El nuevo ENS 2022 y sus principales cambios.

El Real Decreto 311/2022, de 3 de mayo, hace referencia al RD por el que se regula el Esquema Nacional de Seguridad , o más coloquialmente "El nuevo #ENS" . Hoy os traemos un pequeño resumen, así como los principales cambios del mismo. Una importante y en mi opinión, necesaria actualización, que deja totalmente claros, ciertos aspectos que en el anterior, o no se trataban, o podrían interpretarse de una forma "libre".

El nuevo Esquema Nacional de Seguridad ( ENS 2022 ), cuenta con 7 capítulos, 1 disposición transitoria y 3 adicionales , así como 4 anexos de gran importancia ( no los subestiméis por ser anexos ).

Capítulos ENS 2022

Como os hemos trasladado, el nuevo Esquema Nacional de Seguridad, cuenta con 7 Capítulos principales:

1. Disposiciones Generales (Artículos 1 al 4) : Objeto, campo de aplicación, las definiciones y estándares aplicables del nuevo Esquema Nacional de Seguridad.
2. Principios básicos del ENS (Artículos 5 al 11): Seguridad integral - Gestión de la ciberseguridad basada riesgos - Prevención, detección, respuesta y conservación. ( Al más puro estilo MITRE ) - Líneas de defensa - Vigilancia continua y reevaluación continua de la ciberseguridad - Diferenciación de responsabilidades de ciberseguridad y privacidad.
3. Política de ciberseguridad y requisitos mínimos de la misma ( Artículos 12 al 30 ): Establece la posibilidad de incorporar perfiles de cumplimiento concretos, para conseguir una aplicación del ENS más eficiente en ciertas entidades y ámbitos.
4. Auditoría de seguridad. Estado de la ciberseguridad de los sistemas y prevención, detección y respuesta a incidentes de seguridad (Artículos 31 al 34): Se especifican las peculiaridades del procedimiento de auditoría, así como de los pertinentes informes. Se traslada la preparación del Informe del estado de la seguridad y se asigna al CCN la articulación de la contestación a los incidentes de ciberseguridad.
5. Normas de conformidad (Artículos 35 al 38).
6. Actualización del ENS (Articulo 39). Donde se establece la obligación de la actualización permanente del Esquema Nacional de Seguridad para adecuarse a la evolución tecnológica.
7. Categorización de los sistemas de información (Artículos 40 al 41) Desarrolla el procedimiento de categorización de los sistemas de información en el Esquema Nacional de Seguridad, definiendo las categorías de ciberseguridad.

Disposiciones del Esquema Nacional de Seguridad (ENS)

Como trasladaba más arriba, se caracterizará por tener de 3 disposiciones adicionales:

1. La primara de ellas, regula los programas de sensibilización, concienciación y formación, que desarrollarán el Centro Criptológico Nacional ( CCN ) y el Instituto Nacional de Administración Pública ( INAP ).
2. Se establece el desarrollo de las instrucciones técnicas de ciberseguridad para una mejor implantación del Esquema Nacional de Seguridad.
3. Respeto del principio de «no causar un perjuicio significativo» al medioambiente. ( Esto en mi opinión, esta un poco forzado )

Y una disposición única, que fija un plazo de veinticuatro meses para que los sistemas de información alcancen su plena adecuación al ENS.

Anexos Esquema Nacional de Seguridad

Obviando el último de ellos, podríamos decir que los restantes, son de gran importancia, no subestimándolos por tratarse de Anexos:

1. Categorías de Ciberseguridad (Anexo I): Regula las categorías de ciberseguridad de los sistemas de información y especifica la secuencia de actuaciones para determinar la categoría de seguridad de un sistema.
2. Medidas de Seguridad (Anexo II): Medidas de seguridad (No se me olvido el ciber, no olvidemos que tambien tenemos que cumplir con el apartado de seguridad física) divididas en tres grupos: Marco organizativo, constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. Marco operacional, formado por las medidas a tomar para resguardar la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección, centradas en resguardar activos específicos, conforme su naturaleza y la calidad demandada por el nivel de seguridad de las dimensiones perjudicadas.
3. Auditoría de la seguridad (Anexo III): Detalla el objeto y niveles de auditoría a efectuar en los sistemas de información.
4. Glosario de términos y definiciones (Anexo IV)

