El reto de las Administraciones Públicas ante el Esquema Nacional de Seguridad.

CCN

Organismo responsable de coordinar la acción de los diferentes organismos de la Administración para garantizar la seguridad de las Tecnologías de la Información.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, tiene como objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Por tanto, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. 

En la exposición de motivos de esta norma, se enumeran una serie de precedentes que han servido de base para la elaboración de su contenido, documentos de la Administración en materia de seguridad electrónica, tales como las Guías CCN-STIC del Centro Criptológico Nacional, los Criterios SNC, la Metodología de análisis y gestión de riesgos MAGERIT, o el Esquema Nacional de Interoperabilidad.

De este modo, el ENS tiene en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes y la utilización de estándares abiertos, así como aquellos estándares que sean de uso generalizado por los ciudadanos.

En suma, el ENS es el resultado de un trabajo coordinado por el Ministerio de la Presidencia, posteriormente por el Ministerio de Política Territorial y Administración Pública, de acuerdo con lo establecido en el Real Decreto 1366/2010, de 29 de octubre, por el que se aprueba la estructura orgánica básica de los departamentos ministeriales, con el apoyo del Centro Criptológico Nacional (CCN) y la participación de todas las administraciones públicas, incluyendo las niversidades públicas (CRUE), a través de los órganos colegiados con competencias en materia de administración electrónica: Consejo Superior de Administración Electrónica, Comité Sectorial de Administración Electrónica, Comisión Nacional de Administración Local. Participación que ha incluido los informes preceptivos de: Ministerio de Política Territorial, Ministerio de la Presidencia, Agencia Española de Protección de Datos y Consejo de Estado.

El ENS será de aplicación a las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.

Sin embargo, el ENS no será de aplicación a las Administraciones Públicas en aquellas actividades que desarrollen en régimen de derecho privado.

También se encuentran excluidos del ámbito de aplicación los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y normas de desarrollo, que establece que los Órganos del Estado estarán sometidos en su actividad al principio de publicidad, de acuerdo con las normas que rijan su actuación, salvo los casos en que por la naturaleza de la materia sea ésta declarada expresamente «clasificada», cuyo secreto o limitado conocimiento queda amparado por la presente Ley.

Tendrán carácter secreto, sin necesidad de previa clasificación, las materias así declaradas por Ley.

Destacar que entre los objetivos básicos del ENS está el crear las condiciones necesarias de confianza en el uso de los medios electrónicos que permitan a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Introducir los elementos y metodologías comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.

magerit

Método formal para investigar los riesgos de los Sistemas de Información y recomendar las medidas que a adoptar para controlarlos.

Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.

El ENS empieza por definir sus principios básicos que son la seguridad integral, la gestión de riesgos, la prevención, reacción y recuperación, las líneas de defensa, la reevaluación periódica, y la función diferenciada por la cual se entiende que en los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad.

Así, la seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicación del Esquema Nacional de Seguridad estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.

El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado.

La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan.

Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.

Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.

La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos. De acuerdo con el Principio de Jerarquía que rige en las administraciones públicas españolas, en caso de conflicto este deberá ser resuelto por el superior jerárquico. Se diferencian tres grandes bloques de responsabilidad: la especificación de los requisitos, la operación del sistema de información y la función de supervisión. La especificación de requisitos de seguridad corresponde a los responsables de la información y el servicio, junto con el responsable del fichero si hubiera datos de carácter personal. La operación del sistema de información corresponde al responsable del sistema. La función de supervisión corresponde al responsable de la seguridad. Es importante destacar que aunque pueda existir un Comité se Seguridad corporativo, el ENS establece “La seguridad como función diferenciada”. Este principio exige que el Responsable de la Seguridad sea independiente del Responsable del Sistema.

Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.

Estos Principios Básicos del ENS establecen unos puntos de referencia importantes para tomar ulteriores decisiones.

El propio ENS define los Principios Básicos de Seguridad como: “Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios”.

