Cyber
Normativa
Normativa
  • Practica1.1 Aplicacion Jerarquia Legislativa
  • ENS 1
  • Practica2.1 ISO37301 2021
  • Practica2.2 ISO31000
  • Presentacion normativa Ley Instalaciones Criticas
  • ENS (apuntes)
Powered by GitBook
On this page
  • 1.- Conceptos Basicos e Importancia del ENS en ámbito ciberseguridad
  • 2.- Componentes del ENS
  • 3.- Analisis Caso Practico
  • 4.- Comparacion Internacional

ENS 1

PreviousPractica1.1 Aplicacion Jerarquia LegislativaNextPractica2.1 ISO37301 2021

Last updated 1 year ago

Contenido

1.- Conceptos Basicos e Importancia del ENS en ámbito ciberseguridad 2

2.- Componentes del ENS 4

3.- Analisis Caso Practico 5

4.- Comparacion Internacional 8

5.- Elaboracion de Conclusiones 10

1.- Conceptos Basicos e Importancia del ENS en ámbito ciberseguridad

Vamos a comenzar desarrollando los conceptos básicos que se aplican en el Esquema Nacional de Seguridad en España:

Seguridad Integral:

Este concepto implica abordar la seguridad de manera holística, considerando todos los aspectos relevantes que pueden afectarla. Esto incluye no solo la seguridad física, sino también la seguridad informática, la seguridad de la información, la seguridad en infraestructuras críticas, entre otros. La seguridad integral busca proteger todos los activos y recursos, tanto materiales como intangibles, de una organización o entidad.

Gestión de la Seguridad Basada en los Riesgos:

Este enfoque implica identificar, evaluar y gestionar los riesgos de manera proactiva. En lugar de aplicar medidas de seguridad de manera indiscriminada, se analizan los riesgos específicos a los que se enfrenta una organización y se toman medidas adecuadas para mitigarlos. Esto implica un análisis continuo de los riesgos y la adaptación de las medidas de seguridad según sea necesario.

Prevención, Detección, Respuesta y Conservación:

Estos son los pilares de un enfoque integral de seguridad. La prevención implica tomar medidas para evitar que ocurran incidentes de seguridad. La detección se refiere a la capacidad de identificar incidentes o amenazas en tiempo real o lo más rápido posible una vez que han ocurrido. La respuesta implica contar con procedimientos y recursos para manejar los incidentes de seguridad de manera efectiva. Y la conservación se refiere a la capacidad de preservar la integridad de los activos y recursos afectados por un incidente, así como de recuperarse de manera eficiente.

Existencia de Líneas de Defensa:

Este concepto se refiere a establecer múltiples capas o niveles de seguridad para proteger los activos y recursos de una organización. Estas líneas de defensa pueden incluir controles físicos, controles de acceso, medidas de seguridad informática, políticas y procedimientos, entre otros. La idea es que si una línea de defensa falla, otras líneas estén en su lugar para prevenir o mitigar un incidente.

Vigilancia Continua y Reevaluación Periódica:

La seguridad no es estática; por lo tanto, es necesario monitorear continuamente el entorno de seguridad y reevaluar los riesgos de manera periódica. Esto implica la implementación de sistemas de monitoreo, análisis de amenazas y vulnerabilidades, así como la revisión regular de políticas y procedimientos de seguridad para garantizar su efectividad y relevancia en un entorno en constante cambio.

Diferenciación de Responsabilidades:

Este principio implica asignar responsabilidades claras a diferentes actores dentro de una organización en relación con la seguridad. Esto incluye definir roles y responsabilidades para la gestión de la seguridad, la toma de decisiones, la implementación de medidas de seguridad, la respuesta a incidentes, entre otros. La diferenciación de responsabilidades ayuda a garantizar una adecuada coordinación y colaboración en la gestión de la seguridad.

  • En cuanto a la relevancia en el ámbito de la seguridad podemos describirlos de la siguiente forma:

Identificación y clasificación de activos de información: El ENS requiere que las Administraciones Públicas identifiquen y clasifiquen sus activos de información en función de su importancia y sensibilidad. Esto ayuda a priorizar los recursos de seguridad y establecer medidas adecuadas para proteger la información crítica.

Gestión de riesgos: El ENS promueve la gestión de riesgos como un enfoque fundamental para la ciberseguridad. Las Administraciones Públicas deben realizar evaluaciones de riesgos periódicas para identificar las amenazas y vulnerabilidades que enfrentan y tomar medidas para mitigar esos riesgos.

