ENS (Esquema Nacional de Seguridad) y la Plataforma

Owned by Onesait Platform
Last updated: 15/09/22
9 min read

IntroducciĆ³n

La finalidad del Esquema Nacional de Seguridad es la creaciĆ³n de las medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrĆ³nicos.

En este contexto se entiende por seguridad de las redes y de la informaciĆ³n, la capacidad de las redes o de los sistemas de informaciĆ³n de resistir, con un determinado nivel de confianza, los accidentes o acciones ilĆ­citas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Para dar cumplimiento a lo anterior se determinan las dimensiones de seguridad y sus niveles, la categorĆ­a de los sistemas, las medidas de seguridad adecuadas y la auditorĆ­a periĆ³dica de la seguridad.

CategorĆ­as de los Sistemas

Dimensiones

La determinaciĆ³n de la categorĆ­a de un sistema se basa en la valoraciĆ³n del impacto que tendrĆ­a sobre la organizaciĆ³n un incidente que afectara a la seguridad de la informaciĆ³n o de los sistemas.

A fin de poder determinar el impacto que tendrĆ­a sobre la organizaciĆ³n un incidente que afectara a la seguridad de la informaciĆ³n o de los sistemas, y de poder establecer la categorĆ­a del sistema, se tendrĆ”n en cuenta las siguientes dimensiones de la seguridad, que serĆ”n identificadas por sus correspondientes iniciales en mayĆŗsculas:

  • Disponibilidad [D].

  • Autenticidad [A].

  • Integridad [I].

  • Confidencialidad [C].

  • Trazabilidad [T].

Niveles de una dimensiĆ³n de seguridad

Una informaciĆ³n o un servicio pueden verse afectados en una o mĆ”s de sus dimensiones de seguridad. Cada dimensiĆ³n de seguridad afectada se adscribirĆ” a uno de los siguientes niveles: BAJO, MEDIO o ALTO. Si una dimensiĆ³n de seguridad no se ve afectada, no se adscribirĆ” a ningĆŗn nivel.

  • Nivel BAJO. Se utilizarĆ” cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organizaciĆ³n, sobre sus activos o sobre los individuos afectados.

  • Nivel MEDIO. Se utilizarĆ” cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organizaciĆ³n, sobre sus activos o sobre los individuos afectados.

  • Nivel ALTO. Se utilizarĆ” cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organizaciĆ³n, sobre sus activos o sobre los individuos afectados.

 

Perjuicio limitado

Perjuicio grave

Perjuicio muy grave

Perjuicio limitado

Perjuicio grave

Perjuicio muy grave

-La reducciĆ³n de forma apreciable de la capacidad de la organizaciĆ³n para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeƱƔndose.

-El sufrimiento de un daƱo menor por los activos de la organizaciĆ³n.

-El incumplimiento formal de alguna ley o regulaciĆ³n, que tenga carĆ”cter de subsanable.

-Causar un perjuicio menor a algĆŗn individuo, que aun siendo molesto pueda ser fĆ”cilmente reparable.

-Otros de naturaleza anƔloga.

-La reducciĆ³n significativa la capacidad de la organizaciĆ³n para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeƱƔndose.

-El sufrimiento de un daƱo significativo por los activos de la organizaciĆ³n.

-El incumplimiento material de alguna ley o regulaciĆ³n, o el incumplimiento formal que no tenga carĆ”cter de subsanable.

-Causar un perjuicio significativo a algĆŗn individuo, de difĆ­cil reparaciĆ³n.

-Otros de naturaleza anƔloga.

-La anulaciĆ³n de la capacidad de la organizaciĆ³n para atender a alguna de sus obligaciones fundamentales y que Ć©stas sigan desempeƱƔndose.

-El sufrimiento de un daƱo muy grave, e incluso irreparable, por los activos de la organizaciĆ³n.

-El incumplimiento grave de alguna ley o regulaciĆ³n.

-Causar un perjuicio grave a algĆŗn individuo, de difĆ­cil o imposible reparaciĆ³n.

-Otros de naturaleza anƔloga.

Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el nivel del sistema en cada dimensiĆ³n serĆ” el mayor de los establecidos para cada informaciĆ³n y cada servicio.

CategorĆ­a de un Sistema de InformaciĆ³n

Se definen tres categorƭas: BƁSICA, MEDIA y ALTA.

  • Un sistema de informaciĆ³n serĆ” de categorĆ­a ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.