Evolución del panorama de la ciberseguridad en la Administración Pública

A lo largo de los últimos años, y en relación con el panorama de ataques cibernéticos, la normativa relacionada con las TIC y la ciberseguridad en las AAPP han ido evolucionando rápidamente:

• 1992: Ley 30/1992
• 1996: RD 263/1996 - Criterios SNC , Seguridad, Normalización y Conservación - MAGERIT - CERES
• 1999: Lo 15/1999
• 2000: España firma el CCRA
• 2003: Resolución Criterios SNC
• 2004: RD 42/2004 CCN - OC-CCN
• 2006: DNI-e - Certificados Seguridad TIC - CCN-CERT
• 2007: Ley 11/2007 - Ley 37/2007 RISP - RD 1720/2017 · Reglamento evaluación y certificación de seguridad de TIC
• 2010: ENI ( Esquema Nacional de Interoperabilidad ) - ENS (Nace el Esquema Nacional de Seguridad) - EIFv1
• 2014: Reglamento eIDAS (electronic IDentification, Authentication and trust Services ) - RD 806/2014 - RD 802/2014 DTIC - Cl@ve
• 2015: Ley 39/2015 - Ley 40/2015 - Estrategia TIC AGE · Declaración servicios compartidos - RD modificación ENS
• 2016: ENS/ITS Conformidad con ENS - Informe ENS - RGPD - Directiva NIS · eGov Action Plan
• 2017: ESN 2017 ( Estrategia de Seguridad Nacional) - EIF v2 - Declaración Ministerial de Tallin
• 2018: ENS-ITS ( Actualización en materia de Auditorías y Notificaciones de incidentes - RDL 12/2018 NIS - LOPDGDD (antigua LOPD 15/1999)
• 2019: Guía Nacional de Notificación y Gestión de ciberincidentes - Estrategia Nacional de Ciberseguridad 2019 - Cybersecurity Act (EU)
• 2020: EU Digital Strategy - Eu Strategy for Data - EU on AI White Paper - EU Cybersecurity Package - España Digital 2025 · Declaración Ministerial de Berlín
• 2021: RD 43/2021 que desarrolla el RDI-I 12/2018 (NIS) - Plan de Digitalización de las AAPP 2021-2025 - Plan de Recuperación, Transformación y Resiliencia - RD 203/2021 (Reglamento leyes 39 y 40) - Reglamento Centro Europeo de Competencias en Ciberseguridad - NTI SICRES 4 - Carta de derechos digitales - ACM Plan de choque de ciberseguridad
• 2022: RDL 7/2022 Seguridad 5G - Plan Nacional de Ciberseguridad - Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (El nuevo ENS 2022 🥸 )

La actualización del ENS forma una de las medidas del groso de actuaciones urgentes, acordado por el Gobierno, para fortalecer de forma inmediata las capacidades de defensa en frente de las ciberamenazas del ámbito público y de las entidades privadas que cooperen con este en la prestación de servicios o en el suministro de tecnología a la AAPP.

Es por ello, que el Nuevo Esquema Nacional de Seguridad (Nuevo ENS 2022) llega a este 2022, con 4 principales objetivos en su nueva actualización:

1.Progresar y alinear el ENS con el marco legal y estratégico actual para facilitar la seguridad de la administración digital.

• Adecuación a todos y cada uno de los avances conseguidos en materia de ciberseguridad que ha habido en los últimos tiempo.
• Detallar su campo de aplicación: Ya bien sea, todo el ámbito público, sistemas que tratan información clasificada, entidades del ámbito privado que presten servicios o provean de soluciones al campo público.
• Introducir mejoras para facilitar y mejorar diferentes aspectos del texto.
• Articular el protocolo de contestación y notificación de incidentes de seguridad.