Implementación de medidas de seguridad: El ENS establece una serie de medidas de seguridad que las Administraciones Públicas deben implementar para proteger sus sistemas de información y redes electrónicas. Estas medidas incluyen controles de acceso, protección de la información, gestión de incidentes, seguridad física, entre otros.

Seguridad de las comunicaciones electrónicas: El ENS incluye requisitos específicos para garantizar la seguridad de las comunicaciones electrónicas entre las Administraciones Públicas y con los ciudadanos y otras entidades. Esto puede incluir el uso de cifrado, autenticación y otras medidas de seguridad para proteger la integridad y confidencialidad de la información transmitida.

Coordinación y colaboración: El ENS promueve la coordinación y colaboración entre las diferentes Administraciones Públicas y otras entidades en materia de ciberseguridad. Esto incluye el intercambio de información sobre amenazas, la colaboración en la respuesta a incidentes y la promoción de buenas prácticas de seguridad.

2.- Componentes del ENS

Normativa y Legislación:

El ENS se basa en una serie de normativas y leyes que establecen los requisitos mínimos de seguridad que deben cumplir las Administraciones Públicas españolas. Esto incluye leyes como la Ley 40/2015 de Régimen Jurídico del Sector Público y el Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Documentación del ENS:

El ENS incluye una serie de documentos que detallan los principios, requisitos y procedimientos que deben seguir las Administraciones Públicas para garantizar la seguridad de la información y los servicios electrónicos. Esto puede incluir documentos como el Documento de Seguridad, el Informe de Auditoría de Seguridad, y otros documentos específicos según las necesidades de cada entidad.

Órganos de Coordinación y Supervisión:

El ENS establece órganos de coordinación y supervisión encargados de promover, coordinar y supervisar la aplicación del esquema en las Administraciones Públicas. Estos órganos pueden incluir la Secretaría General de Administración Digital (SGAD), el Centro Criptológico Nacional (CCN) y otros organismos responsables de la seguridad de la información.

Procedimientos y Controles de Seguridad:

El ENS define una serie de procedimientos y controles de seguridad que deben implementar las Administraciones Públicas para proteger la información y los servicios electrónicos. Esto incluye controles de acceso, gestión de identidades, gestión de riesgos, gestión de incidentes, seguridad física y lógica, entre otros.

Formación y Sensibilización:

El ENS promueve la formación y sensibilización en seguridad de la información entre el personal de las Administraciones Públicas. Esto incluye programas de formación en buenas prácticas de seguridad, concienciación sobre riesgos de seguridad, y capacitación en el uso seguro de tecnologías de la información y comunicación (TIC).

Auditorías y Evaluaciones:

El ENS establece la realización de auditorías y evaluaciones periódicas para verificar el cumplimiento de los requisitos de seguridad por parte de las Administraciones Públicas. Esto incluye auditorías internas realizadas por las propias entidades, así como auditorías externas realizadas por organismos autorizados.

3.- Analisis Caso Practico

Primero vamos a exponer un caso practico que encontré por internet y me pareció que estaba muy bien redactado.El caso es el siguiente:

El Ayuntamiento de Villanueva lleva varios años empeñado en modernizar el Municipio, y el equipo que gestiona el consistorio siempre ha tenido claro que las Tecnologías de la Información y la Comunicación eran las herramientas para conseguirlo.

Existe un grupo de Informática, formado por un responsable de Sistemas, Luís y un técnico, Cristina. Varias tareas están subcontratadas.

El grupo cuenta con una pequeña oficina en el Ayuntamiento,donde trabajan Luís y Cristina, así como un cuarto en el sótano en el que han ubicado el CPD. Hace dos años lanzaron la página Web del Ayuntamiento.Esta primera página era informativa, pero ya tenía un Buzón del Ciudadano, una dirección de correo electrónico para que los ciudadanos expresaran sus quejas, sugerencias e incluso llegó alguna que otra felicitación.

Hace un año se pusieron en marcha los dos primeros servicios, peticiones de licencias de obra y certificados de empadronamiento.Para ello se compró un nuevo servidor que albergara inicialmente estos dos servicios y tuviera capacidad para los que vinieran más adelante.

Las aplicaciones utilizadas son desarrollos a medida:

• VillanuevaGestión, para la gestión de expedientes municipales, entre ellos la concesión de licencias de obra.

• VillanuevaPadrón, para la gestión del padrón municipal

(altas, bajas y modificaciones).

