Esquema Nacional de Seguridad Preguntas frecuentes

Qu es el Esquema Nacional de Seguridad (ENS)? El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, regula el citado Esquema previsto en el artculo 42 de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos. Su objeto es establecer la poltica de seguridad en la utilizacin de medios electrnicos y est constituido por principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin. Por qu es necesario el Esquema Nacional de Seguridad? El Esquema Nacional de Seguridad es necesario para establecer aspectos comunes relativos a la seguridad en la implantacin y utilizacin de los medios electrnicos por las Administraciones Pblicas, al objeto de crear las condiciones necesarias para la confianza en el uso de los citados medios electrnicos que permita el ejercicio de derechos y el cumplimiento de deberes a travs de estos medios Cules son los objetivos principales del ENS? Sus objetivos principales son los siguientes:

Crear las condiciones necesarias de confianza en el uso de los medios electrnicos que permitan a los ciudadanos y a las Administraciones Pblicas, el ejercicio de derechos y el cumplimiento de deberes a travs de estos medios. Introducir los elementos comunes que han de guiar la actuacin de las Administraciones pblicas en materia de seguridad de las tecnologas de la informacin. Aportar un lenguaje comn para facilitar la interaccin de las Administraciones pblicas, as como la comunicacin de los requisitos de seguridad de la informacin a la Industria.

Cul es su origen?, Quines han participado en la elaboracin del ENS? El ENS se establece en el artculo 42 de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos. El ENS es el resultado de un trabajo coordinado por el Ministerio de la Presidencia, con el apoyo del Centro Criptolgico Nacional (CCN) y la participacin de todas las administraciones pblicas, incluyendo las universidades pblicas (CRUE), a travs de los rganos colegiados con competencias en materia de administracin electrnica: Consejo Superior de Administracin Electrnica, Comit Sectorial de Administracin Electrnica,
1

Comisin Nacional de Administracin Local. Ms los informes preceptivos de: Ministerio de Poltica Territorial, Ministerio de la Presidencia, Agencia Espaola de Proteccin de Datos y Consejo de Estado. Tambin se ha tenido presente la opinin de las asociaciones de la Industria del sector TIC, las aportaciones recibidas tras la publicacin del borrador en el sitio web del Consejo Superior de Administracin Electrnica el 3 de septiembre de 2009. Es el ENS de obligado cumplimiento para todas las Administraciones Pblicas? El mbito de aplicacin del Esquema Nacional de Seguridad es el establecido en el artculo 2 de la Ley 11/2007: A la Administracin General del Estado, Administraciones de las Comunidades Autnomas y las Entidades que integran la Administracin Local, as como las entidades de derecho pblico vinculadas o dependientes de las mismas. A los ciudadanos en sus relaciones con las Administraciones Pblicas. A las relaciones entre las distintas Administraciones Pblicas.

Estn excluidos del mbito de aplicacin del ENS los sistemas que tratan informacin clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo. Es el ENS de aplicacin tambin a la relacin entre administraciones?

Desde luego. El mbito de aplicacin del ENS es el establecido en el artculo 2 de la Ley 11/2007. En l se seala que tambin es de aplicacin a las relaciones entre las distintas Administraciones Pblicas. Quedan excluidos los sistemas que manejan informacin clasificada. Es el ENS de aplicacin a las entidades vinculadas o dependientes de las Administraciones Pblicas? A la luz de la Ley 11/2007, de la Ley 30/1992 y de la Ley 6/1997 cabe interpretar lo siguiente: El ENS es aplicable a las entidades de derecho pblico vinculadas o dependientes de las Administraciones Pblicas (AGE, CC.AA., CC.LL.); aunque puede ser necesario un anlisis caso por caso. Ciertos 'organismos pblicos', segn la disposicin adicional dcima de la Ley 6/1997 estn vinculados a la AGE y, por tanto, entran dentro del mbito de aplicacin del ENS.

