Retos y desafíos del nuevo Esquema Nacional de Seguridad
Después de más de diez años desde la publicación del primer Esquema Nacional de Seguridad, era necesaria una actualización que permitiera una mejor respuesta ante las nuevas tendencias en ciberseguridad, reduciendo las vulnerabilidades y promoviendo la vigilancia continua. No obstante, el recientemente publicado RD 311/2022, al que deben acogerse los nuevos sistemas que no estén certificados, implicará nuevos retos e importantes esfuerzos organizativos a las empresas del sector público y a las que colaboran con este. Un desafío acorde con la necesidad de preservar un ciberespacio fiable, protegido y sólido.
El pasado 3 de mayo, con la publicación en el Boletín Oficial del Estado del Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad, se ha dado un paso más en el proceso de mejora y evolución de las capacidades de ciberseguridad de todo el sector público español y de todas aquellas entidades del sector privado que colaboran con este.
La aprobación del nuevo Real Decreto forma parte del Plan Anual Normativo de la Administración General del Estado para el presente año, y éste, a su vez, está englobado dentro del Plan de Recuperación, Transformación y Resiliencia, que cuenta entre sus objetivos el de la preparación de España para afrontar los retos del futuro. Entre ellos se encuentra la garantía del uso seguro de los medios electrónicos para la relación de los ciudadanos con la administración pública y, por ende, de la confianza de éstos en su utilización.
La nueva redacción se cimenta en la experiencia desde el comienzo de su aplicación en 2010 y fija tres objetivos principales para dar respuesta a las exigencias de una nueva realidad de amenazas, la evolución del marco regulatorio, la transformación digital de la sociedad y la evolución del marco estratégico nacional de ciberseguridad:
- Alinear el ENS con el contexto estratégico y el marco normativo existente para garantizar la seguridad en la administración digital.
Y es que, desde la entrada en vigor de la anterior versión del ENS, tanto el contexto tecnológico como las normativas que le afectan han vivido importantes transformaciones. A grandes rasgos podemos destacar la cada vez más creciente dependencia tecnológica de la sociedad en general y de la prestación de servicios públicos en particular, la tendencia hacia la priorización de los medios electrónicos como vía de relación entre los ciudadanos y la administración pública, la generalización de nuevas tecnologías como el 5G y la computación en la nube, así como una mayor concienciación ciudadana en relación a las implicaciones de la ciberseguridad y el tratamiento de sus datos personales. Como resulta lógico, todo este contexto tecnológico se acompaña de la aparición de nuevas ciberamenazas cada vez más sofisticadas. Durante estos últimos años, hemos vivido un crecimiento exponencial de los ciberincidentes, con una especial exposición del sector público y de su cadena de suministro.
Frente a este nuevo contexto, en primer lugar, el nuevo ENS se alinea con las nuevas normativas que han proliferado en la materia, entre otras, las leyes 39 y 40/2015, que regulan el funcionamiento esencial de la Administración Pública; el nuevo marco normativo de la protección de datos personales; la legislación en materia de protección de las infraestructuras críticas y la conocida Ley NIS sobre seguridad en las redes y los sistemas de información.
En relación a este primer objetivo, caben destacar novedades en cuanto a su ámbito de aplicación, donde se incluyen por primera vez expresamente las entidades públicas de derecho privado, así como a aquellos sistemas que traten información clasificada, sistemas de información de entidades del sector privado y entidades del sector público con redes 5G, eliminando cualquier referencia a los ciudadanos que tengan relaciones con las Administraciones Públicas; y la actualización correspondiente de las diferentes referencias normativas. Esto último es debido a que el ENS del año 2010 estaba basado en el artículo 42 de la Ley 11/2007, de 22 de junio, que fue derogada por la entrada en vigor de la Ley 10/2015, de 1 de octubre de Régimen Jurídico del Sector Público, base del nuevo ENS de 2022, en concreto se basa sobre lo dispuesto en el artículo 156.2 de la citada ley.
- Posibilitar el ajuste de los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas.
Es decir, un Esquema Nacional de Seguridad más flexible, aunque no por ello menos exigente. Se busca la eficacia en su adopción y la eficiencia, facilitando el dimensionamiento de esfuerzos y la correlación adecuada entre la inversión de recursos y la realidad de los riesgos a los que se exponga el sistema. Para ello, además de otros elementos como el establecimiento de un nuevo sistema de medidas de seguridad apoyado en una “línea base” y unos refuerzos que, en muchos casos, son elegibles e incluso voluntarios o los ya tradicionales controles compensatorios, destaca especialmente la nueva figura de los perfiles de cumplimiento específico. Ya anticipados por algunas guías CCN-STIC y ahora formalizados en el cuerpo de la norma, los perfiles de cumplimiento específicos se definen como conjuntos de medidas de seguridad habilitadas por el CCN, y no necesariamente comprendidas en el Anexo II del ENS, que resultan de aplicación, a la luz de su análisis de riesgos, a determinadas entidades o sectores y categorías de seguridad. De este modo, un perfil de cumplimiento específico puede implicar la supresión de ciertas medidas o la inclusión de otras, así como el aumento o disminución de su nivel de exigencia.
- Facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua.
Tal y como ya se ha mencionado, la nueva realidad de las ciberamenazas exigía, en primer lugar, la introducción de nuevos controles. Destacamos especialmente los siguientes:
- Una medida de seguridad relativa a la protección de los servicios en la nube [op.nub.1], aplicable desde la categoría del sistema básica y que no solamente comprende la prestación de tales servicios por parte de los proveedores del sector público, sino también el cumplimiento del ENS, en su ámbito de responsabilidad en la nube, por parte de las entidades usuarias de tales servicios.