  • Un sistema de informaciĆ³n serĆ” de categorĆ­a MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.

  • Un sistema de informaciĆ³n serĆ” de categorĆ­a BƁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

Medidas de Seguridad

Marcos de las Medidas

Las medidas de seguridad se dividen en tres grupos:

  • Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organizaciĆ³n global de la seguridad.

  • Marco operacional [op]. Formado por las medidas a tomar para proteger la operaciĆ³n del sistema como conjunto integral de componentes para un fin.

  • Medidas de protecciĆ³n [mp]. Se centran en proteger activos concretos, segĆŗn su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas

SelecciĆ³n de medidas de seguridad

Para la selecciĆ³n de las medidas de seguridad se seguirĆ”n los pasos siguientes:

  1. IdentificaciĆ³n de los tipos de activos presentes.

  2. DeterminaciĆ³n de las dimensiones de seguridad relevantes.

  3. DeterminaciĆ³n del nivel correspondiente a cada dimensiĆ³n de seguridad.

  4. DeterminaciĆ³n de la categorĆ­a del sistema.

  5. SelecciĆ³n de las medidas de seguridad apropiadas de entre las contenidas en el siguiente punto.

La relaciĆ³n de medidas seleccionadas se formalizarĆ” en un documento denominado DeclaraciĆ³n de Aplicabilidad, firmado por el responsable de la seguridad del sistema.

Tabla PolĆ­ticas Seguridad

La correspondencia entre los niveles de seguridad exigidos en cada dimensiĆ³n y las medidas de seguridad, es la que se indica en la tabla siguiente:

DIMENSIONES

MEDIDAS DE SEGURIDAD

 Afectadas

B (BAJO)

M (MEDIA)

A (ALTA)

org

Marco organizativo

categorĆ­a

aplica

=

=

[org.1]

PolĆ­tica de seguridad

categorĆ­a

aplica

=

=

[org.2]

Normativa de seguridad

categorĆ­a

aplica

=

=

[org.3]

Procedimientos de seguridad

categorĆ­a

aplica

=

=

[org.4]

Proceso de autorizaciĆ³n

 

 

 

 

op

Marco operacional

 

 

 

 

[op.pl]

PlanificaciĆ³n

categorĆ­a

aplica

+

++

[op.pl.1]

AnƔlisis de riesgos

categorĆ­a

aplica

+

++

[op.pl.2]

Arquitectura de seguridad

categorĆ­a

aplica

=

=

[op.pl.3]

AdquisiciĆ³n de nuevos componentes

D

n.a.

aplica

=

[op.pl.4]

Dimensionamiento / GestiĆ³n de capacidades

categorĆ­a

n.a.

n.a.

aplica

[op.pl.5]

Componentes certificados

 

 

 

 

[op.acc]

Control de acceso

A T

aplica

=

=

[op.acc.1]

IdentificaciĆ³n

I C A T

aplica

=

=

[op.acc.2]

Requisitos de acceso

I C A T

n.a.

aplica

=

[op.acc.3]

SegregaciĆ³n de funciones y tareas

I C A T

aplica

=

=

[op.acc.4]

Proceso de gestiĆ³n de derechos de acceso

I C A T

aplica

+

++

[op.acc.5]

Mecanismo de autenticaciĆ³n

I C A T

aplica

+

++

[op.acc.6]

Acceso local (local logon)

I C A T

aplica

+

=

[op.acc.7]

Acceso remoto (remote login)

 

 

 

 

[op.exp]

ExplotaciĆ³n

categorĆ­a

aplica

=

=

[op.exp.1]

Inventario de activos

categorĆ­a

aplica

=

=

[op.exp.2]

ConfiguraciĆ³n de seguridad

categorĆ­a

n.a.

aplica

=

[op.exp.3]

GestiĆ³n de la configuraciĆ³n

categorĆ­a

aplica

=

=

[op.exp.4]

Mantenimiento

categorĆ­a

n.a.

aplica

=

[op.exp.5]

GestiĆ³n de cambios

categorĆ­a

aplica

=

=

[op.exp.6]

ProtecciĆ³n frente a cĆ³digo daƱino

categorĆ­a

n.a.

aplica

=

[op.exp.7]

GestiĆ³n de incidentes

T

aplica

+

++

[op.exp.8]

Registro de la actividad de los usuarios

categorĆ­a

n.a.

aplica

=

[op.exp.9]

Registro de la gestiĆ³n de incidentes

T

n.a.

