El pasado 3 de mayo de 2022 se publicó el nuevo Real Decreto (311/2022) por el que se regulan y actualizan los requisitos de seguridad del Esquema Nacional de Seguridad (ENS).
Hay que destacar que este nuevo Real Decreto deroga al actual R.D. 3/2010 y su posterior actualización en el año 2015 (R.D. 951/2015) que, tras casi 7 años, ha sufrido una actualización significativa para adaptarse a los nuevos tiempos. Este nuevo Esquema Nacional de Seguridad supone diversos cambios en la seguridad y sistemas de información de las administraciones públicas y entidades privadas que presten servicios al sector público.
Actualmente estamos en un mundo donde la evolución tecnológica sufre grandes avances en espacios cortos de tiempo, por lo tanto, se hace necesario adaptar los requerimientos y medidas de seguridad a los tiempos y necesidades actuales. Esta nueva realidad pone el foco en la ciberseguridad para estar mejor preparado ante los riesgos que suponen las nuevas amenazas y vulnerabilidades, buscando promover la vigilancia continua en los servicios tecnológicos. Este proceso de cambio del Esquema Nacional de Seguridad no solo cubre las necesidades del sector público, sino que busca ser un referente como guía para el sector privado con el objetivo de aumentar las medidas de seguridad ya existentes.
La actualización del ENS trae consigo un cambio de visión tal y como indicó Pablo López, jefe del Área de Normativa y Servicios de Ciberseguridad del CCN, en las XV jornadas STIC celebradas el marzo de 2022 donde señaló la necesidad de establecer mecanismos de prevención proactivos indicando que “en el ENS hay prevención, protección, detección y respuesta; pero ha llegado un momento en el que no podemos ser constantemente reactivos, por lo que hay que implementar la prevención”.
Cambios y novedades más importantes que trae la actualización del Esquema Nacional de Seguridad:
La organización ha de establecer 4 roles principales dentro de la misma:
- Responsable de información.
- Responsable del servicio.
- Responsable de la seguridad.
- Responsable del sistema.
Este último rol en la versión anterior del ENS no se requería como exigible. Asimismo, hay que destacar que el responsable de seguridad será distinto del responsable del sistema (salvo en excepciones justificadas).
En esta sección se añade el concepto de «perfil de cumplimiento específico», que se trata de una serie de requisitos realizados por el CCN (Centro Criptológico Nacional) a los que unas determinadas organizaciones se podrán acoger para cumplir con el ENS. Esto busca que el cumplimiento y adecuación con el Esquema Nacional de Seguridad se pueda alcanzar de una forma más eficiente para compañías de menor tamaño o con recursos más limitados.
Sin embargo, los requisitos mínimos se mantienen en su totalidad destacando algún cambio en los siguientes:
- Organización e implantación del proceso de seguridad: Se establece una nueva figura en el caso de servicios externalizados, como es el POC (Punto o Persona de Contacto) cuya función es analizar y supervisar los requisitos de seguridad del servicio que presta o solución que provea, gestionando las comunicaciones relativas a la seguridad de la información y los incidentes para el ámbito del servicio que provea.
- Mínimo privilegio: Donde se cambia el concepto “Seguridad por Defecto” reacondicionando los requisitos para configurar los sistemas a los mínimos accesos necesarios para el cumplimiento de las competencias.
- Prevención ante otros sistemas de información interconectados: Se menciona la actual Ley General de Telecomunicaciones (9/2014)
- Incidentes de Seguridad: Estableciendo que, en el caso de ser un operador crítico, se ha de tener en cuenta Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
En este punto se amplía y determina la necesidad del sector público de comunicar los incidentes con impacto significativo en la seguridad al CCN donde actuará como coordinador; y en el caso del sector privado, que preste servicio a entidades públicas, la necesidad de notificarlo ante INCIBE CERT.
Se especifica que para la certificación del ENS en los niveles medio y alto se requiere auditoria formal, mientras que en nivel bajo únicamente una autoevaluación.
Se establece que la valoración de los impactos sobre las dimensiones recae en el responsable de la información o servicios y la aprobación de la categoría del ENS recae en el responsable de seguridad.
Una de las partes esenciales de este nuevo RD y que más interés tendrá en las compañías es la actualización de las medidas de seguridad de este anexo. Es reseñable que el número de controles se reduce a 74 (uno menos que en el anterior ENS), pero se han implementado muchos cambios para aumentar las medidas de seguridad ya existentes y otros que buscan facilitar la tarea en la incorporación de los requisitos. A continuación, explicamos los principales cambios en el marco operacional y en las medidas de protección.
