Novedades de la nueva versión del Esquema Nacional de Seguridad

El pasado 11 de noviembre se llevó a cabo una jornada informativa, organizada por AMETIC y con la colaboración del Ministerio de Hacienda y Administraciones Públicas, sobre la nueva versión del Esquema Nacional de Seguridad (ENS), publicada el 4 de noviembre en el Real Decreto 951/2015 y vigente desde el día siguiente.

Esta versión 2 constituye un importante paso en el aseguramiento sistemático de la información de los ciudadanos y allana el camino para seguir equiparando los niveles de gestión de seguridad de la información del sector público con las prácticas cada vez más habituales del sector privado.

Las principales novedades de la nueva versión del ENS van orientadas a definir aspectos que quizá se antojaban ambiguos en la primera edición y a otorgarle el carácter propio de un Sistema de Gestión de Seguridad de Información al ENS, en detrimento de una primera versión más orientada a la implantación proporcionada de controles. Son las siguientes:

  • Se establece que las AA.PP. deben contar con una política de gestión de seguridad basada en un modelo de mejora continua. En esa misma línea, se exige la evaluación regular del estado de seguridad y la definición y mantenimiento de un sistema de métricas, y para facilitar su recogida y consolidación se ha desarrollado la herramienta “INES” disponible en el portal del CCN-CERT.
  • Ampliación del alcance a todos los sistemas de información de las AA.PP.: inicialmente el ámbito de aplicación del ENS se limitaba a la infraestructura tecnológica y a procesos que soportaban servicios directamente prestados al ciudadano.
  •  La nueva versión del ENS introduce un par de aspectos orientados a racionalizar los controles de seguridad que se deben implantar:
  1. Admisión justificada de controles compensatorios, para sustituir controles definidos en el ENS.
  2. Se introduce el requisito de elaborar un documento de “Declaración de aplicabilidad”, en el cual se justificará la necesidad de tener implantado, o no, cada uno de los controles que plantea el ENS.
  • Se definen medidas para mejorar y poner en común aspectos concernientes a las evaluaciones y declaraciones de conformidad de productos y servicios con respecto al ENS. Estas medidas serán desarrolladas en un par de instrucciones técnicas de seguridad: “Conformidad con el Esquema Nacional de Seguridad” y “Adquisición de productos de seguridad”.
  • Refuerzo de la gestión de incidentes de seguridad y su notificación, a la vez que se precisan los elementos necesarios para la investigación de los incidentes de seguridad. Se actualiza la guía “CCN-STIC-817 Gestión de Ciberincidentes”, para incorporar estas medidas.
  • Se introduce la noción de “profesionales cualificados”. De esta forma “las Administraciones públicas exigirán, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con profesionales cualificados…”, tal como se expresa en el apartado 3 del artículo 15.
  •  Se incluye, de igual forma, el desarrollo de un conjunto de instrucciones técnicas de seguridad para señalar modos comunes de actuación en una serie de aspectos. El detalle de las instrucciones se recoge en la Disposición adicional cuarta “Desarrollo del Esquema Nacional de Seguridad”.  Aquí podeis consultar la serie CCN-STIC-800, referente a Guías del Esquema Nacional de Seguridad .

Con este conjunto de medidas, el Esquema Nacional de Seguridad evoluciona en alcance y fondo para consolidarse como un estándar orientado más hacia aspectos propios de un sistema de gestión de seguridad de información, que pone el énfasis sobre la gestión continuada de la seguridad y la evaluación regular del estado de la misma. De igual forma, es de agradecer el esfuerzo del equipo que desarrolla el Esquema por ofrecer mecanismos para sortear posibles obstáculos en los proyectos de adecuación y auditoría, mediante el desarrollo de instrucciones detalladas que estandaricen las formas de actuación, la racionalización de los controles y los esquemas para declarar la conformidad de servicios y productos con respecto al ENS.

 

Imagen: Perspecsys photos

 

 

Ingeniero de Sistemas y profesional de Seguridad de Información certificado CISSP y CISA. Actualmente soy consultor de Seguridad lógica en Telefónica España, donde ejercemos la función de gobierno de la seguridad de la compañía, desarrollamos y mantenemos planes de continuidad de negocio y diseñamos planes de concienciación de seguridad, entre otras cosas. Intento aprender tanto como puedo sobre casi cualquier cosa, aunque luego se me olvida.

Soluciones y Sectores

Te puede interesar

Conoce toda nuestra Propuesta de Valor para Grandes Clientes

Para tu conectividad

Somos líderes en tecnologías de conectividad, contamos con un potente ecosistema de alianzas, conocemos al 100% los procesos y aplicamos las tecnologías a las necesidades de cualquier sector.

Para tu nube

Todas las ventajas que el Cloud puede aportar a tu negocio: Soluciones de los principales proveedores y puesta en marcha por equipos profesionales de primer nivel.

Para tu Ciberseguridad y Seguridad Tecnológica

Somos conscientes de que es esencial dotar a las empresas de los recursos necesarios para hacer frente a los riesgos de seguridad que pongan en peligro su negocio y su reputación.

Para tus Procesos

Desde Telefónica Empresas, te ayudamos a conocer, reducir y controlar tus procesos, generar eficiencias y optimizar operaciones, garantizando la permanencia de tu negocio.

Para tus Clientes

Conectar con tus clientes es básico para la pervivencia de tu negocio. Te ofrecemos todo tipo de soluciones (CRM, Asistentes virtuales, Espacios inteligentes, líneas 900…)
empleados dispositivos

Para tus Empleados

La propuesta de Telefónica Empresas incluye todas las herramientas que tus empleados necesitan para trabajar con la mejor experiencia de usuario. Porque retener el talento es básico.

Consultoría e innovación tecnológica

Toda nuestra experiencia de transformación e innovación a tu alcance. Porque en Telefónica Empresas contamos con un equipo con experiencia tanto en proyectos internos de la compañía, como con clientes de distintos sectores y tamaños.

Ir arriba