Esquema Nacional de Seguridad (ENS), cómo y porqué debemos certificarnos

ENS

En un mundo cada vez más digitalizado, proteger la información y los servicios de la administración pública es crucial. El Esquema Nacional de Seguridad (ENS) establece medidas de seguridad comunes para garantizar esta protección. Este artículo, escrito por Martin Amezola, experto en ciberseguridad de RKL, desglosa qué es el ENS, su importancia para el sector privado y los pasos para lograr su certificación.

¿Qué es el Esquema Nacional de Seguridad?

El desarrollo del Esquema Nacional (ENS) surge debido a un contexto de digitalización de los procesos de la administración pública y una necesidad de proteger los activos de información y los servicios de esta. Las tecnologías de la información y comunicación (TIC) se han establecido como un pilar fundamental para el funcionamiento eficiente y transparente de procesos que antes eran costosos en recursos tanto de infraestructura como humanos. Sin embargo, junto al crecimiento de la digitalización de los procesos se aprecia también un crecimiento de las amenazas de seguridad que estas conllevan.

Según INCIBE, en 2023 aumentaron un 23% los incidentes de seguridad respecto al año anterior. Estos datos se refieren a los incidentes que INCIBE gestiona, por lo que se supone una cifra mucho mayor. Muchos de estos ciberataques se dirigen a empresas a través de un ransomware, que detiene la disponibilidad de la empresa completa cifrando todos los archivos posibles para luego pedir una recompensa por descifrarlos.

Ante este escenario de crecientes amenazas, el ENS pretende establecer un marco de medidas de seguridad comunes a todas las administraciones públicas que fije unos niveles de seguridad mínimos y garantice a los ciudadanos que usan los portales digitales de las AAPP la seguridad que necesitan. El ENS está regulado formalmente a través del Real Decreto 311/2022, de 3 de mayo. Desde su publicación, las AAPP se han puesto manos a la obra para tratar de certificarse en el ENS, ya que el gobierno daba 24 meses de margen desde la publicación para su implementación. Consta de 3 categorías: BÁSICA, MEDIA y ALTA. Dependiendo de estas categorías el ENS propone diferente número de medidas y con distintos grados de implementación, siendo más numerosas y estrictas en la categoría ALTA.

¿Por qué es importante el ENS para el sector privado?

La medida del marco operacional del ENS con nombre “Contratación y acuerdos a nivel de servicio” exige a las AAPP “Certificados de conformidad con el ENS de los sistemas de proveedores relevantes”. Es decir, exige que los proveedores de las AAPP también estén certificados en el ENS y que lo estén en el mismo nivel o mayor que estas. Esto plantea a muchas empresas privadas una oportunidad de negocio, ya que las empresas que antes se certifiquen podrán presentarse a concursos y licitaciones de proyectos que exijan esta certificación.

¿Qué pasos se deben seguir para Adecuación al Esquema Nacional de Seguridad (ENS)?

El proceso de certificación en el ENS se llama adecuación. La guía del Centro Criptológico Nacional “CCN-STIC 806 Esquema Nacional de Seguridad Plan de Adecuación” define los pasos a seguir para lograr esta adecuación.

1. Desarrollar la Política de Seguridad de la Información

Esta política debe alinearse con las exigencias del Anexo II del ENS (sección org.1). Si no se dispone de una política de seguridad se deberá indicar en el plan para la mejora de la seguridad la intención de desarrollarla siguiendo las exigencias del Anexo II del ENS.

2. Valoración de la información que se maneja y de los sistemas

Se realizará un listado de las informaciones y servicios que se manejan en la organización, para luego realizar una valoración de acuerdo con lo establecido en el Anexo I del ENS.

3. Categorización

El responsable de seguridad llevará a cabo los pasos descritos en el Anexo I para establecer la categoría del sistema. Esta categorización tiene la peculiaridad de tener en cuenta cinco dimensiones de seguridad: Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad. De la categorización del sistema se determinará el impacto de un incidente de seguridad en las dimensiones mencionadas y a partir de esto se determinará la categoría del sistema que puede ser BÁSICA, MEDIA o ALTA.

4. Análisis de Riesgos

Se realizará un Análisis de Riesgos, preferiblemente siguiendo la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). Esta metodología ha sido elaborada por el Consejo Superior de Administración Electrónica del Gobierno de España para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información (TIC). Actualmente está en su versión 3 y el Centro Criptológico Nacional (CCN) pone a disposición la herramienta PILAR que es una aplicación informática que compila los activos del sistema, sus relaciones de dependencia y su valor para la organización.

5. Declaración de Aplicabilidad

Documento que reunirá las medidas de seguridad que sean de aplicación derivadas del Anexo II del ENS, sumadas a las exigencias derivadas de los datos de carácter personal si los hubiera, y a las que surjan al realizar el Análisis de Riesgos.

6. Declaración de las Insuficiencias del sistema

Se anotarán los grados de madurez de las medidas de seguridad de la Declaración de Aplicabilidad. Las insuficiencias son algo así como la diferencia entre el estado actual de la empresa en cuanto a seguridad y el estado objetivo al que se quiere llegar (la certificación en el ENS del nivel que sea). Esta declaración la formarán también los riesgos residuales aceptados por el responsable de la información o del servicio afectado.

7. Plan de mejora de la seguridad

Este plan especifica las acciones que se llevarán a cabo para subsanar las insuficiencias detectadas tras evaluar los sistemas y la información contra las medidas del ENS, y tras el Análisis de Riesgos. Se indicará para cada medida, qué insuficiencia subsana, su tiempo estimado de implementación y una estimación del coste.

Una vez implementadas las medidas de seguridad, la certificación se obtiene mediante una auditoría. En el caso del nivel Básico es autocerfificable, es decir, esta auditoría puede realizarse por personal cualificado de la propia empresa, si esta dispone de él. Para los niveles MEDIO y ALTO del ENS, se requiere de una empresa externa para realizar la auditoría. El documento “CCN-STIC 802 Guía de Auditoría” del CCN explica con detalle los actores involucrados en este proceso y los pasos que se siguen en una auditoría del ENS.

Por último, la certificación en el Esquema Nacional de Seguridad tiene una validez de dos años desde la fecha de emisión de la certificación. Esto significa que pasados dos años se debe superar una auditoría para conservar este certificado y su distintivo.

Martín Amézola.
Ingeniero informático. Master en Ciberseguridad.