Puesto que el caso practico tenia una extensión de unas 40 paginas he cogido los apartados que me han parecido mas relevantes:

POLITICA DE SEGURIDAD

PREVENCIÓN La entidad evita, o al menos intenta prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, la entidad:

• Autoriza los sistemas antes de entrar en operación.

• Evalúa regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.

• Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

DETECCIÓN Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, se monitoriza la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

RESPUESTA La entidad ha establecido mecanismos para responder eficazmente a los incidentes de seguridad. Se ha designado un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos. SE han establecido protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

RECUPERACIÓN Para garantizar la disponibilidad de los servicios críticos, la entidad ha desarrollado planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.

ALCANCE Esta política se aplica a todos los sistemas TIC de El Ayuntamiento y a todos los miembros de la organización, sin excepciones.

MISIÓN Ofrecer al ciudadano un servicio de Administración Municipal, a través de medios electrónicos, potenciando el uso de las Nuevas Tecnologías en el Ayuntamiento y en la ciudadanía.

VALORIZACION DE LOS ACTIVOS

Aqui podemos ver los valores que le dan a diferentes activos en cuanto a la importancia, siendo M (medio) , B(bajo) y A(Alto)

MARCO NORMATIVO

1. RD 3/2010 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica. BOE de 29 de enero de 2010.

2. Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

3. Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de Carácter Personal.

4. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

5. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

6. Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, modificada por la ley 11/1999, de 21 de abril. 69

7. Ley 57/2003, de 16 de diciembre, de medidas para la modernización del gobierno local.

8. Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.

9. Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público.

4.- Comparacion Internacional

En cuanto a otros modelos de seguridad vamos a destacar un par de ellos:

  • NIST Framework for Improving Critical Infrastructure Cybersecurity (Marco del NIST para Mejorar la Ciberseguridad de la Infraestructura Crítica): Este marco, desarrollado por el Instituto Nacional de Normas y Tecnología (NIST) de los Estados Unidos, proporciona una estructura flexible y basada en riesgos para gestionar y mejorar la ciberseguridad de las infraestructuras críticas.En cuanto a su infraestructura podemos definir los siguientes componentes.

Marco de Ciberseguridad Core: Consiste en un conjunto de actividades y prácticas que las organizaciones pueden implementar para gestionar y reducir los riesgos de seguridad cibernética. Estas actividades se organizan en torno a cinco funciones principales: Identificar, Proteger, Detectar, Responder y Recuperarse.

Perfiles de Ciberseguridad: Los perfiles permiten a las organizaciones adaptar el Marco a sus necesidades específicas de ciberseguridad, alineándolo con sus objetivos empresariales, riesgos y recursos.

Tiers de Implementación: Los tiers proporcionan una forma de evaluar la madurez de la ciberseguridad de una organización y su capacidad para gestionar los riesgos cibernéticos. Van desde un enfoque básico hasta un enfoque avanzado y se utilizan para establecer metas de mejora continua en la seguridad cibernética.

Aquí podemos ver explicado con una imagen el esquema del NIST a la hora de funcionar.

  • Australian Government Information Security Manual (ISM) (Manual de Seguridad de la Información del Gobierno Australiano): Este manual proporciona orientación y mejores prácticas para la gestión de la seguridad de la información en las organizaciones del sector público australiano.

Fundamentos de Seguridad: Establece los principios básicos de la seguridad de la información y proporciona orientación sobre la gestión de riesgos, la clasificación de la información y otros conceptos fundamentales.

Controles de Seguridad: Describe los controles de seguridad que las organizaciones deben implementar para proteger la confidencialidad, integridad y disponibilidad de la información. Estos controles están organizados en familias temáticas, como el control de acceso, la gestión de configuraciones y la protección contra malware.

Directrices y Mejores Prácticas: Ofrece orientación detallada sobre la implementación de controles específicos, incluidos ejemplos y escenarios de uso.

Gestión de Incidentes: Proporciona directrices sobre la preparación, respuesta y recuperación ante incidentes de seguridad de la información, incluyendo la gestión de vulnerabilidades y la investigación forense digital.

5.- Elaboracion de Conclusiones

Introducción

El Esquema Nacional de Seguridad (ENS) es una iniciativa desarrollada por el Gobierno de España para garantizar la seguridad de la información en el ámbito de la administración electrónica. Este informe proporciona un resumen de los hallazgos relacionados con el ENS, incluyendo ejemplos concretos, ventajas y desafíos de su implementación, así como recomendaciones para mejorar la seguridad de la información en entornos organizacionales.

