | Medios alternativos | |
|
|
|
| Protección de las comunicaciones | |
categoría | aplica | = | + | Perímetro seguro | |
C | n.a. | aplica | + | Protección de la confidencialidad | |
I A | aplica | + | ++ | Protección de la autenticidad y de la integridad | |
categoría | n.a. | n.a. | aplica | Segregación de redes | |
D | n.a. | n.a. | aplica | Medios alternativos | |
|
|
|
| Protección de los soportes de información | |
C | aplica | = | = | Etiquetado | |
I C | n.a. | aplica | + | Criptografía | |
categoría | aplica | = | = | Custodia | |
categoría | aplica | = | = | Transporte | |
C | aplica | + | = | Borrado y destrucción | |
|
|
|
| Protección de las aplicaciones informáticas | |
categoría | n.a. | aplica | = | Desarrollo | |
categoría | aplica | + | ++ | Aceptación y puesta en servicio | |
|
|
|
| Protección de la información | |
categoría | aplica | = | = | Datos de carácter personal | |
C | aplica | + | = | Calificación de la información | |
C | n.a. | n.a. | aplica | Cifrado | |
I A | aplica | + | ++ | Firma electrónica | |
T | n.a. | n.a. | aplica | Sellos de tiempo | |
C | aplica | = | = | Limpieza de documentos | |
D | aplica | = | = | Copias de seguridad (backup) | |
|
|
|
| Protección de los servicios | |
categoría | aplica | = | = | Protección del correo electrónico | |
categoría | aplica | = | + | Protección de servicios y aplicaciones web | |
D | n.a. | aplica | + | Protección frente a la denegación de servicio | |
D | n.a. | n.a. | aplica | Medios alternativos |
Donde se emplean las siguientes convenciones:
Código Colores:
El color verde indica que una cierta medida se aplica en sistemas de categoría BÁSICA o superior;
el amarillo para indicar las medidas que empiezan a aplicarse en categoría MEDIA o superior;
el rojo para indicar las medidas que sólo son de aplicación en categoría ALTA.
Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algún nivel determinado se utiliza la voz ‘aplica’.
‘n.a.’ significa ‘no aplica’.
Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo ==.
Para indicar el incremento de exigencias graduado en función de del nivel de la dimensión de seguridad, se utilizan los signos "+" y "++".
Para indicar que una medida protege específicamente una cierta dimensión de seguridad, ésta se explicita mediante su inicial (Disponibilidad [D], Autenticidad [A], Integridad [I], Confidencialidad [C] y Trazabilidad [T]).
Los niveles de auditoría que se realizan a los sistemas de información, serán los siguientes:
Los sistemas de información de categoría BÁSICA, o inferior, no necesitarán realizar una auditoría. Bastará una autoevaluación realizada por el mismo personal que administra el sistema de información, o en quien éste delegue.
El resultado de la autoevaluación debe estar documentado, indicando si cada medida de seguridad está implantada y sujeta a revisión regular y las evidencias que sustentan la valoración anterior.
Los informes de autoevaluación serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
El informe de auditoría dictaminará sobre el grado de cumplimiento del ENS, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias, así como las recomendaciones que se consideren oportunas.
Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas.
Los informes de auditoría serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
En esta entrada se puede ver cómo cumple el ENS Plataforma: (Extracto) Adecuación a Esquema Nacional de Seguridad (ENS) de Plataforma
Activo. Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
Análisis de riesgos. Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
Auditoría de la seguridad. Revisión y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la política de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos.
Autenticidad. Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
Categoría de un sistema. Es un nivel, dentro de la escala Básica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios.
Confidencialidad. Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.
Disponibilidad. Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
Firma electrónica. Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
Gestión de incidentes. Plan de acción para atender a los incidentes que se den. Además de resolverlos debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas.
Gestión de riesgos. Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
Incidente de seguridad. Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información.
Integridad. Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.
Medidas de seguridad. Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación.
Política de firma electrónica. Conjunto de normas de seguridad, de organización, técnicas y legales para determinar cómo se generan, verifican y gestionan firmas electrónicas, incluyendo las características exigibles a los certificados de firma.
Política de seguridad. Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos.
Principios básicos de seguridad. Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios.
Proceso. Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.
Proceso de seguridad. Método que se sigue para alcanzar los objetivos de seguridad de la organización. El proceso se diseña para identificar, medir, gestionar y mantener bajo control los riesgos a que se enfrenta el sistema en materia de seguridad.
Requisitos mínimos de seguridad. Exigencias necesarias para asegurar la información y los servicios.
Riesgo. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.
Seguridad de las redes y de la información, es la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Servicios acreditados. Servicios prestados por un sistema con autorización concedida por la autoridad responsable, para tratar un tipo de información determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operación.
Sistema de gestión de la seguridad de la información (SGSI). Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.
Sistema de información. Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
Trazabilidad. Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.
Vulnerabilidad. Una debilidad que puede ser aprovechada por una amenaza.