 Lo mismo ocurre con dependientes de la AGE.

otras

entidades

empresariales

vinculadas

Las Universidades Pblicas son Administracin Pblica vinculada (que no dependiente) a las administraciones de las Comunidades Autnomas y les aplica el ENS. En el caso de los rganos constitucionales (Casa Real, Congreso, Senado, CGPJ, Tribunal Constitucional, Defensor del Pueblo, Tribunal de Cuentas, Consejo Econmico y Social) la aplicacin del ENS, o no, sera una decisin propia. No obstante, como se ha dicho ms arriba, hay que analizar caso por caso para determinar si se trata de una entidad de derecho pblico vinculada o dependiente de alguna de las Administraciones Pblicas. No parece necesario que ejerzan potestades administrativas, ni que su actividad est sujeta a la Ley 30/1992 por imperativo de sta. Es el ENS de aplicacin a las Universidades Pblicas? Las Universidades Pblicas son administraciones pblicas y, por tanto, les resulta de aplicacin el ENS, todo ello sin perjuicio de las limitaciones que, eventualmente, pudieran tener como consecuencia del alcance la autonoma prevista en el artculo 2 de la ley Orgnica de Universidades, para lo que est en mejor posicin de interpretarlo el Ministerio de Educacin o el propio Consejo Rector. Cul es el impacto del ENS en los sistemas actuales? Todos los sistemas existentes deben adecuarse al ENS en un plazo de 12 meses desde su aprobacin, aunque si hubiera circunstancias que impidieran la plena aplicacin, se dispondr de un plan de adecuacin que marque los plazos de ejecucin, en ningn caso superior a 48 meses desde la entrada en vigor del esquema. Tras la publicacin del ENS, cules son los pasos siguientes? Cabe destacar los siguientes: Elaboracin por parte de CCN de las guas de seguridad para mejor cumplimiento del Esquema, de acuerdo con lo previsto en el artculo 29 del Real Decreto 3/2010. Reforzamiento de CCN-CERT de acuerdo con las funciones previstas en los artculos 36 y 37 del citado Real Decreto 3/2010.

Realizacin de las acciones de formacin en colaboracin con el INAP, de acuerdo con lo previsto en la disposicin adicional primera del Real Decreto 3/2010.

Para qu sirven los Principios Bsicos? Los principios bsicos establecen unos puntos de referencia para tomar decisiones Son como la Estrella Polar cuando uno est perdido: si el camino le lleva sistemticamente en otra direccin, probablemente el camino no sea el adecuado; si hay una bifurcacin, hay que optar por la que se orienta correctamente. Mientras todo funciona correctamente, la Estrella Polar es meramente decorativa. Qu se hace con los Requisitos Mnimos? Los requisitos mnimos deben cumplirse. Lo ms habitual es que se cumplan por medio de la aplicacin de las medidas de seguridad establecidas en el Anexo II del Real Decreto 3/2010; pero si por alguna razn, motivada y documentada, las medidas de seguridad del citado Anexo II son sustituidas por otras medidas compensatorias, los requisitos mnimos deben cumplirse igualmente. Qu diferencia hay entre el responsable de la informacin, el responsable del servicio, el responsable del sistema y el responsable de seguridad? El Real Decreto 3/2010 seala las siguientes figuras: El responsable de informacin determina los requisitos de sta. Suele ser un alto cargo. Ntese que la informacin de alto nivel que se maneja en un rgano de la Administracin Pblica o Entidad de Derecho Pblico cae habitualmente dentro de un grupo reducido de tipos de informacin, tipos que son muy estables en el tiempo. La valoracin se realiza una vez en una fase inicial de implantacin del ENS y puede permanecer inalterable durante aos. El responsable del servicio determina los requisitos de los servicios prestados. Suele ser un jefe de servicio o equivalente, habitualmente jerrquicamente supeditado al responsable de la informacin. Esta estructura refleja el hecho habitual de que un servicio hereda los requisitos de la informacin que maneja, sin perjuicio de las exigencias en materia de disponibilidad que convenga aadir.

El responsable de seguridad, determinar las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios. Tiene un perfil ms tcnico ya que su misin es asegurarse de que las medidas de seguridad que se van a aplicar satisfacen los requisitos demandados por los responsables de la informacin y los servicios.
4

 El responsable del sistema, constituye habitualmente el punto de contacto del sistema, es en lneas generales el encargado de las operaciones del sistema y, desde el punto de vista operacional, conocer todos los elementos que constituyen el sistema y asegurar que existe autorizacin previa a su entrada en funcionamiento. En cualquier caso, la determinacin precisa de quin se ocupa de cada funcin debe adecuarse a las particularidades de cada organizacin y parece difcil que pueda establecerse una regla nica para toda la Administracin en todos los niveles. El ENS seala responsabilidades, que en algunos sitios sern ms formales (se limita a firmar) y en otros sitios sern ms operacionales (se involucra activamente). En relacin con el artculo 30 relativo al mbito de aplicacin del ENS, cmo se determina si ciertas aplicaciones estaran dentro del mbito de aplicacin del ENS? Se requiere analizar si el supuesto planteado se trata de: Un sistema no relacionado electrnicos. Si no est relacionado con electrnicos. Si no est relacionado con ciudadanos a la informacin y con el ejercicio de derechos por medios un cumplimiento de deberes por medios el acceso por medios electrnicos de los al procedimiento administrativo. que las

Solo en el caso de no est relacionado cabe la posibilidad administraciones puedan determinar que no es de aplicacin el ENS.

