ENS (Esquema Nacional de Seguridad) y la Plataforma
IntroducciĆ³n
La finalidad del Esquema Nacional de Seguridad es la creaciĆ³n de las medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrĆ³nicos.
En este contexto se entiende por seguridad de las redes y de la informaciĆ³n, la capacidad de las redes o de los sistemas de informaciĆ³n de resistir, con un determinado nivel de confianza, los accidentes o acciones ilĆcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Para dar cumplimiento a lo anterior se determinan las dimensiones de seguridad y sus niveles, la categorĆa de los sistemas, las medidas de seguridad adecuadas y la auditorĆa periĆ³dica de la seguridad.
CategorĆas de los Sistemas
Dimensiones
La determinaciĆ³n de la categorĆa de un sistema se basa en la valoraciĆ³n del impacto que tendrĆa sobre la organizaciĆ³n un incidente que afectara a la seguridad de la informaciĆ³n o de los sistemas.
A fin de poder determinar el impacto que tendrĆa sobre la organizaciĆ³n un incidente que afectara a la seguridad de la informaciĆ³n o de los sistemas, y de poder establecer la categorĆa del sistema, se tendrĆ”n en cuenta las siguientes dimensiones de la seguridad, que serĆ”n identificadas por sus correspondientes iniciales en mayĆŗsculas:
Disponibilidad [D].
Autenticidad [A].
Integridad [I].
Confidencialidad [C].
Trazabilidad [T].
Niveles de una dimensiĆ³n de seguridad
Una informaciĆ³n o un servicio pueden verse afectados en una o mĆ”s de sus dimensiones de seguridad. Cada dimensiĆ³n de seguridad afectada se adscribirĆ” a uno de los siguientes niveles: BAJO, MEDIO o ALTO. Si una dimensiĆ³n de seguridad no se ve afectada, no se adscribirĆ” a ningĆŗn nivel.
Nivel BAJO. Se utilizarĆ” cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organizaciĆ³n, sobre sus activos o sobre los individuos afectados.
Nivel MEDIO. Se utilizarĆ” cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organizaciĆ³n, sobre sus activos o sobre los individuos afectados.
Nivel ALTO. Se utilizarĆ” cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organizaciĆ³n, sobre sus activos o sobre los individuos afectados.
Perjuicio limitado | Perjuicio grave | Perjuicio muy grave |
---|---|---|
-La reducciĆ³n de forma apreciable de la capacidad de la organizaciĆ³n para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeƱƔndose. -El sufrimiento de un daƱo menor por los activos de la organizaciĆ³n. -El incumplimiento formal de alguna ley o regulaciĆ³n, que tenga carĆ”cter de subsanable. -Causar un perjuicio menor a algĆŗn individuo, que aun siendo molesto pueda ser fĆ”cilmente reparable. -Otros de naturaleza anĆ”loga. | -La reducciĆ³n significativa la capacidad de la organizaciĆ³n para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeƱƔndose. -El sufrimiento de un daƱo significativo por los activos de la organizaciĆ³n. -El incumplimiento material de alguna ley o regulaciĆ³n, o el incumplimiento formal que no tenga carĆ”cter de subsanable. -Causar un perjuicio significativo a algĆŗn individuo, de difĆcil reparaciĆ³n. -Otros de naturaleza anĆ”loga. | -La anulaciĆ³n de la capacidad de la organizaciĆ³n para atender a alguna de sus obligaciones fundamentales y que Ć©stas sigan desempeƱƔndose. -El sufrimiento de un daƱo muy grave, e incluso irreparable, por los activos de la organizaciĆ³n. -El incumplimiento grave de alguna ley o regulaciĆ³n. -Causar un perjuicio grave a algĆŗn individuo, de difĆcil o imposible reparaciĆ³n. -Otros de naturaleza anĆ”loga. |
Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el nivel del sistema en cada dimensiĆ³n serĆ” el mayor de los establecidos para cada informaciĆ³n y cada servicio.
CategorĆa de un Sistema de InformaciĆ³n
Se definen tres categorĆas: BĆSICA, MEDIA y ALTA.
Un sistema de informaciĆ³n serĆ” de categorĆa ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
Un sistema de informaciĆ³n serĆ” de categorĆa MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.
Un sistema de informaciĆ³n serĆ” de categorĆa BĆSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
Medidas de Seguridad
Marcos de las Medidas
Las medidas de seguridad se dividen en tres grupos:
Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organizaciĆ³n global de la seguridad.
Marco operacional [op]. Formado por las medidas a tomar para proteger la operaciĆ³n del sistema como conjunto integral de componentes para un fin.
Medidas de protecciĆ³n [mp]. Se centran en proteger activos concretos, segĆŗn su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas
SelecciĆ³n de medidas de seguridad
Para la selecciĆ³n de las medidas de seguridad se seguirĆ”n los pasos siguientes:
IdentificaciĆ³n de los tipos de activos presentes.