n.a.

aplica

[op.exp.10]

ProtecciĆ³n de los registros de actividad

categorĆ­a

aplica

+

=

[op.exp.11]

ProtecciĆ³n de claves criptogrĆ”ficas

 

 

 

 

[op.ext]

Servicios externos

categorĆ­a

n.a.

aplica

=

[op.ext.1]

ContrataciĆ³n y acuerdos de nivel de servicio

categorĆ­a

n.a.

aplica

=

[op.ext.2]

GestiĆ³n diaria

D

n.a.

n.a.

aplica

[op.ext.9]

Medios alternativos

 

 

 

 

[op.cont]

Continuidad del servicio

D

n.a.

aplica

=

[op.cont.1]

AnƔlisis de impacto

D

n.a.

n.a.

aplica

[op.cont.2]

Plan de continuidad

D

n.a.

n.a.

aplica

[op.cont.3]

Pruebas periĆ³dicas

 

 

 

 

[op.mon]

MonitorizaciĆ³n del sistema

categorĆ­a

n.a.

aplica

=

[op.mon.1]

DetecciĆ³n de intrusiĆ³n

categorĆ­a

aplica

+

++

[op.mon.2]

Sistema de mƩtricas

 

 

 

 

mp

Medidas de protecciĆ³n

 

 

 

 

[mp.if]

ProtecciĆ³n de las instalaciones e infraestructuras

categorĆ­a

aplica

=

=

[mp.if.1]

Ɓreas separadas y con control de acceso

categorĆ­a

aplica

=

=

[mp.if.2]

IdentificaciĆ³n de las personas

categorĆ­a

aplica

=

=

[mp.if.3]

Acondicionamiento de los locales

D

aplica

+

=

[mp.if.4]

Energƭa elƩctrica

D

aplica

=

=

[mp.if.5]

ProtecciĆ³n frente a incendios

D

n.a.

aplica

=

[mp.if.6]

ProtecciĆ³n frente a inundaciones

categorĆ­a

aplica

=

=

[mp.if.7]

Registro de entrada y salida de equipamiento

D

n.a.

n.a.

aplica

[mp.if.9]

Instalaciones alternativas

 

 

 

 

[mp.per]

GestiĆ³n del personal

categorĆ­a

n.a.

aplica

=

[mp.per.1]

CaracterizaciĆ³n del puesto de trabajo

categorĆ­a

aplica

=

=

[mp.per.2]

Deberes y obligaciones

categorĆ­a

aplica

=

=

[mp.per.3]

ConcienciaciĆ³n

categorĆ­a

aplica

=

=

[mp.per.4]

FormaciĆ³n

D

n.a.

n.a.

aplica

[mp.per.9]

Personal alternativo

 

 

 

 

[mp.eq]

ProtecciĆ³n de los equipos

categorĆ­a

aplica

+

=

[mp.eq.1]

Puesto de trabajo despejado

A

n.a.

aplica

+

[mp.eq.2]

Bloqueo de puesto de trabajo

categorĆ­a

aplica

=

+

[mp.eq.3]

ProtecciĆ³n de equipos portĆ”tiles

D

n.a.

aplica

=

[mp.eq.9]

Medios alternativos

 

 

 

 

[mp.com]

ProtecciĆ³n de las comunicaciones

categorĆ­a

aplica

=

+

[mp.com.1]

PerĆ­metro seguro

C

n.a.

aplica

+

[mp.com.2]

ProtecciĆ³n de la confidencialidad

I A

aplica

+

++

[mp.com.3]

ProtecciĆ³n de la autenticidad y de la integridad

categorĆ­a

n.a.

n.a.

aplica

[mp.com.4]

SegregaciĆ³n de redes

D

n.a.

n.a.

aplica

[mp.com.9]

Medios alternativos

 

 

 

 

[mp.si]

ProtecciĆ³n de los soportes de informaciĆ³n

C

aplica

=

=

[mp.si.1]

Etiquetado

I C

n.a.

aplica

+

[mp.si.2]

CriptografĆ­a

categorĆ­a

aplica

=

=

[mp.si.3]

Custodia

categorĆ­a

aplica

=

=

[mp.si.4]

Transporte

C

aplica

+

=

[mp.si.5]

Borrado y destrucciĆ³n

 

 

 

 

[mp.sw]

ProtecciĆ³n de las aplicaciones informĆ”ticas

categorĆ­a

n.a.

aplica

=

[mp.sw.1]

