Nuevo ENS, como abordar las principales novedades
Hace 13 años España dio un paso muy importante en materia de ciberseguridad, haciendo público un Real Decreto que la posicionaba en un lugar prominente dentro de Europa. La publicación en el Boletín Oficial del Estado del Esquema Nacional de Seguridad (ENS) en el año 2010 daba un impulso para llevar a cabo una transformación en materia de seguridad con el que adecuarse a las amenazas de índole tecnológico que comenzaban a aflorar.
El año pasado, fue publicado el Real Decreto 311/2022 que suponía una actualización significativa del Esquema Nacional de Seguridad.
¿Era necesaria esa evolución?
Realmente sí. Estos años desde la primera publicación han supuesto un avance tecnológico considerable, pero también cambios significativos en materia de ciberseguridad. Las amenazas han evolucionado y la ciberdelincuencia ha escalado a un ritmo considerable. Aunque en el año 2015, se realizó una ligera revisión del ENS, la llevada a cabo con la publicación del nuevo Real Decreto en el año 2022 es mucho más profunda, tanto en alcance como en concepto.
¿Cuáles son los cambios más significativos?
En primer lugar y en un plano estratégico, alinear el propio Esquema con la Estrategia Nacional de Ciberseguridad del año 2019 y su plan asociado. Dar un mayor impulso a la capacidad preventiva y a la vigilancia. Ser capaces de protegerse y anticiparse frente a las amenazas, así como extender esa protección más allá del perímetro defensivo clásico de una organización: entra a jugar de una forma muy significativa la cadena de suministro.
Hay muchos conceptos que se mantienen o que sea adaptan ligeramente. Tal es el caso del mantenimiento de los niveles de seguridad, la necesidad de una gestión organizativa basada en roles y responsabilidades o la existencia de elementos esenciales tales como la política de seguridad o el análisis de riesgos como elemento vertebrador.
Por el contrario, hay una revisión profunda en el Anexo II en lo relativo a las medidas de seguridad. Algunas de las cuestiones más importantes que pueden extraerse de la revisión del Esquema, son las siguientes:
- Más flexibilidad a la hora de aplicar las medidas. El incremento en la protección en base a los niveles de seguridad se lleva a cabo a través de refuerzos, que podrán combinarse para obtener las mejores condiciones factibles.
- Designación de los perfiles de cumplimiento específicos para entidades o sectores concretos. Estos perfiles establecen una declaración de aplicabilidad, así como la especificación que en cuanto a medidas deben ser implementadas. Un ejemplo claro es el de Universidades definida a través de la guía CCN-STIC-881, en la que encontramos roles como Responsable del Sistema y el de Seguridad de la información del centro educativo
- Incremento de medidas que son aplicables desde el nivel medio, cuando antes eran solo requeridas en el nivel alto. Por ejemplo, el uso de componentes certificados.
- Alineamiento a servicios prestados desde nubes y medidas claves en cuestiones críticas de superficie de exposición como una diferenciación en las medidas de autenticación cuando se realiza el proceso en servicios publicados externa o internamente. Por ejemplo, no requerir siempre un doble factor de autenticación y que este solo que sea requerido en situaciones específicas.
- La incorporación de nuevas medidas de seguridad que involucran a otros actores, como la OP.EXT.3 relativa específicamente a la cadena de suministros.
Las amenazas han evolucionado y la ciberdelincuencia ha escalado a un ritmo considerable
Por lo tanto, las organizaciones deben tener en cuenta que hay muchas medidas a considerar y deben ponerse en marcha para adecuarse convenientemente al cumplimiento del Esquema Nacional de Seguridad.
¿Qué plazo existe para adecuarse?
Pues el propio Reglamento lo establece a través de la disposición transitoria única de adecuación. Los nuevos sistemas de la información que estén bajo el amparo del Esquema Nacional de Seguridad, les será de aplicación directa el nuevo Real Decreto.
Aquellos que ya existieran incluidos los contratistas del sector privado, dispondrán de 24 meses para adecuarse desde la publicación del Real Decreto. Su entrada en vigor quedó establecido al día siguiente de su publicación en el BOE. Esto se realizó el 3 de mayo de 2022.
Parece tiempo suficiente, pero hay cuestiones relevantes a considerar que pueden llevar tiempo para llegar a la correcta adecuación. La aplicación de determinadas medidas debe ser evaluadas adecuadamente ya que puede conllevar ciertos impactos, incluido como no el del tiempo para llevar a cabo la adaptación.
¿En qué podemos ayudarte?
