Esquema Nacional de Seguridad 2022. Cambios y novedades

El pasado 3 de mayo de 2022 se publicó el nuevo Real Decreto (311/2022) por el que se regulan y actualizan los requisitos de seguridad del Esquema Nacional de Seguridad (ENS).

Hay que destacar que este nuevo Real Decreto deroga al actual R.D. 3/2010 y su posterior actualización en el año 2015 (R.D. 951/2015) que, tras casi 7 años, ha sufrido una actualización significativa para adaptarse a los nuevos tiempos. Este nuevo Esquema Nacional de Seguridad supone diversos cambios en la seguridad y sistemas de información de las administraciones públicas y entidades privadas que presten servicios al sector público.

Actualmente estamos en un mundo donde la evolución tecnológica sufre grandes avances en espacios cortos de tiempo, por lo tanto, se hace necesario adaptar los requerimientos y medidas de seguridad a los tiempos y necesidades actuales. Esta nueva realidad pone el foco en la ciberseguridad para estar mejor preparado ante los riesgos que suponen las nuevas amenazas y vulnerabilidades, buscando promover la vigilancia continua en los servicios tecnológicos. Este proceso de cambio del Esquema Nacional de Seguridad no solo cubre las necesidades del sector público, sino que busca ser un referente como guía para el sector privado con el objetivo de aumentar las medidas de seguridad ya existentes.

La actualización del ENS trae consigo un cambio de visión tal y como indicó Pablo López, jefe del Área de Normativa y Servicios de Ciberseguridad del CCN, en las XV jornadas STIC celebradas el marzo de 2022 donde señaló la necesidad de establecer mecanismos de prevención proactivos indicando que “en el ENS hay prevención, protección, detección y respuesta; pero ha llegado un momento en el que no podemos ser constantemente reactivos, por lo que hay que implementar la prevención”.

Cambios y novedades más importantes que trae la actualización del Esquema Nacional de Seguridad:

La organización ha de establecer 4 roles principales dentro de la misma:

Responsable de información.
Responsable del servicio.
Responsable de la seguridad.
Responsable del sistema.

Este último rol en la versión anterior del ENS no se requería como exigible. Asimismo, hay que destacar que el responsable de seguridad será distinto del responsable del sistema (salvo en excepciones justificadas).

En esta sección se añade el concepto de «perfil de cumplimiento específico», que se trata de una serie de requisitos realizados por el CCN (Centro Criptológico Nacional) a los que unas determinadas organizaciones se podrán acoger para cumplir con el ENS. Esto busca que el cumplimiento y adecuación con el Esquema Nacional de Seguridad se pueda alcanzar de una forma más eficiente para compañías de menor tamaño o con recursos más limitados.

Sin embargo, los requisitos mínimos se mantienen en su totalidad destacando algún cambio en los siguientes:

Organización e implantación del proceso de seguridad: Se establece una nueva figura en el caso de servicios externalizados, como es el POC (Punto o Persona de Contacto) cuya función es analizar y supervisar los requisitos de seguridad del servicio que presta o solución que provea, gestionando las comunicaciones relativas a la seguridad de la información y los incidentes para el ámbito del servicio que provea.
Mínimo privilegio: Donde se cambia el concepto “Seguridad por Defecto” reacondicionando los requisitos para configurar los sistemas a los mínimos accesos necesarios para el cumplimiento de las competencias.
Prevención ante otros sistemas de información interconectados: Se menciona la actual Ley General de Telecomunicaciones (9/2014)
Incidentes de Seguridad: Estableciendo que, en el caso de ser un operador crítico, se ha de tener en cuenta Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

En este punto se amplía y determina la necesidad del sector público de comunicar los incidentes con impacto significativo en la seguridad al CCN donde actuará como coordinador; y en el caso del sector privado, que preste servicio a entidades públicas, la necesidad de notificarlo ante INCIBE CERT.

Se especifica que para la certificación del ENS en los niveles medio y alto se requiere auditoria formal, mientras que en nivel bajo únicamente una autoevaluación.

Se establece que la valoración de los impactos sobre las dimensiones recae en el responsable de la información o servicios y la aprobación de la categoría del ENS recae en el responsable de seguridad.

Una de las partes esenciales de este nuevo RD y que más interés tendrá en las compañías es la actualización de las medidas de seguridad de este anexo. Es reseñable que el número de controles se reduce a 74 (uno menos que en el anterior ENS), pero se han implementado muchos cambios para aumentar las medidas de seguridad ya existentes y otros que buscan facilitar la tarea en la incorporación de los requisitos. A continuación, explicamos los principales cambios en el marco operacional y en las medidas de protección.