Por tanto, se requiere que no est relacionado y la determinacin de la administracin correspondiente. En qu consiste la categorizacin de los sistemas para la adopcin de medidas de seguridad? La proporcionalidad es uno de los principios del ENS. Es necesario categorizar los sistemas para determinar las medidas de seguridad, que deben ser proporcionadas a la naturaleza de la informacin que se maneja, de los servicios que se prestan y de los riesgos a los que estn expuestos.

Para ello se contempla la categorizacin de los sistemas en 3 escalones en funcin del impacto que tendra un incidente que afectara a la seguridad de la informacin o de los servicios en alguna de las dimensiones de seguridad: autenticacin, integridad, confidencialidad, disponibilidad y trazabilidad.

Este impacto se mide atendiendo a la repercusin que tendra el incidente respecto al logro de los objetivos, a la proteccin de los activos, al cumplimiento

de las obligaciones de servicio por parte del departamento correspondiente, al respeto a la legalidad o a los derechos del ciudadano. Cmo se catalogan los sistemas? Se indican los pasos a seguir en el Anexo I del ENS. Cmo se realiza el control de la aplicacin del ENS? Existen varios controles: los ordinarios de cumplimiento de cada unidad administrativa, los que pueda articular el Comit Sectorial de Administracin Electrnica para conocer el estado de las principales variables de seguridad, los derivados de las auditoras y, eventualmente, los que pudiera tener del CCN en el mbito de su competencia. Contempla el ENS algn mecanismo de auditora? El ENS impulsa una gestin continua de la seguridad. Todas las actuaciones deben estar formalizadas permitiendo una auditora, prevista en el artculo 34 del Real Decreto 3/2010. Adems, la auditora de la seguridad se describe en el Anexo III del citado Real Decreto 3/2010 y se indica que la seguridad de los sistemas de informacin debe ser auditada de acuerdo a la existencia de un sistema de gestin de la seguridad de la informacin, al menos cada dos aos para las categoras media y alta. Como resultado de la auditora se determinarn las posibles deficiencias existentes y debern ponerse en marcha las correspondientes acciones correctoras por el responsable de seguridad. Se sigue el modelo aplicado en la proteccin de datos de carcter personal en el Real Decreto 1720/ 2007. Qu responsabilidades se derivan del incumplimiento del ENS? Las responsabilidades derivadas del incumplimiento del ENS son de distinta naturaleza, en cualquier caso segn lo previsto en la Ley 30/1992. Qu primeros pasos se deben adoptar para cumplir el ENS? Cabe sealar los siguientes: 1. Establecer una poltica de seguridad. Esto conlleva lo siguiente: Establecer roles, funciones y procedimiento de designacin. Particularizar los criterios del Anexo I relativos a la categorizacin de los sistemas. 2. Identificar la informacin y los servicios. Esto conlleva lo siguiente: Identificar a los responsables. Valorar la informacin y los servicios. 3. Realizar el anlisis de riesgos y revisar el cumplimiento del Anexo II.