DeterminaciĆ³n de las dimensiones de seguridad relevantes.
DeterminaciĆ³n del nivel correspondiente a cada dimensiĆ³n de seguridad.
DeterminaciĆ³n de la categorĆa del sistema.
SelecciĆ³n de las medidas de seguridad apropiadas de entre las contenidas en el siguiente punto.
La relaciĆ³n de medidas seleccionadas se formalizarĆ” en un documento denominado DeclaraciĆ³n de Aplicabilidad, firmado por el responsable de la seguridad del sistema.
Tabla PolĆticas Seguridad
La correspondencia entre los niveles de seguridad exigidos en cada dimensiĆ³n y las medidas de seguridad, es la que se indica en la tabla siguiente:
|
|
|
| op | Marco operacional |
|
|
|
| PlanificaciĆ³n | |
categorĆa | aplica | + | ++ | AnĆ”lisis de riesgos | |
categorĆa | aplica | + | ++ | Arquitectura de seguridad | |
categorĆa | aplica | = | = | AdquisiciĆ³n de nuevos componentes | |
D | n.a. | aplica | = | Dimensionamiento / GestiĆ³n de capacidades | |
categorĆa | n.a. | n.a. | aplica | Componentes certificados | |
|
|
|
| Control de acceso | |
A T | aplica | = | = | IdentificaciĆ³n | |
I C A T | aplica | = | = | Requisitos de acceso | |
I C A T | n.a. | aplica | = | SegregaciĆ³n de funciones y tareas | |
I C A T | aplica | = | = | Proceso de gestiĆ³n de derechos de acceso | |
I C A T | aplica | + | ++ | Mecanismo de autenticaciĆ³n | |
I C A T | aplica | + | ++ | Acceso local (local logon) | |
I C A T | aplica | + | = | Acceso remoto (remote login) | |
|
|
|
| ExplotaciĆ³n | |
categorĆa | aplica | = | = | Inventario de activos | |
categorĆa | aplica | = | = | ConfiguraciĆ³n de seguridad | |
categorĆa | n.a. | aplica | = | GestiĆ³n de la configuraciĆ³n | |
categorĆa | aplica | = | = | Mantenimiento | |
categorĆa | n.a. | aplica | = | GestiĆ³n de cambios | |
categorĆa | aplica | = | = | ProtecciĆ³n frente a cĆ³digo daƱino | |
categorĆa | n.a. | aplica | = | GestiĆ³n de incidentes | |
T | aplica | + | ++ | Registro de la actividad de los usuarios | |
categorĆa | n.a. | aplica | = | Registro de la gestiĆ³n de incidentes | |
T | n.a. | n.a. | aplica | ProtecciĆ³n de los registros de actividad | |
categorĆa | aplica | + | = | ProtecciĆ³n de claves criptogrĆ”ficas | |
|
|
|
| Servicios externos | |
categorĆa | n.a. | aplica | = | ContrataciĆ³n y acuerdos de nivel de servicio | |
categorĆa | n.a. | aplica | = | GestiĆ³n diaria | |
D | n.a. | n.a. | aplica | Medios alternativos | |
|
|
|
| Continuidad del servicio | |
D | n.a. | aplica | = | AnƔlisis de impacto | |
D | n.a. | n.a. | aplica | Plan de continuidad | |
D | n.a. | n.a. | aplica | Pruebas periĆ³dicas | |
|
|
|
| MonitorizaciĆ³n del sistema | |
categorĆa | n.a. | aplica | = | DetecciĆ³n de intrusiĆ³n | |
categorĆa | aplica | + | ++ | Sistema de mĆ©tricas |
|
|
|
| mp | Medidas de protecciĆ³n |
|
|
|
| ProtecciĆ³n de las instalaciones e infraestructuras | |
categorĆa | aplica | = | = | Ćreas separadas y con control de acceso | |
categorĆa | aplica | = | = | IdentificaciĆ³n de las personas | |
categorĆa | aplica | = | = | Acondicionamiento de los locales | |
D | aplica | + | = | EnergĆa elĆ©ctrica | |
D | aplica | = | = | ProtecciĆ³n frente a incendios | |
D | n.a. | aplica | = | ProtecciĆ³n frente a inundaciones | |
categorĆa | aplica | = | = | Registro de entrada y salida de equipamiento | |
D | n.a. | n.a. | aplica | Instalaciones alternativas | |
|
|
|
| GestiĆ³n del personal | |
categorĆa | n.a. | aplica | = | CaracterizaciĆ³n del puesto de trabajo | |
categorĆa | aplica | = | = | Deberes y obligaciones | |
categorĆa | aplica | = | = | ConcienciaciĆ³n | |
categorĆa | aplica | = | = | FormaciĆ³n | |
D | n.a. | n.a. | aplica | Personal alternativo | |
|
|
|
| ProtecciĆ³n de los equipos | |
