Desarrollo de negocio
Desarrollo de negocio
El Boletín Oficial del Estado del pasado martes, publicaba el Real Decreto 311/2022 de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
La actualización del ENS persigue cumplir con los siguientes objetivos:
- Alinear el ENS con el marco normativo y el contexto estratégico actual para garantizar la seguridad de la administración digital. Esto ha traído consigo que se hayan simplificado/precisado algunos mandatos del ENS, otros se hayan eliminado por considerarse excesivos, y otros hayan sido añadidos por considerarse necesarios.
- Incluir el concepto de “perfil de cumplimiento específico” para introducir la capacidad de ajustar los requisitos del ENS para tener en cuenta las peculiaridades de determinados colectivos o sistemas.
- Promover la vigilancia continua necesaria que permite la detección de actividades o comportamientos anómalos y su oportuna respuesta.
¿Cuáles son los principales cambios si comparamos el ENS de 2010 y el ENS de 2022?
Podemos destacar las siguientes diferencias y evoluciones en el nuevo ENS:
- Se ha actualizado la redacción del ámbito de aplicación, dejando claro que se amplía el ámbito de aplicación del ENS a todo el sector público (Ley 40/2015, de 1 de octubre) y que aplica también a los sistemas de información de las entidades del sector privado que presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.
- Se actualiza el principio de ‘prevención, reacción y recuperación’ denominándose ahora ‘prevención, detección y respuesta’, para destacar la importancia de la detección.
- Se introduce el principio de “vigilancia continua”, impulsando la evaluación permanente del estado de la seguridad de los activos, para detectar vulnerabilidades e identificar deficiencia de configuración.
- Se mejora la redacción del principio “responsabilidades diferenciadas” para precisar los aspectos relativos al responsable de la seguridad y al responsable del sistema.
- Dentro de los requisitos mínimos establecidos, se actualiza la terminología utilizada. Hablamos ahora de mínimo privilegio en lugar de seguridad por defecto, reforzando con ello la importancia de la política de seguridad.
- Se introduce el término de “refuerzos” para dar la posibilidad al responsable de seguridad de que, una vez implantadas las medidas de seguridad mínimas exigibles, en función de los resultados del análisis de riesgos, el estado del arte de la tecnología, la naturaleza de la información tratada y de los servicios prestados, pueda ampliar las medidas de protección implantadas.
- Se han actualizado las medidas de seguridad exigidas para cada una de las categorías:
- Se ha incorporado una nueva familia de medidas dentro del Marco operacional: Servicios en la nube. También encontramos otras nuevas medidas como: interconexión de sistemas, protección de la cadena de suministros, medios alternativos, vigilancia, otros dispositivos conectados a la red.
- Aumenta considerablemente el nivel de exigencia de algunos controles, pudiendo destacar: identificación, configuración de seguridad, gestión de la configuración de seguridad, protección frente a código dañino, registro de actividad, gestión de la capacidad, detección de intrusión, sistema de métricas, aceptación y puesta en servicio.
- Medidas de seguridad hasta ahora solo consideradas aplicables para los sistemas de categoría alta, pasan a ser aplicables a sistemas de inferior categoría.
Como conclusión podemos indicar que el nuevo ENS introduce importantes cambios que afectan a la aplicación del mismo a nuestros sistemas de información ya que se producen sobre las medidas de seguridad a considerar. Encontramos medidas de seguridad antes solo aplicables para la categoría alta que ahora aplican a categorías inferiores, encontramos medidas de seguridad hasta ahora no contempladas que pueden traer consigo la realización de importantes inversiones para la adquisición de nuevos componentes, y encontramos medidas de seguridad que requerirán de una revisión de los procedimientos y políticas.
Si mis sistemas de información ya están certificados en el ENS, ¿qué debo hacer? Si estoy interesado en certificarme en el ENS, ¿qué debo hacer?
El Real Decreto publicado establece que existe un plazo de 24 meses para adecuarse a lo dispuesto en este nuevo ENS.
En este momento, se ha establecido un periodo de 6 meses para que las entidades de certificación puedan adecuar sus procesos internos de certificación y preparar a los auditores al nuevo esquema. Tras este periodo, desde el CCN se darán nuevas instrucciones sobre cómo proceder.