Planificación

Op.pl.4 Dimensionamiento/Gestión de la capacidad aplica ahora desde nivel bajo.
Op.pl.5 Componentes certificados aplica desde la categorización media.

Control de acceso

Op.acc.5 Mecanismos de autenticación se divide en dos controles (Usuarios externo y usuarios de la organización) y desaparecen los controles de acceso local y remoto.

Explotación

Se elimina el control el Op.exp.10 Protección de los registros de actividad.
Op.exp.3 Gestión de la configuración, Op.exp.7 Gestión de incidentes y Op.exp.9 Registro de incidentes aplican ahora desde la categorización de nivel bajo.

Recursos externos

Op.ext.9 Medios alternativos desaparece como control en la nueva actualización.
Aparecen nuevos controles como Op.ext.3 Protección de la cadena de suministro aplicable en nivel alto y Op.ext.4 Interconexión de sistemas que aplica para nivel medio y superior.

Servicios en la nube

Op.nub.1 Protección de servicios en la nube aparece como nuevo control aplicable desde nivel bajo.

Continuidad del servicio

Se añade un nuevo control Op.cont.4 Medios Alternativos, el resto se mantienen con los mismos criterios.

Monitorización del sistema

Se incluye un nuevo control Op.mon.3 Vigilancia que aplica desde nivel bajo al igual que los otros controles, donde antes solo aplicaban desde nivel medio (Op.mon.1) o alto (Op.mon.2).

Protección de las instalaciones

Desaparece el control Mp.if.9 Instalaciones alternativas.

Gestión del personal

Se elimina el control Mp.per.9 Personal Alternativo.

Protección de equipos

Se incluye un nuevo control Mp.eq.4 Otros dispositivos conectados a red aplicable a partir de nivel bajo.
Se suprime el control Mp.eq.9 Medios alternativos.

Protección de las comunicaciones

Mp.com.2 Protección de la confidencialidad aplica ahora desde nivel bajo y se elimina el control Mp.com.9 Medios alternativos.

Protección de los soportes de información y protección de aplicaciones informáticas

Se mantienen prácticamente con los mismos requisitos.

Protección de la información

El control Mp.info.3 Cifrado se suprime de este bloque de medidas de protección y el control Mp.info.2 Calificación de la información aplica ahora a partir del nivel medio de categorización (antes desde bajo).

Protección de los servicios

Se añade nuevo control M.s.3 Protección de la navegación Web que aplica desde nivel bajo y se suprime el control Mp.s.9 Medios alternativos.

Estas actualizaciones de los controles buscan proteger a las organizaciones de los riesgos más habituales de seguridad a los que se enfrentan, como por ejemplo el aumento del control de los servicios en la nube, la protección de la cadena de suministro o la interconexión de sistemas. Es clave que las nuevas estrategias para implementar el nuevo ENS tengan en su hoja de ruta el incremento de sus niveles de madurez en ciberseguridad y la mitigación de los riesgos de seguridad.

Por último, si una organización ya está adaptada al ENS bajo el R.D. 3/2010, se les otorgará un plazo de 24 meses para su adecuación al nuevo esquema, una vez sea aprobado y publicado en el BOE. Por esa razón, te recomendamos poner en marcha la actualización a este nuevo Esquema Nacional de Seguridad cuanto antes, de manera que su entidad disponga de todos los nuevos requisitos en sus sistemas.

El nuevo ENS explicado en infografías

El Centro Criptológico Nacional (CCN -CERT) ha publicado en el portal del Esquema Nacional de Seguridad una serie de infografías para entender mejor los cambios y novedades propuestos:

¿Cómo podemos ayudarte?

Desde GlobalSuite Solutions podemos apoyarte implementando los procedimientos y requisitos que aplica el nuevo Esquema Nacional de Seguridad, llevando a cabo un diagnóstico inicial del cumplimiento de tu entidad y analizando tu Sistema de Gestión de Seguridad de la Información (SGSI) y tus sistemas de ciberseguridad. Con la integración del nuevo Esquema Nacional de Seguridad en una solución obtendrás seguridad en el cumplimiento y ahorro de tiempos.