categorĆa | aplica | + | = | Puesto de trabajo despejado | |
A | n.a. | aplica | + | Bloqueo de puesto de trabajo | |
categorĆa | aplica | = | + | ProtecciĆ³n de equipos portĆ”tiles | |
D | n.a. | aplica | = | Medios alternativos | |
|
|
|
| ProtecciĆ³n de las comunicaciones | |
categorĆa | aplica | = | + | PerĆmetro seguro | |
C | n.a. | aplica | + | ProtecciĆ³n de la confidencialidad | |
I A | aplica | + | ++ | ProtecciĆ³n de la autenticidad y de la integridad | |
categorĆa | n.a. | n.a. | aplica | SegregaciĆ³n de redes | |
D | n.a. | n.a. | aplica | Medios alternativos | |
|
|
|
| ProtecciĆ³n de los soportes de informaciĆ³n | |
C | aplica | = | = | Etiquetado | |
I C | n.a. | aplica | + | CriptografĆa | |
categorĆa | aplica | = | = | Custodia | |
categorĆa | aplica | = | = | Transporte | |
C | aplica | + | = | Borrado y destrucciĆ³n | |
|
|
|
| ProtecciĆ³n de las aplicaciones informĆ”ticas | |
categorĆa | n.a. | aplica | = | Desarrollo | |
categorĆa | aplica | + | ++ | AceptaciĆ³n y puesta en servicio | |
|
|
|
| ProtecciĆ³n de la informaciĆ³n | |
categorĆa | aplica | = | = | Datos de carĆ”cter personal | |
C | aplica | + | = | CalificaciĆ³n de la informaciĆ³n | |
C | n.a. | n.a. | aplica | Cifrado | |
I A | aplica | + | ++ | Firma electrĆ³nica | |
T | n.a. | n.a. | aplica | Sellos de tiempo | |
C | aplica | = | = | Limpieza de documentos | |
D | aplica | = | = | Copias de seguridad (backup) | |
|
|
|
| ProtecciĆ³n de los servicios | |
categorĆa | aplica | = | = | ProtecciĆ³n del correo electrĆ³nico | |
categorĆa | aplica | = | + | ProtecciĆ³n de servicios y aplicaciones web | |
D | n.a. | aplica | + | ProtecciĆ³n frente a la denegaciĆ³n de servicio | |
D | n.a. | n.a. | aplica | Medios alternativos |
Donde se emplean las siguientes convenciones:
CĆ³digo Colores:
El color verde indica que una cierta medida se aplica en sistemas de categorĆa BĆSICA o superior;
el amarillo para indicar las medidas que empiezan a aplicarse en categorĆa MEDIA o superior;
el rojo para indicar las medidas que sĆ³lo son de aplicaciĆ³n en categorĆa ALTA.
Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algĆŗn nivel determinado se utiliza la voz āaplicaā.
ān.a.ā significa āno aplicaā.
Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo ==.
Para indicar el incremento de exigencias graduado en funciĆ³n de del nivel de la dimensiĆ³n de seguridad, se utilizan los signos "+" y "++".
Para indicar que una medida protege especĆficamente una cierta dimensiĆ³n de seguridad, Ć©sta se explicita mediante su inicial (Disponibilidad [D], Autenticidad [A], Integridad [I], Confidencialidad [C] y Trazabilidad [T]).
AuditorĆa de la Seguridad
Los niveles de auditorĆa que se realizan a los sistemas de informaciĆ³n, serĆ”n los siguientes:
AuditorĆa a sistemas de categorĆa BĆSICA
Los sistemas de informaciĆ³n de categorĆa BĆSICA, o inferior, no necesitarĆ”n realizar una auditorĆa. BastarĆ” una autoevaluaciĆ³n realizada por el mismo personal que administra el sistema de informaciĆ³n, o en quien Ć©ste delegue.
El resultado de la autoevaluaciĆ³n debe estar documentado, indicando si cada medida de seguridad estĆ” implantada y sujeta a revisiĆ³n regular y las evidencias que sustentan la valoraciĆ³n anterior.
Los informes de autoevaluaciĆ³n serĆ”n analizados por el responsable de seguridad competente, que elevarĆ” las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
AuditorĆa a sistemas de categorĆa MEDIA O ALTA
El informe de auditorĆa dictaminarĆ” sobre el grado de cumplimiento del ENS, identificarĆ” sus deficiencias y sugerirĆ” las posibles medidas correctoras o complementarias que sean necesarias, asĆ como las recomendaciones que se consideren oportunas.