Estructura del ENS

El ENS establece un marco de referencia para la seguridad de la información en el sector público español, definiendo los requisitos y medidas de seguridad que deben implementarse para proteger la confidencialidad, integridad y disponibilidad de la información. Entre los aspectos clave del ENS se incluyen:

Requisitos de Seguridad: El ENS especifica una serie de requisitos de seguridad que las organizaciones deben cumplir, incluyendo aspectos como la gestión de accesos, la protección de datos, la seguridad física y la gestión de incidentes.

Certificación y Auditoría: Las organizaciones sujetas al ENS deben someterse a procesos de certificación y auditoría para demostrar el cumplimiento de los requisitos de seguridad establecidos. Esto implica la evaluación de controles de seguridad, la identificación de vulnerabilidades y la implementación de medidas correctivas.

Ejemplos Concretos:

El ENS ha sido implementado en diversas organizaciones del sector público español, incluyendo ministerios, organismos autónomos y entidades locales. Ejemplos concretos de su aplicación incluyen:

Ayuntamiento de Barcelona: El Ayuntamiento de Barcelona ha adoptado el ENS para garantizar la seguridad de la información en sus sistemas de administración electrónica, protegiendo los datos personales de los ciudadanos y asegurando la disponibilidad de los servicios digitales.

Ministerio de Defensa: El Ministerio de Defensa ha implementado medidas de seguridad basadas en el ENS para proteger la información clasificada y garantizar la integridad de los sistemas de comunicaciones militares.

Ventajas del ENS

La implementación del ENS ofrece varias ventajas para las organizaciones del sector público español, incluyendo:

Confianza del Cliente: La implementación de medidas sólidas de seguridad de la información ayuda a construir la confianza del cliente y mejora la reputación de la organización. Los clientes y usuarios confían en que sus datos están protegidos adecuadamente, lo que puede traducirse en relaciones comerciales más sólidas y una mayor retención de clientes.

Cumplimiento Normativo: Cumplir con estándares y regulaciones de seguridad de la información, como el GDPR (Reglamento General de Protección de Datos) en la Unión Europea o la HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico) en los Estados Unidos, no solo reduce el riesgo de multas y sanciones legales, sino que también garantiza que la organización esté operando de acuerdo con las mejores prácticas y estándares de la industria.

Reducción de Costos: Si bien la inversión inicial en seguridad de la información puede parecer significativa, a largo plazo puede conducir a una reducción de costos. La prevención de incidentes de seguridad y las violaciones de datos evitan los costos asociados con las investigaciones forenses, las multas regulatorias, la pérdida de clientes y la recuperación de la reputación de la marca.

Diferenciación Competitiva: En un mercado cada vez más saturado, la seguridad de la información puede ser un factor diferenciador clave. Las organizaciones que pueden demostrar un compromiso sólido con la protección de los datos de sus clientes y la seguridad de la información en general tienen una ventaja competitiva sobre aquellas que no lo hacen.

Resiliencia Empresarial: La implementación de medidas de seguridad de la información ayuda a mejorar la resiliencia empresarial al reducir la probabilidad y el impacto de interrupciones en las operaciones comerciales debido a incidentes de seguridad. Esto asegura la continuidad del negocio y la capacidad de recuperación después de eventos adversos.

Innovación Segura: Promover una cultura de seguridad de la información fomenta la innovación segura dentro de la organización. Los empleados se sienten más cómodos al probar nuevas ideas y tecnologías sabiendo que se han implementado medidas adecuadas para proteger los activos de información de la organización.

Mejora de la Seguridad: El ENS proporciona un marco sólido para la gestión de la seguridad de la información, ayudando a prevenir incidentes de seguridad y proteger los activos digitales de las organizaciones.

Cumplimiento Legal: El cumplimiento de los requisitos del ENS ayuda a las organizaciones a cumplir con la legislación española en materia de protección de datos y seguridad de la información, reduciendo el riesgo de sanciones y multas.

Desventajas

A pesar de sus ventajas, la implementación del ENS también enfrenta algunos desafíos, tales como:

Costos y Recursos: La implementación del ENS puede requerir inversiones significativas en tecnología, formación y recursos humanos, lo que puede suponer un desafío para algunas organizaciones, especialmente aquellas con presupuestos limitados.Sobre todo en cuanto a la inversión inicial se refiere.

Complejidad: El cumplimiento de los requisitos del ENS puede ser complejo y exigente, especialmente para organizaciones con estructuras y procesos heterogéneos, lo que puede dificultar su implementación efectiva.

