Esquema Nacional de Seguridad

Al igual que la ISO 27001 es la norma madre que define cómo implantar un Sistema de Gestión de Seguridad de la Información en el ámbito privado, sobre todo, y en aquellas entidades públicas que puedan estar interesadas, el Esquema Nacional de Seguridad hace lo propio en el ámbito de la administración electrónica.

Para dar forma a tal norma se identificaron las mejores prácticas internacionales existentes en la materia, siendo, por tanto, un marco que tuvo como base normativa de probada utilidad y eficacia. Por otro lado, el alcance de esta norma queda supeditado a los servicios electrónicos, datos, información, comunicaciones y otros elementos que participen en la prestación de servicios electrónicos por parte de las Administraciones públicas.

Además, otra de las particularidades del Esquema Nacional de Seguridad es la obligatoriedad de su cumplimiento por parte de las Administraciones públicas. Cuestión que dista mucho de las normas ISO, las cuales son de aplicación voluntaria.

Principios

Los principios básicos que quedan definidos en el Esquema Nacional de Seguridad son los siguientes:

1. Seguridad integral: la seguridad no puede ser una acción aislada, sino un enfoque integral que aglutine a todas las áreas de negocio de la organización y a todos los campos que forman parte de la seguridad (física, software, hardware, comunicaciones, etc.).
2. Gestión de riesgos: para tomar decisiones informadas en materia de seguridad, es necesario seguir el ciclo de análisis y gestión de riesgos, identificando los activos implicados, amenazas que pueden producirse y controles que aporten valor.
3. Líneas de defensa: deben existir distintos niveles de protección en la organización, evitando así que una falla de seguridad, o la ineficacia de un control implantado, haga que toda la seguridad se venga abajo. En este caso, hablaremos de medidas de seguridad física, control de acceso lógico, sistemas de gestión de contraseñas, etc.
4. Prevención, reacción y recuperación: en relación con el punto anterior, e integrado en la visión de alcanzar una visión integral, se deben contar con medidas de seguridad de distinta tipología.

Además, medidas preventivas que reduzcan de forma notable los posibles riesgos, como, por ejemplo, la instalación de software antivirus en los sistemas; por otro lado, medidas reactivas para detectar incidentes que se puedan producir, como sistemas de monitorización; y, finalmente, medidas de recuperación para mitigar el riesgo generado por las amenazas, como puedan ser los sistemas de copias de respaldo.

5. Roles: la gestión de la seguridad de la información debe estar liderada y contar con una serie de roles que identifiquen las necesidades a implantar y velen por su cumplimiento. Así, hablamos del responsable de la información, del servicio y de la seguridad.
6. Evaluación periódica: la seguridad debe ser revisada y evaluada con una frecuencia definida, a fin de detectar posibles mejoras, áreas de mejora, etc.

Requisitos mínimos

Los requisitos mínimos que deben estar contemplados en la política de seguridad de la información son los siguientes:

1. Organización de la seguridad: roles como el de responsable de la información, servicios y seguridad deben ser asignados de forma oportuna, al igual que las funciones y composición del Comité de Seguridad de la Información. De igual modo, la política donde se establezca esta información debe ser aprobada y comunicada formalmente, a fin de que todos los usuarios tengan conocimiento de la misma.
2. Análisis y gestión de riesgos: se debe indicar cómo se llevarán a cabo el análisis y la gestión de riesgos. En el caso de la Administración pública española, la metodología MAGERIT, junto con la herramienta PILAR, son las herramientas empleadas en este caso.
3. Protección de instalaciones: los lugares donde se encuentren físicamente los sistemas de información deben protegerse contra todo tipo de amenazas, desde fuegos hasta inundaciones o intentos de acceso no autorizados.
4. Control de accesos: los usuarios solo podrán acceder a aquella información que precisen para su puesto de trabajo, debiendo contar con algún sistema que permita revisar de forma periódica los privilegios de acceso emitidos.
5. Personal: cada usuario tendrá una serie de responsabilidades a cumplir en función de las necesidades específicas de su puesto de trabajo. Para cumplir de la forma más oportuna con tales responsabilidades, será necesario disponer de programas de formación y concienciación. Además, se tendrá que auditar y verificar el cumplimiento de lo dispuesto en las diferentes normas y procedimientos que existan en la organización. Finalmente, el personal implicado en la gestión de la seguridad de la información deberá estar pertinentemente cualificado y tener acceso a acciones para actualizar su conocimiento.
6. Seguridad por defecto: los sistemas deben diseñarse y configurarse de tal forma que su uso cuente con la máxima seguridad posible.
7. Actualización de los sistemas: se deberá llevar un seguimiento sobre las actualizaciones que publiquen los fabricantes, implantando todos los cambios que sean aprobados.
8. Adquisición de productos: en el momento en que se vayan a adquirir nuevos productos, se debe considerar, y ponderar positivamente, el hecho de que cumplan con diversas normativas en materia de seguridad.
9. Registro de actividad: se deben poder identificar los accesos no autorizados al sistema, así como los intentos de acceso no autorizados que no pudieran tener lugar. De igual modo, se deben implantar las medidas que sean oportunas para evitar tales hechos y sancionar tales infracciones.
10. Protección de la información almacenada y en tránsito: se debe contar con medidas que permitan proteger la información durante todo su ciclo de vida, especialmente en las fases de almacenamiento y tránsito. Esto conlleva evitar acciones como la comunicación de información confidencial sobre redes abiertas, no emplear métodos de cifrado o el almacenamiento de dicha información en medios portátiles que no han sido debidamente asegurados.
11. Incidencias de seguridad: debe existir una gestión de incidentes que permita tomar soluciones ante los eventos que ocurran, así como extraer conclusiones para evitar que se vuelvan a repetir.