DeberĆ”, igualmente, incluir los criterios metodolĆ³gicos de auditorĆa utilizados, el alcance y el objetivo de la auditorĆa, y los datos, hechos y observaciones en que se basen las conclusiones formuladas.
Los informes de auditorĆa serĆ”n analizados por el responsable de seguridad competente, que presentarĆ” sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
Cumplimiento del ENS en Plataforma
En esta entrada se puede ver cĆ³mo cumple el ENS Plataforma: (Extracto) AdecuaciĆ³n a Esquema Nacional de Seguridad (ENS) de Plataforma
Glosario
Activo. Componente o funcionalidad de un sistema de informaciĆ³n susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organizaciĆ³n. Incluye: informaciĆ³n, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos fĆsicos y recursos humanos.
AnĆ”lisis de riesgos. UtilizaciĆ³n sistemĆ”tica de la informaciĆ³n disponible para identificar peligros y estimar los riesgos.
AuditorĆa de la seguridad. RevisiĆ³n y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la polĆtica de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la polĆtica y de los procedimientos.
Autenticidad. Propiedad o caracterĆstica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
CategorĆa de un sistema. Es un nivel, dentro de la escala BĆ”sica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categorĆa del sistema recoge la visiĆ³n holĆstica del conjunto de activos como un todo armĆ³nico, orientado a la prestaciĆ³n de unos servicios.
Confidencialidad. Propiedad o caracterĆstica consistente en que la informaciĆ³n ni se pone a disposiciĆ³n, ni se revela a individuos, entidades o procesos no autorizados.
Disponibilidad. Propiedad o caracterĆstica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
Firma electrĆ³nica. Conjunto de datos en forma electrĆ³nica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificaciĆ³n del firmante.
GestiĆ³n de incidentes. Plan de acciĆ³n para atender a los incidentes que se den. AdemĆ”s de resolverlos debe incorporar medidas de desempeƱo que permitan conocer la calidad del sistema de protecciĆ³n y detectar tendencias antes de que se conviertan en grandes problemas.
GestiĆ³n de riesgos. Actividades coordinadas para dirigir y controlar una organizaciĆ³n con respecto a los riesgos.
Incidente de seguridad. Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de informaciĆ³n.
Integridad. Propiedad o caracterĆstica consistente en que el activo de informaciĆ³n no ha sido alterado de manera no autorizada.
Medidas de seguridad. Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de informaciĆ³n, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevenciĆ³n, de disuasiĆ³n, de protecciĆ³n, de detecciĆ³n y reacciĆ³n, o de recuperaciĆ³n.
PolĆtica de firma electrĆ³nica. Conjunto de normas de seguridad, de organizaciĆ³n, tĆ©cnicas y legales para determinar cĆ³mo se generan, verifican y gestionan firmas electrĆ³nicas, incluyendo las caracterĆsticas exigibles a los certificados de firma.
PolĆtica de seguridad. Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organizaciĆ³n gestiona y protege la informaciĆ³n y los servicios que considera crĆticos.
Principios bĆ”sicos de seguridad. Fundamentos que deben regir toda acciĆ³n orientada a asegurar la informaciĆ³n y los servicios.
Proceso. Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.
Proceso de seguridad. MĆ©todo que se sigue para alcanzar los objetivos de seguridad de la organizaciĆ³n. El proceso se diseƱa para identificar, medir, gestionar y mantener bajo control los riesgos a que se enfrenta el sistema en materia de seguridad.
Requisitos mĆnimos de seguridad. Exigencias necesarias para asegurar la informaciĆ³n y los servicios.
Riesgo. EstimaciĆ³n del grado de exposiciĆ³n a que una amenaza se materialice sobre uno o mĆ”s activos causando daƱos o perjuicios a la organizaciĆ³n.
Seguridad de las redes y de la informaciĆ³n, es la capacidad de las redes o de los sistemas de informaciĆ³n de resistir, con un determinado nivel de confianza, los accidentes o acciones ilĆcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Servicios acreditados. Servicios prestados por un sistema con autorizaciĆ³n concedida por la autoridad responsable, para tratar un tipo de informaciĆ³n determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operaciĆ³n.
Sistema de gestiĆ³n de la seguridad de la informaciĆ³n (SGSI). Sistema de gestiĆ³n que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la informaciĆ³n. El sistema de gestiĆ³n incluye la estructura organizativa, las polĆticas, las actividades de planificaciĆ³n, las responsabilidades, las prĆ”cticas, los procedimientos, los procesos y los recursos.
Sistema de informaciĆ³n. Conjunto organizado de recursos para que la informaciĆ³n se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposiciĆ³n, presentar o transmitir.
Trazabilidad. Propiedad o caracterĆstica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.
Vulnerabilidad. Una debilidad que puede ser aprovechada por una amenaza.