Posibles Conflictos de Intereses: En algunos casos, las medidas de seguridad de la información pueden entrar en conflicto con los objetivos comerciales y la agilidad operativa de la organización. Por ejemplo, políticas de seguridad demasiado restrictivas pueden obstaculizar la colaboración y la innovación dentro de la empresa.

Exceso de Regulación: En entornos altamente regulados, como el sector financiero o de la salud, el cumplimiento de múltiples normativas y estándares de seguridad puede volverse abrumador y costoso. Esto puede llevar a una carga administrativa adicional y duplicación de esfuerzos en la gestión de la seguridad de la información.

Falsos Positivos y Negativos: Algunas soluciones de seguridad, como los sistemas de detección de intrusiones o los antivirus, pueden generar falsos positivos o negativos. Esto puede llevar a la sobrecarga de alertas y a una disminución de la confianza en las herramientas de seguridad, lo que afecta la efectividad de la respuesta a incidentes.

Amenazas Internas: Aunque las medidas de seguridad de la información están diseñadas para proteger contra amenazas externas, también pueden ser eludidas por empleados malintencionados o descuidados. Los riesgos internos, como el robo de datos por parte de empleados o la negligencia en el manejo de la información, siguen siendo una preocupación importante para las organizaciones.

Recomendaciones

Para mejorar la seguridad de la información en entornos organizacionales, se sugieren las siguientes recomendaciones:

Formación y Concienciación: Es fundamental proporcionar formación y concienciación en seguridad de la información a todos los empleados de la organización, para garantizar su comprensión de los riesgos y medidas de seguridad.

Gestión de Riesgos: La identificación y gestión proactiva de los riesgos de seguridad de la información es clave para mitigar amenazas y proteger los activos digitales de la organización.

Implementación Gradual: Se recomienda adoptar un enfoque gradual para la implementación de medidas de seguridad, priorizando aquellas de mayor impacto y asegurando la alineación con los objetivos estratégicos de la organización.

Actualización y Parcheo: Es crucial mantener actualizados todos los sistemas, aplicaciones y dispositivos con los últimos parches de seguridad y actualizaciones de software. Esto ayuda a cerrar las vulnerabilidades conocidas y reduce el riesgo de explotación por parte de los ciberdelincuentes.

Política de Contraseñas Fuertes: Implementar una política de contraseñas robusta que requiera contraseñas complejas y únicas para cada cuenta de usuario. Además, se debe fomentar el uso de autenticación de dos factores siempre que sea posible para agregar una capa adicional de seguridad.

Control de Acceso: Limitar el acceso a la información confidencial solo a aquellos empleados que realmente lo necesitan para realizar sus funciones laborales. Utilizar mecanismos de control de acceso como listas de control de acceso (ACL) y roles de usuario para gestionar los privilegios de acceso de manera efectiva.

Cifrado de Datos: Implementar el cifrado de extremo a extremo para proteger los datos sensibles, tanto en reposo como en tránsito. Esto garantiza que incluso si un atacante obtiene acceso a los datos, no pueda leerlos sin la clave de cifrado adecuada.

Respuesta ante Incidentes: Desarrollar y poner en práctica un plan de respuesta ante incidentes detallado que describa los pasos a seguir en caso de una violación de seguridad o un evento cibernético adverso. Realizar simulacros periódicos de incidentes para garantizar que el personal esté preparado para actuar de manera efectiva en situaciones de crisis.

Monitorización y Auditoría: Implementar herramientas de monitorización y auditoría de seguridad que permitan detectar y responder rápidamente a actividades sospechosas o anómalas en los sistemas y redes. La monitorización continua es fundamental para identificar posibles intrusiones o brechas de seguridad en tiempo real.

Evaluación de Proveedores: Realizar evaluaciones periódicas de seguridad de los proveedores de servicios y terceros que tienen acceso a información confidencial de la organización. Asegurarse de que cumplen con los estándares de seguridad establecidos y que tienen medidas adecuadas para proteger los datos compartidos.

Conclusión

En resumen, el Esquema Nacional de Seguridad (ENS) es una iniciativa importante para garantizar la seguridad de la información en el sector público español. Aunque presenta desafíos de implementación, sus ventajas en términos de mejora de la seguridad y cumplimiento legal son significativas. Al seguir las recomendaciones sugeridas y aprovechar ejemplos de buenas prácticas, las organizaciones pueden fortalecer su postura de seguridad de la información y proteger sus activos digitales de manera efectiva.

Guía rápida para entender el marco de trabajo de ciberseguridad del NIST - David E. Acosta
Components of the ISM code (blue boxes) encompass traditional features... | Download Scientific Diagram