Desarrollo

categorĆ­a

aplica

+

++

[mp.sw.2]

AceptaciĆ³n y puesta en servicio

 

 

 

 

[mp.info]

ProtecciĆ³n de la informaciĆ³n

categorĆ­a

aplica

=

=

[mp.info.1]

Datos de carƔcter personal

C

aplica

+

=

[mp.info.2]

CalificaciĆ³n de la informaciĆ³n

C

n.a.

n.a.

aplica

[mp.info.3]

Cifrado

I A

aplica

+

++

[mp.info.4]

Firma electrĆ³nica

T

n.a.

n.a.

aplica

[mp.info.5]

Sellos de tiempo

C

aplica

=

=

[mp.info.6]

Limpieza de documentos

D

aplica

=

=

[mp.info.9]

Copias de seguridad (backup)

 

 

 

 

[mp.s]

ProtecciĆ³n de los servicios

categorĆ­a

aplica

=

=

[mp.s.1]

ProtecciĆ³n del correo electrĆ³nico

categorĆ­a

aplica

=

+

[mp.s.2]

ProtecciĆ³n de servicios y aplicaciones web

D

n.a.

aplica

+

[mp.s.8]

ProtecciĆ³n frente a la denegaciĆ³n de servicio

D

n.a.

n.a.

aplica

[mp.s.9]

Medios alternativos

Donde se emplean las siguientes convenciones:

  • CĆ³digo Colores:

    • El color verde indica que una cierta medida se aplica en sistemas de categorĆ­a BƁSICA o superior;

    • el amarillo para indicar las medidas que empiezan a aplicarse en categorĆ­a MEDIA o superior;

    • el rojo para indicar las medidas que sĆ³lo son de aplicaciĆ³n en categorĆ­a ALTA.

  • Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algĆŗn nivel determinado se utiliza la voz ā€˜aplicaā€™.

  • ā€˜n.a.ā€™ significa ā€˜no aplicaā€™.

  • Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo ==.

  • Para indicar el incremento de exigencias graduado en funciĆ³n de del nivel de la dimensiĆ³n de seguridad, se utilizan los signos "+" y "++".

  • Para indicar que una medida protege especĆ­ficamente una cierta dimensiĆ³n de seguridad, Ć©sta se explicita mediante su inicial (Disponibilidad [D], Autenticidad [A], Integridad [I], Confidencialidad [C] y Trazabilidad [T]).

AuditorĆ­a de la Seguridad

Los niveles de auditorĆ­a que se realizan a los sistemas de informaciĆ³n, serĆ”n los siguientes:

Auditorƭa a sistemas de categorƭa BƁSICA

Los sistemas de informaciĆ³n de categorĆ­a BƁSICA, o inferior, no necesitarĆ”n realizar una auditorĆ­a. BastarĆ” una autoevaluaciĆ³n realizada por el mismo personal que administra el sistema de informaciĆ³n, o en quien Ć©ste delegue.

El resultado de la autoevaluaciĆ³n debe estar documentado, indicando si cada medida de seguridad estĆ” implantada y sujeta a revisiĆ³n regular y las evidencias que sustentan la valoraciĆ³n anterior.

Los informes de autoevaluaciĆ³n serĆ”n analizados por el responsable de seguridad competente, que elevarĆ” las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

AuditorĆ­a a sistemas de categorĆ­a MEDIA O ALTA

El informe de auditorĆ­a dictaminarĆ” sobre el grado de cumplimiento del ENS, identificarĆ” sus deficiencias y sugerirĆ” las posibles medidas correctoras o complementarias que sean necesarias, asĆ­ como las recomendaciones que se consideren oportunas.

DeberĆ”, igualmente, incluir los criterios metodolĆ³gicos de auditorĆ­a utilizados, el alcance y el objetivo de la auditorĆ­a, y los datos, hechos y observaciones en que se basen las conclusiones formuladas.

Los informes de auditorƭa serƔn analizados por el responsable de seguridad competente, que presentarƔ sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

Cumplimiento del ENS en Plataforma

En esta entrada se puede ver cĆ³mo cumple el ENS Plataforma:

Glosario

  • Activo. Componente o funcionalidad de un sistema de informaciĆ³n susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organizaciĆ³n. Incluye: informaciĆ³n, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos fĆ­sicos y recursos humanos.

  • AnĆ”lisis de riesgos. UtilizaciĆ³n sistemĆ”tica de la informaciĆ³n disponible para identificar peligros y estimar los riesgos.