- Planificación
Op.pl.4 Dimensionamiento/Gestión de la capacidad aplica ahora desde nivel bajo.
Op.pl.5 Componentes certificados aplica desde la categorización media.
- Control de acceso
Op.acc.5 Mecanismos de autenticación se divide en dos controles (Usuarios externo y usuarios de la organización) y desaparecen los controles de acceso local y remoto.
- Explotación
Se elimina el control el Op.exp.10 Protección de los registros de actividad.
Op.exp.3 Gestión de la configuración, Op.exp.7 Gestión de incidentes y Op.exp.9 Registro de incidentes aplican ahora desde la categorización de nivel bajo.
- Recursos externos
Op.ext.9 Medios alternativos desaparece como control en la nueva actualización.
Aparecen nuevos controles como Op.ext.3 Protección de la cadena de suministro aplicable en nivel alto y Op.ext.4 Interconexión de sistemas que aplica para nivel medio y superior.
- Servicios en la nube
Op.nub.1 Protección de servicios en la nube aparece como nuevo control aplicable desde nivel bajo.
- Continuidad del servicio
Se añade un nuevo control Op.cont.4 Medios Alternativos, el resto se mantienen con los mismos criterios.
- Monitorización del sistema
Se incluye un nuevo control Op.mon.3 Vigilancia que aplica desde nivel bajo al igual que los otros controles, donde antes solo aplicaban desde nivel medio (Op.mon.1) o alto (Op.mon.2).
- Protección de las instalaciones
Desaparece el control Mp.if.9 Instalaciones alternativas.
- Gestión del personal
Se elimina el control Mp.per.9 Personal Alternativo.
- Protección de equipos
Se incluye un nuevo control Mp.eq.4 Otros dispositivos conectados a red aplicable a partir de nivel bajo.
Se suprime el control Mp.eq.9 Medios alternativos.
- Protección de las comunicaciones
Mp.com.2 Protección de la confidencialidad aplica ahora desde nivel bajo y se elimina el control Mp.com.9 Medios alternativos.
- Protección de los soportes de información y protección de aplicaciones informáticas
Se mantienen prácticamente con los mismos requisitos.
- Protección de la información
El control Mp.info.3 Cifrado se suprime de este bloque de medidas de protección y el control Mp.info.2 Calificación de la información aplica ahora a partir del nivel medio de categorización (antes desde bajo).
- Protección de los servicios
Se añade nuevo control M.s.3 Protección de la navegación Web que aplica desde nivel bajo y se suprime el control Mp.s.9 Medios alternativos.
Estas actualizaciones de los controles buscan proteger a las organizaciones de los riesgos más habituales de seguridad a los que se enfrentan, como por ejemplo el aumento del control de los servicios en la nube, la protección de la cadena de suministro o la interconexión de sistemas. Es clave que las nuevas estrategias para implementar el nuevo ENS tengan en su hoja de ruta el incremento de sus niveles de madurez en ciberseguridad y la mitigación de los riesgos de seguridad.
Por último, si una organización ya está adaptada al ENS bajo el R.D. 3/2010, se les otorgará un plazo de 24 meses para su adecuación al nuevo esquema, una vez sea aprobado y publicado en el BOE. Por esa razón, te recomendamos poner en marcha la actualización a este nuevo Esquema Nacional de Seguridad cuanto antes, de manera que su entidad disponga de todos los nuevos requisitos en sus sistemas.
¿Cómo podemos ayudarte?
Desde GlobalSuite Solutions podemos apoyarte implementando los procedimientos y requisitos que aplica el nuevo Esquema Nacional de Seguridad, llevando a cabo un diagnóstico inicial del cumplimiento de tu entidad y analizando tu Sistema de Gestión de Seguridad de la Información (SGSI) y tus sistemas de ciberseguridad. Con la integración del nuevo Esquema Nacional de Seguridad en una solución obtendrás seguridad en el cumplimiento y ahorro de tiempos.
- Acompañamiento en todo momento con nuestro equipo de consultores expertos y con posibilidad de automatizar todo el proyecto en nuestra herramienta; GlobalSuite®
- El ENS está precargado en la solución para una puesta en marcha inmediata.
- Ahorro de tiempo utilizando menos recursos con el uso del software, con ello obtienes mejores resultados y tiempo para el análisis.
- Ciclo de mejora continua hasta un 26% más rápido sin duplicidad de información y disponiendo de resultados más fiables.
- Hasta un 28% más de eficiencia en la realización de los análisis de riesgos basándonos en los requerimientos de otros estándares internacionales como ISO 27001, NIST Cybersecurity Framework, etc.
Puedes solicitar más información en el siguiente enlace.
