Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad vio la luz en el año 2010, aunque anteriormente se habían sentado las bases para su aparición el 22 de Julio de 2007 con la aparición en el B.O.E de la ley 11/2007 de Acceso Electrónico de los Ciudadanos a la Administración Pública ( LAE ).

Entre su articulado de la ley destacaba el número 42 sobre el Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.

1. El Esquema Nacional de Interoperabilidad comprenderá el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad.

2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Aunque no existe realmente una equiparación directa entre la Ley de Acceso Electrónico y la Ley Orgánica de Protección de Datos de Carácter Personal ( LOPD ), pueden surgir comparaciones entre ambas.

Un hecho común lo constituye el que en ambas circunstancias, las leyes no establecen técnicamente qué acciones o medios específicos deberán utilizarse para garantizar la protección de la información.

Es la propia ley la que marcaba la espera para la aparición de otra normativa que regulara las medidas de seguridad; ahí es donde se designaba que sería el Esquema Nacional de Seguridad ( ENS ) el que establecería la política de seguridad a aplicar en la utilización de medios electrónicos en el ámbito de la Administración Pública.

En la elaboración del texto del Esquema Nacional de Seguridad han participado muchas organizaciones, como el Centro Criptológico Nacional ( CCN ) y todas las Administraciones Públicas del Estado, incluyéndose también las universidades públicas ( CRUE ) a través de los órganos colegiados con competencias en materia de administración electrónica: Consejo Superior de la Administración Electrónica, Comité Sectorial de Administración Electrónica y Comisión Nacional de Administración Local.

Además, también han sido importantes los preceptivos emitidos por otras instituciones: Ministerio de Política Territorial, Ministerio de la Presidencia, Agencia Española de Protección de Datos y Consejo de Estado.

Finalmente, se tuvieron también presentes la opinión de las Asociaciones de la Industria del sector TIC.

En un análisis general del Esquema Nacional de Seguridad, su aplicación parece estar bastante relacionada con la aplicación de la norma de calidad ISO 27000. Aún así, el ENS es más preciso, aunque es cierto que algunas de las medidas de seguridad del mismo coinciden con controles de ISO / IEC 27002. De este modo, el Esquema establece un sistema de protección para la información y servicios a proteger. La norma ISO / IEC 27002 carece de esta proporcionalidad en lo que a aplicación de medidas se refiere, quedando este apartado a la mejor opinión del auditor que certifica la conformidad con ISO / IEC 27001. Determinados aspectos fundamentales como la firma o la autenticación electrónica no están recogidos en la norma ISO / IEC 27002.

El principio fundamental que regula el Esquema Nacional de Seguridad es el de la seguridad integral. Así queda establecido a través del artículo 5.

«1. La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicación del Esquema Nacional de Seguridad estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.

2. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.»

Kernel Security es capaz de adecuar el ENS a cualquier Administración Pública del Estado o empresa del sector privado que lo solicite, al cumplimiento de los requisitos mínimos de la misma:

a ) Organización e implantación del proceso de seguridad.

  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos.
  • Seguridad por defecto.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de actividad.
  • Incidentes de seguridad.
  • Continuidad de la actividad.

En cuanto a las comunicaciones electrónicas, uno de los peligros potenciales que presenta el tratamiento de datos lo constituye el ataque a la información en tránsito.

Existen numerosas técnicas que presentan como objetivo el ataque en redes de datos. A través de las mismas, un tercero intentará o bien suplantar una de las dos entidades participantes, o bien obtener la información que se estuviera intercambiando.

Los sistemas de certificación electrónica cumplen una labor muy importante. Hay que recordad que a través del uso de los servicios tipo PKI ( Public Key Infraestructure ) se persiguen dos objetivos fundamentales:

  • El firmado, con objeto de garantizar la autenticidad, el no repudio y la integridad de los datos.
  • El cifrado, para garantizar la confidencialidad de los datos.

b ) Auditoría de Seguridad

El Esquema Nacional de Seguridad define la necesidad de realizar periódicamente auditorías de seguridad. El sistema de auditoría queda definido a través del Capítulo V y el Anexo III.

«Artículo 34. Auditoría de seguridad

1. Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoría extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.«