  • AuditorĆ­a de la seguridad. RevisiĆ³n y examen independientes de los registros y actividades del sistema para verificar la idoneidad de los controles del sistema, asegurar que se cumplen la polĆ­tica de seguridad y los procedimientos operativos establecidos, detectar las infracciones de la seguridad y recomendar modificaciones apropiadas de los controles, de la polĆ­tica y de los procedimientos.

  • Autenticidad. Propiedad o caracterĆ­stica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

  • CategorĆ­a de un sistema. Es un nivel, dentro de la escala BĆ”sica-Media-Alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categorĆ­a del sistema recoge la visiĆ³n holĆ­stica del conjunto de activos como un todo armĆ³nico, orientado a la prestaciĆ³n de unos servicios.

  • Confidencialidad. Propiedad o caracterĆ­stica consistente en que la informaciĆ³n ni se pone a disposiciĆ³n, ni se revela a individuos, entidades o procesos no autorizados.

  • Disponibilidad. Propiedad o caracterĆ­stica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.

  • Firma electrĆ³nica. Conjunto de datos en forma electrĆ³nica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificaciĆ³n del firmante.

  • GestiĆ³n de incidentes. Plan de acciĆ³n para atender a los incidentes que se den. AdemĆ”s de resolverlos debe incorporar medidas de desempeƱo que permitan conocer la calidad del sistema de protecciĆ³n y detectar tendencias antes de que se conviertan en grandes problemas.

  • GestiĆ³n de riesgos. Actividades coordinadas para dirigir y controlar una organizaciĆ³n con respecto a los riesgos.

  • Incidente de seguridad. Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de informaciĆ³n.

  • Integridad. Propiedad o caracterĆ­stica consistente en que el activo de informaciĆ³n no ha sido alterado de manera no autorizada.

  • Medidas de seguridad. Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de informaciĆ³n, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevenciĆ³n, de disuasiĆ³n, de protecciĆ³n, de detecciĆ³n y reacciĆ³n, o de recuperaciĆ³n.

  • PolĆ­tica de firma electrĆ³nica. Conjunto de normas de seguridad, de organizaciĆ³n, tĆ©cnicas y legales para determinar cĆ³mo se generan, verifican y gestionan firmas electrĆ³nicas, incluyendo las caracterĆ­sticas exigibles a los certificados de firma.

  • PolĆ­tica de seguridad. Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organizaciĆ³n gestiona y protege la informaciĆ³n y los servicios que considera crĆ­ticos.

  • Principios bĆ”sicos de seguridad. Fundamentos que deben regir toda acciĆ³n orientada a asegurar la informaciĆ³n y los servicios.

  • Proceso. Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.

  • Proceso de seguridad. MĆ©todo que se sigue para alcanzar los objetivos de seguridad de la organizaciĆ³n. El proceso se diseƱa para identificar, medir, gestionar y mantener bajo control los riesgos a que se enfrenta el sistema en materia de seguridad.

  • Requisitos mĆ­nimos de seguridad. Exigencias necesarias para asegurar la informaciĆ³n y los servicios.

  • Riesgo. EstimaciĆ³n del grado de exposiciĆ³n a que una amenaza se materialice sobre uno o mĆ”s activos causando daƱos o perjuicios a la organizaciĆ³n.

  • Seguridad de las redes y de la informaciĆ³n, es la capacidad de las redes o de los sistemas de informaciĆ³n de resistir, con un determinado nivel de confianza, los accidentes o acciones ilĆ­citas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

  • Servicios acreditados. Servicios prestados por un sistema con autorizaciĆ³n concedida por la autoridad responsable, para tratar un tipo de informaciĆ³n determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operaciĆ³n.

  • Sistema de gestiĆ³n de la seguridad de la informaciĆ³n (SGSI). Sistema de gestiĆ³n que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la informaciĆ³n. El sistema de gestiĆ³n incluye la estructura organizativa, las polĆ­ticas, las actividades de planificaciĆ³n, las responsabilidades, las prĆ”cticas, los procedimientos, los procesos y los recursos.

  • Sistema de informaciĆ³n. Conjunto organizado de recursos para que la informaciĆ³n se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposiciĆ³n, presentar o transmitir.

  • Trazabilidad. Propiedad o caracterĆ­stica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

  • Vulnerabilidad. Una debilidad que puede ser aprovechada por una amenaza.

MƔs info