- Una nueva medida de seguridad y tres refuerzos voluntarios sobre la protección de la cadena de suministro [op.ext.3] aplicables obligatoriamente a los sistemas de categoría alta. Estos controles, , buscan analizar y mitigar los riesgos que, sobre los sistemas de información que prestan servicios a los ciudadanos, podrían tener los incidentes de seguridad que tengan origen en su cadena de suministro.
- Una medida de seguridad relativa a otros dispositivos conectados a la red [mp.eq.4] y que refleja una clara proyección del ENS a futuro al contemplar la protección de los prolíficos dispositivos tales como los de internet de las cosas (IoT), los equipos personales (BYOD) o dispositivos multimedia (p. ej. altavoces inteligentes) que, con cada vez más frecuencia, se conectan a las redes y suponen un potencial vector de intrusión.
- La integración de todas las medidas relativas a la disposición de medios alternativos en un nuevo control [op.cont.4] de la familia de continuidad del servicio que establece la disponibilidad de medios alternativos, en todos los elementos del sistema anteriormente diseminados en varios controles, para poder seguir prestando el servicio cuando los medios habituales no estén disponibles.
Del mismo modo, destacamos la simplificación de ciertos controles (6), la eliminación de otros (9) y el aumento del nivel de exigencia de un total de 20 controles, que detallamos en la siguiente tabla:
|
MEDIDAS NUEVAS |
MEDIDAS ELIMINADAS |
MEDIDAS SIMPLIFICADAS |
|
Protección de los servicios en la nube |
Protección de los registros de actividad |
Segregación de tareas |
|
Interconexión de sistemas |
Personal alternativo |
Protección de los dispositivos portátiles |
|
Protección de la cadena de suministros |
Medios alternativos |
Perímetro seguro |
|
Medios alternativos |
Cifrado de la información |
Sellos de tiempo |
|
Vigilancia |
Instalaciones alternativas |
Calificación de la información |
|
Otros dispositivos conectados a la red |
Acceso remoto |
Protección frente a la denegación de servicio |
|
Protección de la navegación web |
Acceso local |
|
|
MEDIDAS QUE SE ENDURECEN |
||
|
Arquitectura de seguridad |
Dimensionamiento/ gestión de capacidades |
Componentes certificados |
|
Identificación |
Requisitos de acceso |
Segregación de funciones y tareas |
|
Gestión de configuración de seguridad |
Mantenimiento y actualizaciones de seguridad |
Gestión de cambios |
|
Protección frente a código dañino |
Gestión de incidentes |
Registro de actividad |
|
Registro de gestión de incidentes |
Protección de claves criptográficas |
Detección de intrusión |
|
Sistema de métricas |
Deberes y obligaciones |
Protección de dispositivos portátiles |
|
Protección de la confidencialidad |
Borrado y destrucción |
Copias de seguridad |
|
Protección de servicios y aplicaciones web |
||
Por otro lado, la vigilancia de los sistemas cobra un nuevo protagonismo. No solamente se incluye en la familia de monitorización un nuevo control con hasta seis refuerzos (Vigilancia [op.mon.3]) que obliga, ya desde la categoría básica, a disponer de sistemas automáticos de recolección de eventos de seguridad. La vigilancia continua también se integra como nuevo principio básico del Esquema Nacional de Seguridad, definiéndose como la detección de actividades o comportamientos anómalos y su oportuna respuesta, la evaluación permanente del estado de la seguridad de los activos y la reevaluación y actualización periódica de las medidas de seguridad.
Sin duda, unas modificaciones normativas destinadas a la mejora de capacidades de detección y respuesta ante incidentes de seguridad en el sector público, que se ven también impulsadas por un potenciado CCN y de su CERT que, además de articular la respuesta a los incidentes y actuar como coordinador a nivel nacional e internacional, es ahora responsable de determinar el riesgo de reconexión de sistemas que han sufrido incidentes; y una Secretaría General de Administración Digital encargada de autorizar dicha reconexión.
En el ámbito de la respuesta a incidentes es destacable también la inclusión expresa de los diferentes regímenes de notificación de incidentes de seguridad (sector público y privado, Seguridad Nacional, proveedores de servicios esenciales y digitales y operadores críticos), hasta ahora diseminados en diferentes normas sectoriales.
Estas son algunas de las modificaciones más importantes que ha implementado el nuevo ENS para la consecución de sus objetivos de actualización. Los nuevos sistemas que se certifiquen ya deben hacerlo con base en este nuevo esquema. No obstante, los sistemas que ya se encuentren certificados disponen de un plazo de 24 meses desde su entrada en vigor para adoptar las nuevas disposiciones normativas.
No cabe duda de que, para las organizaciones que se encuentran bajo su ámbito de aplicación, la entrada en vigor del nuevo Esquema Nacional de Seguridad va implicar nuevos retos y la puesta en marcha de importantes esfuerzos organizativos. Pero no menos importantes como lo es la garantía de un sector y unos servicios públicos digitalmente seguros y confiables para la ciudadanía. Visto de otro modo, el nuevo ENS abre una estimable ventana de oportunidad para la respuesta al actual panorama de ciberamenazas global y dota a las organizaciones, tanto del sector público como del privado, de una herramienta actualizada y a la altura de los más altos estándares de seguridad de la información que permitirá asegurar, en último término, un ecosistema digital fiable, protegido y sólido.
Autor/es:
Departamento de Consultoría de Entelgy Innotec Security
Juan Antonio García García, Mireia Casanovas, Silvia Sierra Martín, Jordi Plaza Verdú, María Catarina Afonso Xardo Pinto, Claudia Arias Cobas, Vanessa Santacana Mora, Jose Espinal Ponce.