Acompañamiento en todo momento con nuestro equipo de consultores expertos y con posibilidad de automatizar todo el proyecto en nuestra herramienta; GlobalSuite®
El ENS está precargado en la solución para una puesta en marcha inmediata.
Ahorro de tiempo utilizando menos recursos con el uso del software, con ello obtienes mejores resultados y tiempo para el análisis.
Ciclo de mejora continua hasta un 26% más rápido sin duplicidad de información y disponiendo de resultados más fiables.
Hasta un 28% más de eficiencia en la realización de los análisis de riesgos basándonos en los requerimientos de otros estándares internacionales como ISO 27001, NIST Cybersecurity Framework, etc.

Puedes solicitar más información en el siguiente enlace.

Ciberseguridad, Seguridad

Cookie	Duración	Descripción
_GRECAPTCHA		Esta cookie es establecida por Google. Además de ciertas cookies estándar de Google, reCAPTCHA establece una cookie necesaria (_GRECAPTCHA) cuando se ejecuta con el fin de proporcionar su análisis de riesgos.
viewed_cookie_policy		La cookie es establecida por el complemento GDPR Cookie Consent para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_dc_gtm_UA-965325-8	1 minute	No description
afl_wc_utm_cookie_expiry	3 months	No description available.
afl_wc_utm_sess_landing	3 months	No description available.
afl_wc_utm_sess_visit	3 months	No description available.
AnalyticsSyncHistory	1 month	No description
bridge_sid_Xy0yMDM3OTQ4Nzkz	2 hours	No description
bridge_uid_Xy0yMDM3OTQ4Nzkz	1 year	No description
li_gc	2 years	No description
oribi_cookie_test	session	No description
oribi_session	2 hours	No description available.
oribi_user_guid	1 year	No description available.
prism_224354013	1 month	No description
TS01ad8345	session	No description
UserMatchHistory		Linkedin - Se utiliza para rastrear a los visitantes en múltiples sitios web, con el fin de presentar publicidad relevante basada en las preferencias del visitante.

Cookie	Duración	Descripción
_ga		La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe analítico del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer a los visitantes únicos.
_ga_XWPV7VHQKR		Esta cookie es instalada por Google Analytics.
_gcl_au		Proporcionado por Google Tag Manager para experimentar la eficiencia publicitaria de los sitios web que utilizan sus servicios.
_gid		Instalada por Google Analytics, _gid cookie almacena información sobre cómo los visitantes utilizan un sitio web, al tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.
_hjAbsoluteSessionInProgress	30 minutes	No description available.
_hjFirstSeen		Esto es establecido por Hotjar para identificar la primera sesión de un nuevo usuario. Almacena un valor verdadero/falso, indicando si esta fue la primera vez que Hotjar vio a este usuario. Es utilizado por los filtros de grabación para identificar nuevas sesiones de usuario.
_hjid		Esta es una cookie de Hotjar que se establece cuando el cliente aterriza por primera vez en una página utilizando el script de Hotjar.
_hjIncludedInPageviewSample	2 minutes	No description available.
_hjTLDTest		No hay descripción disponible.
CONSENTIMIENTO		Estas cookies se establecen a través de videos incrustados de youtube. Registran datos estadísticos anónimos sobre, por ejemplo, cuántas veces se muestra el video y qué configuraciones se utilizan para la reproducción. No se recopilan datos confidenciales a menos que inicie sesión en su cuenta de Google, en ese caso sus opciones están vinculadas con su cuenta, por ejemplo, si hace clic en "me gusta" en un video.

Cookie	Duración	Descripción
bcookie		LinkedIn establece esta cookie desde los botones de compartir de LinkedIn y las etiquetas de anuncios para reconocer el ID del navegador.
Lang		Esta cookie se utiliza para almacenar las preferencias de idioma de un usuario para servir contenido en ese idioma almacenado la próxima vez que el usuario visite el sitio web.
lidc		LinkedIn establece la cookie lidc para facilitar la selección del centro de datos.

ENS 2022 ¿Cómo afectará a las empresas las novedades en el Esquema Nacional de Seguridad?

Cambios y novedades más importantes que trae la actualización del Esquema Nacional de Seguridad:

El nuevo ENS explicado en infografías

¿Cómo podemos ayudarte?

Security

Risk management

Business continuity

Compliance management

Privacy Data Protection

Audit Management

Más artículos

Actualización de la norma PCI DSS: qué esperar para su organización.

Cómo hacer la auditoría interna de un SGSI basado en la ISO 27001

5 Claves para la implementación de su SGSI

Autor

Últimos posts