4. Hacer un plan para alcanzar el pleno cumplimiento del ENS. Existe algn modelo de poltica de seguridad que pueda servir de referencia? Los aspectos principales del contenido de la poltica de seguridad se apuntan en el Anexo II del Real Decreto 3/2010, en la medida de seguridad [org.1]: La poltica de seguridad ser aprobada por el rgano superior competente que corresponda, de acuerdo con lo establecido en el artculo 11, y se plasmar en un documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente: a) Los objetivos o misin de la organizacin. b) El marco legal y regulatorio en el que se desarrollarn las actividades. c) Los roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, as como el procedimiento para su designacin y renovacin. d) La estructura del comit o los comits para la gestin y coordinacin de la seguridad, detallando su mbito de responsabilidad, los miembros y la relacin con otros elementos de la organizacin. e) Las directrices para la estructuracin de la documentacin de seguridad del sistema, su gestin y acceso. No obstante, se contempla elaborar una gua de seguridad que oriente sobre esta cuestin. Sobre las Guas CCN-STIC de Seguridad de los Sistemas de Informacin y Comunicaciones a las que se hace referencia en el Art.29, qu guas hay publicadas?, cmo se puede acceder a ellas? Se est trabajando en la elaboracin de las guas previstas en el artculo 29 del Real Decreto 3/2010. Estarn accesibles en la direccin siguiente: https://www.ccn-cert.cni.es/ El artculo 15 expresa la necesidad de que la seguridad de los sistemas sea gestionada por personal cualificado. Se han articulado o definido los criterios de cualificacin de personal en base a certificaciones, titulaciones? Dos cuestiones son importantes aqu: El principio de La seguridad como funcin diferenciada, que se trata en el artculo 10. Artculo 10. La seguridad como funcin diferenciada.

En los sistemas de informacin se diferenciar el responsable de la informacin, el responsable del servicio y el responsable de la seguridad. El responsable de la informacin determinar los requisitos de la informacin tratada; el responsable del servicio determinar los requisitos de los servicios prestados; y el responsable de seguridad determinar las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios. La responsabilidad de la seguridad de los sistemas de informacin estar diferenciada de la responsabilidad sobre la prestacin de los servicios. La poltica de seguridad de la organizacin detallar las atribuciones de cada responsable y los mecanismos de coordinacin y resolucin de conflictos. El requisito de profesionalidad que se trata en el artculo 15. Artculo 15. Profesionalidad. 1. La seguridad de los sistemas estar atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalacin, mantenimiento, gestin de incidencias y desmantelamiento. 2. El personal de las Administraciones pblicas recibir la formacin especfica necesaria para garantizar la seguridad de las tecnologas de la informacin aplicables a los sistemas y servicios de la Administracin. 3. Las Administraciones pblicas exigirn, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con unos niveles idneos de gestin y madurez en los servicios prestados. Se debe desarrollar un SGSI formalizado y adecuado a las normas y buenas prcticas establecidas en estndares internacionales como, por ejemplo, ISO/IEC 27001? El ENS impulsa que debe haber una gestin continuada de la seguridad, necesaria para poder satisfacer al menos:

los principios a) Seguridad integral, b) Gestin de riesgos, e) Reevaluacin peridica y los requisitos mnimos: a) Organizacin e implantacin del proceso de seguridad y o) Mejora continua del proceso de seguridad. Todas las actuaciones deben estar formalizadas permitiendo una auditora.

La norma ISO/IEC 27001, en resumen, especifica un sistema de gestin certificable. El ENS no exige especficamente que el sistema de gestin de la
8

seguridad de la informacin sea el especificado por la norma ISO/IEC 27001, si bien ste es aplicable. En su caso corresponder al auditor juzgar si su sustitucin por otro sistema de gestin satisface los principios y requisitos mnimos exigidos por el ENS y permite verificar que la seguridad del sistema de informacin est efectivamente bajo control. La certificacin de la conformidad con ISO/IEC 27001 NO es obligatoria en el ENS. Cul es la relacin entre el ENS y la norma ISO/IEC 27002? La norma ISO/IEC 27002 es un conjunto de controles de seguridad para sistemas de informacin genricos. Numerosas medidas de seguridad del ENS coinciden con controles de ISO/IEC 27002. El ENS es ms preciso y establece un sistema de proteccin proporcionado a la informacin y servicios a proteger para racionalizar la implantacin de medidas de seguridad y reducir la discrecionalidad. La norma ISO/IEC 27002 carece de esta proporcionalidad, quedando a la mejor opinin del auditor que certifica la conformidad con ISO/IEC 27001. Por otra parte, el ENS contempla diversos aspectos, por ejemplo, relativos a la firma electrnica no recogidos en la norma ISO/IEC 27002. Las instalaciones las he subcontratado a un proveedor, tengo que aplicar los requisitos mnimos y las medidas de seguridad relativos a instalaciones?

Usted, no. Pero debe tener en cuenta los requisitos mnimos y las medidas de seguridad correspondientes a la categora del sistema y a los niveles requeridos en cada dimensin de seguridad, para exigrselos a su proveedor en el acuerdo de prestacin de servicios.