Así, al igual que se establecen unos principios mínimos de seguridad, también se ordenan unos Requisitos Mínimos de Seguridad, los cuales deben cumplirse por parte de todos los órganos superiores de las Administraciones públicas, disponiendo éstos formalmente de una sólida política de seguridad, la cual se establecerá en base a los principios básicos y se desarrollará aplicando los requisitos mínimos:

a) Organización e implantación del proceso de seguridad, es decir, la seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.

b) Análisis y gestión de los riesgos. Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema. Se empleará alguna metodología reconocida internacionalmente.

c) Gestión de personal. Todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos.

d) Profesionalidad. La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.

e) Autorización y control de los accesos. El acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.

f) Protección de las instalaciones. Los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso. Como mínimo, las salas deben estar cerradas y disponer de un control de llave.

g) Adquisición de productos. En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

h) Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto, de este modo, el uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

i) Integridad y actualización del sistema. Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

j) Protección de la información almacenada y en tránsito. En la estructura y organización de la seguridad del sistema, se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de entornos inseguros los equipos portátiles, asistentes personales, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.

k) Prevención ante otros sistemas de información interconectados. El sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas.

l) Registro de actividad. Con la finalidad exclusiva de lograr el cumplimiento del ENS, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

m) Incidentes de seguridad. Se establecerá un sistema de detección y reacción frente a código dañino.

n) Continuidad de la actividad. Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

o) Mejora continua del proceso de seguridad. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.

En definitiva, en el ámbito de las Administraciones públicas, la consagración del derecho a comunicarse con ellas a través de medios electrónicos comporta una obligación correlativa de las mismas, que tiene, como premisas, la promoción de las condiciones para que la libertad y la igualdad sean reales y efectivas, y la remoción de los obstáculos que impidan o dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen una aplicación segura de estas tecnologías.

A ello ha venido a dar respuesta el artículo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, mediante la creación del Esquema Nacional de Seguridad, cuyo objeto es el establecimiento de unos principios básicos y unos requisitos mínimos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información.

El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, es decir, mediante un conjunto de medidas preventivas y reactivas que permitan resguardar y proteger la información manteniendo en todo momento la tríada confidencialidad, disponibilidad e integridad.

Garantizando en síntesis que no existirán con respecto a la información: interrupciones (disponibilidad), ni modificaciones (integridad), y que a la información no puedan acceder personas no autorizadas (confidencialidad).

herramienta pilar

Método formal para investigar los riesgos de los Sistemas de Información y recomendar las medidas a adoptar para controlarlos.

A diferencia de hace algunos años atrás, hoy en día nos encontramos inmersos en la denominada Sociedad de la Información y del Conocimiento, es por ello que los sistemas de información, de carácter tanto público como privado, se encuentran interconectados entre sí, en el sistema global de telecomunicaciones. Las autopistas de la información cada vez transmiten mayor cantidad de información y de forma más rápida, ello origina que la información que circula por ellas, provenga de quien provenga, debe ser necesariamente protegida de amenazas, vulnerabilidades, códigos maliciosos, ataques DDoS, ataques SQL, e innúmeros y constantes peligros emergentes. De esta manera, la seguridad de la información no es cosa de unos y de otros no, sino es cosa de todos. Ciertamente, cada ente o sujeto debe proteger su propio sistema o infraestructura, delimitando su perímetro de seguridad, pero el reto o desafío, va más allá del aseguramiento individual. Es por ello que si lo referido en el párrafo precedente es de suma importancia para las entidades privadas y los particulares, a mayor abundamiento lo es para las distintas administraciones públicas, que en su día a día tienen el deber de actuar garantizando y respetando en todo momento los derechos fundamentales.

herramienta pilar

Herramienta que conjuga los activos TIC de un sistema con las amenazas, calcula los riesgos y permite incorporar salvaguardas para reducir el riesgo.

Es por ello, que el ENS viene a dotar a los entes públicos de un marco jurídico avanzado, para que garanticen enteramente a través del mismo, la seguridad de la información de todos los ciudadanos.

Sobre Valentín Justel

Abogado Experto en Protección de Datos, Nuevas Tecnologías y Seguridad de la Información

Valentín Justel en Google+

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>