En Sidertia Solutions como área de ciberseguridad del grupo Izertis tenemos una amplia experiencia en el Esquema Nacional de Seguridad. Hemos participado activamente en múltiples acciones, relacionados con esta normativa. Pero también hemos operado en otras que no son tan habituales y nos ha permitido tener una visión muy significativa de la de la necesidad de esta normativa y de su aplicación. Entre ello podemos citar como ejemplo la experiencia de los equipos de trabajo en escenarios de protección de información sensible, el apoyo prestado al Centro Criptológico Nacional en la elaboración de las guías CCN-STIC o el desarrollo conjunto de aplicaciones como ANA o CLARA.
Teniendo en cuenta estas cuestiones en Sidertia, y contando con toda la fuerza operativa de las diferentes áreas tecnológicas de Izertis, hemos preparado un offering para ayudarte a la adecuación a esta normativa:
Analisis GAP nuevo ENS
Si actualmente ya cuentas con la certificación de conformidad con el Esquema Nacional de Seguridad, ya sabes que tienes un tiempo para llevar a cabo la adaptación a la nueva norma. Evidentemente todo el esfuerzo realizado hasta la fecha es un camino recorrido muy importante, pero toca saber qué necesitas para adaptarte.
A través de este servicio de análisis en el que podemos acompañarte, podrás conocer tu situación inicial y, cuál es el objetivo a cumplir, es decir, qué elementos son aquellos donde hay que enfocar los esfuerzos para alinearse a la nueva revisión del esquema y podemos preparar un camino conjunto para lograr el éxito tomando como referencia de partida lo ya existente.
Diagnóstico ENS y RoadMap
Si por el contrario te enfrentas a la situación de tener que realizar el cumplimiento desde cero, bien por una nueva necesidad o bien por determinar explorar esa posibilidad de alinearte al esquema, y no sabes ni el impacto ni el esfuerzo que esto conlleva, nosotros te ayudamos.
Podemos llevar a cabo un diagnóstico que determine, tu necesidad de alineamiento al ENS, una primera evaluación de categorización de la información manejada y servicios prestados, junto con una primera versión de la aplicabilidad en la organización. De esta forma podrás conocer cómo llevar a cabo la adecuación y te ayudamos a plantear una estrategia maximizando los recursos con los que ya cuenta tu organización.
Auditoría de la seguridad ENS
Cumplir el Esquema Nacional de Seguridad implica también una evaluación constante del alineamiento a la norma, lo que llamamos “mejora continua”. Aunque el proceso de certificación conlleva que una entidad acreditada a tal efecto pueda verificar la idoneidad del sistema de gestión de la seguridad alineado al esquema, la propia normativa recoge el proceso de auditoría interna. Recogida en el artículo 31 del ENS, esta auditoría debe diferenciarse de la auditoría de certificación que se recoge en el artículo 38. Tal y como recoge la norma, estas auditorías de seguridad podrán ser requeridas por el propio responsable de seguridad de la organización o por el Centro Criptológico Nacional.
Contar con asesoramiento experto evitará sobredimensionar esfuerzos técnicos, que repercutirán de manera negativa en tiempos y costes
En Sidertia a través de nuestro equipo de inspección llevamos a cabo diferentes análisis de auditoría en alineamiento a la guía CCN-STIC-303, entre los que se incluye la realización de auditorías de seguridad de cumplimiento ENS. Con nosotros no solo encontrará un equipo auditor, sino también un equipo de acompañamiento para buscar las mejores soluciones con lo que resolver los hallazgos identificados y estar preparados adecuadamente para la auditoría de certificación.
Adecuación ENS
Llevar a cabo una adecuación completa al ENS partiendo de cero puede ser algo llevadero o por el contrario ser difícil de acometer si no se afrenta de la forma conveniente. Desgraciadamente hemos visto organizaciones que casi han desfallecido en sus primeros intentos de abordar la adecuación al ENS por su cuenta y que luego con el apoyo adecuado han logrado el objetivo. Pero son conscientes de haber perdido un tiempo valioso y habiendo realizado en muchas ocasiones esfuerzos personales considerables. Contar con asesoramiento experto nos evitará sobredimensionar esfuerzos técnicos, que al final repercutirán de manera negativa en tiempos y costes.
Además, adecuar no tiene un manual fijo. Cada organización tiene sus particularidades, sus servicios, sus procesos, sus productos, … y todo debe alinearse adecuadamente. Explorar el camino del ENS no es simplemente elaborar cuatro procedimientos y hacer parecer que se siguen. Es algo más profundo. Pero una vez llegado al éxito la organización habrá avanzado en madurez de ciberseguridad. Será conocedora de su propio entorno tecnológico y estará mucho mejor prevenida para enfrentarse a las ciberamenazas que cada vez son más habituales.
Permítenos que te acompañemos en ese camino y que con la experiencia de Sidertia en el ENS y toda la fortaleza del Grupo Izertis para trabajar codo con codo en el desarrollo tecnológico de la organización, dicho camino sea mucho más llevadero.