Esquema Nacional de Seguridad


   

El Esquema Nacional de Seguridad (ENS) es un conjunto de normas y medidas que deberán cumplir las Administraciones Públicas, antes del 30 de Enero del 2014, para proveer servicios a los ciudadanos a través de medios electrónicos. Por tanto detrás de todos estos servicios estarán todos los datos de todos nosotros, los ciudadanos, y que las Administraciones Públicas tienen la obligación de preservar la confidencialidad, integridad y disponibilidad de nuestros datos. Así surgió el ENS que está compuesto por tres módulos y 75 medidas de seguridad que presentamos de forma resumida a continuación:

MARCO ORGANIZATIVO
Son 4 medidas de seguridad relacionadas con la organización global de la seguridad, entre ellas está la definición y aprobación de la política de seguridad; los procedimientos de seguridad que se deben cumplir en los trabajos diarios del personal de la organización; y los procedimientos a seguir para la entrada/salida del personal, de la información o de los soportes.

MARCO OPERACIONAL
Está compuesto por 31 medidas de seguridad para proteger la operación del sistema en su conjunto.
  • PLANIFICACIÓN
Se realizará el análisis de riesgos desde donde se podrá ver los riesgos a los que está expuesta la organización; se analizará y definirá la arquitectura de seguridad; documentándose los sistemas y conociendo sus líneas de defensa; se define el procedimiento a seguir para la adquisición de nuevos componentes para asegurar que los nuevos componentes cumplan las medidas de seguridad; se realiza la gestión de la capacidad para conocer las necesidades de las aplicaciones en producción.
  • CONTROL DE ACCESO
Está compuesto por 7 medidas de seguridad que identifica el acceso y la acción llevada a cabo por cada entidad, usuario o proceso sobre un recurso del sistema. Siempre hay que mantener el equilibrio entre la comodidad y la protección de la información, garantizando que nadie accederá a recursos sin autorización previa.
  • EXPLOTACIÓN
Está compuesto por 11 medidas de seguridad donde es realmente importante la parte de inventariado y evaluación de activos, además hay que tener en cuenta el mantenimiento, tanto físico como lógico de los sistemas, y la gestión de cambios e incidencias. Por último hay que tener un registro de la actividad de los usuarios y de las incidencias, además de proteger los registros y las contraseñas de manera adecuada.
  • SERVICIOS EXTERNOS
Son 3 medidas de seguridad que se encargan de medir y analizar que los acuerdos de niveles de servicios son cumplidos por los proveedores de servicios, para el caso que no se cumpla un SLA se tengan alternativas que garanticen la seguridad de la información.
  • CONTINUIDAD DEL SERVICIO
Son 3 medidas de seguridad donde se realiza un análisis de impacto para conocer los servicios críticos y los requisitos de disponibilidad de cada servicio, posteriormente se realizará el plan de continuidad garantizando la disponibilidad de los servicios, y por último se realizarán pruebas periódicas para comprobar que los planes de continuidad están perfectamente definidos y ejecutados.
  • MONITORIZACIÓN DEL SISTEMA
Son 2 medidas de seguridad que hacen referencia a la detección de intrusiones y la medición de la eficacia de las herramientas de detección.

MEDIDAS DE PROTECCIÓN
Son 40 medidas de seguridad que se centran en la protección de los activos.
  • INSTALACIONES E INFRAESTRUCTURAS
Son 8 medidas de seguridad encargadas de proteger los activos, separando y controlando los accesos, identificando a las personas, acondicionando los locales, tomando medidas de protección de incendios e inundaciones y registrando la entrada y salida de soportes.
  • GESTIÓN DEL PERSONAL
Está compuesto por 5 medidas donde el principal objetivo es la concienciación en materia de seguridad al personal, además se les recodará de manera periódica sus deberes y obligaciones, siempre garantizando que haya personas alternativas que puedan desarrollar las mismas actividades con las mismas garantías.
  • PROTECCIÓN DE LOS EQUIPOS
Son 4 medidas de seguridad donde hay que tener la mesa despejada, es decir, nada de información confidencial o contraseñas encima de la mesa que pueda estar al alcance de cualquiera, además hay que bloquear los equipos de forma automática tras un periodo de inactividad, y siempre proteger la información que salga de las instalaciones mediante mecanismos de cifrado, por último no olvidar tener medios alternativos que nos permitan continuar con la labor diaria ante un fallo del equipo habitual.
  • PROTECCIÓN DE LAS COMUNICACIONES
Está compuesto por 5 medidas de seguridad donde se debe utilizar sistemas de cortafuegos y VPN redundantes, para securizar el tráfico de entrada/salida, además de las conexiones provenientes de la red pública Internet, siempre hay que proteger la autenticidad y la integridad de la comunicación además de segmentar, asegurar, mantener y monitorizar las redes.
  • PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
Son 5 medidas orientadas a la protección de los soportes, para ello es necesario etiquetar los soportes con una nomenclatura que se entienda o que pueda ser consultada en un repositorio, imprescindible el cifrado de la información de los soportes que salgan de la sede de la organización, además de ser necesario tener una traza de quién tiene el soporte y por quién a pasado, por último es importante tener definido un procedimiento de borrado y destrucción de soportes.
  • PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
Son 2 medidas de seguridad cuyo objetivo es realizar las pruebas necesarias sobre las aplicaciones antes de pasarlas al entorno de producción, para ello es imprescindible realizar el desarrollo sobre un entorno de pre-producción, además de realizar las pruebas oportunas con datos ficticios antes de pasar la aplicación al entorno de explotación.
  • PROTECCIÓN DE LA INFORMACIÓN
Son 7 medidas para proteger la información, donde hay que cumplir la LOPD para los datos de carácter personal, además de clasificar y cifrar la información. Para garantizar el no repudio se utilizará la firma electrónica y los sellos de tiempo, también es importante realizar una limpieza de todos los documentos públicos, para retirar toda la información innecesaria, por último es importante realizar copias de seguridad de la información, tanto de aplicaciones, sistemas operativos, datos de configuración, servicios, claves, etc.
  • PROTECCIÓN DE LOS SERVICIOS
Son 4 medidas de seguridad cuyo objetivo principal es proteger el correo electrónico, los servicios y las aplicaciones web, para ello será necesario realizar análisis de spam, virus, XSS, etc. Además hay que tomar las medidas adecuadas para protegerse ante ataques de DoS, y redundar aquellos servicios que puedan comprometer la reputación y la actividad diaria de la organización.

Ya se que es una entrada un poco larga, pero tenía ganas de hacer un post como este para quedar anotado un resumen del ENS que luego me ayude de manera rápida a recordar la estructura y las medidas de seguridad del Esquema Nacional de Seguridad. Además, para el que quiera profundizar en el ENS les dejo un enlace al CCN-CERT y un mapa conceptual del ENS.



Commentaires