2. Introducir la capacidad de ajustar los requisitos del Esquma Nacional de Seguridad a determinados colectivos o ámbitos tecnológicos: Perfil de cumplimiento.
3. Revisar de forma detallada los principios básicos, requisitos mínimos y medidas de seguridad.
4. Agregar un nuevo sistema de codificación de los requisitos de las medidas basado en refuerzos alineados con el nivel de ciberseguridad perseguido.

• Contribuye a facilitar de forma proporcionada la adecuación de ciberseguridad de los sistemas, su implantación y conformidad.

Todo ello motivado por las principales líneas de actuación que han motivado la actualización:

• Intensificación de las ciberamenazas y ciberincidentes
• Progreso de la transformación digital con impacto global
• Avance de las tecnologías
• Evolución del marco legal
• Evolución del marco estratégico en ciberseguridad
• Extensión de la implantación del ENS
• Acumulación de experiencia de aplicación del ENS
• Mejor conocimiento del estado de la seguridad nacional (informe INES)
• Mayor volumen de guías y servicios del CCN-CERT

Novedades del Esquema Nacional de Seguridad 2022

Incorporación de la figura del perfil de cumplimiento

Buscando la capacidad de adaptación. Logrando una adaptación al ENS más eficiente y eficaz, racionalizando recursos requeridos sin menoscabo de la protección perseguida y exigible.

Creando así un conjunto de medidas de seguridad, comprendidas o no el en Anexo II ( Medidas de Seguridad )del ENS, que, a consecuencia del preceptivo análisis de riesgos, resulten de aplicación a una entidad o ámbito de actividad específica para una determinada categoría de seguridad.

Con ello, se persigue introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas.

Metodología

En un perfil de cumplimiento concreto, respecto de una declaración de aplicabilidad inicial para una categoría determinada se puede:

• Suprimir medidas o incluir la aplicabilidad de otras.
• Aumentar o disminuir la exigencia del nivel de implantación de alguna medida.
• Proponer medidas compensatorias o complementarias de vigilancia.

Establecimiento de protocolo de actuación ante ciberincidentes

En mi opinión, una de las partes más importantes de la actualización del nuevo ENS, enfocado en dos objetivos principales:

• Articular la respuesta a incidentes de ciberseguridad.
• Establecer las condiciones de notificación de incidentes de ciberseguridad al CCN-CERT, organizador nacional e internacional de la respuesta técnica de los equipos de respuesta a incidentes de ciberseguridad.

El Centro Criptológico Nacional articula la respuesta a los incidentes de ciberseguridad. Establece la obligación de notificar al CCN-CERT los incidentes de seguridad:

1. Las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información concernidos. ( No debemos olvidarnos de LUCIA ).
2. INCIBE-CERT va a poner de manera inmediata en conocimiento del CCN-CERT los incidentes que afecten a las organizaciones del ámbito privado que presten servicios a las entidades públicas.

Asignando así al CCN las siguientes funciones ante un incidente de ciberseguridad:

• Determinar técnicamente el riesgo de reconexión de un sistema, tras un incidente de seguridad. ( Una vez notificado, será el CCN quien evalúe el riesgo de volver a restaurar los sistemas o volver a ponerlos en producción )
• Indicar los procedimientos a seguir y las salvaguardas a implementar para reducir el impacto del incidente.

Con esto, el nuevo ENS busca establecer las condiciones de notificación de incidentes al CCN-CERT, organizador nacional e internacional de la contestación técnica de los equipos de respuesta a incidentes de ciberseguridad.

Diferencias ENS 2010 | ENS 2022

La mejor forma de explicar las diferencias, es mediante la infografía de resumen publicada por el CCN-CERT que nos traslada los cambios introducidos en el nuevo RD que marca en actual Esquema Nacional de Seguridad. ( Y sobre la que voy a tomar prestadas las imágenes, dado lo bien explicado que está ).

El grueso gordo de los cambios introducidos, vienen reflejados en las medidas, pero tambien tenemos algun cambio significativo en los principios y requisitos.

Cambios en los principios básicos entre ENS 2010 y el ENS 2022

Cambios en los requisitos mínimos entre ENS 2010 y el ENS 2022

Cambios realizados en las medidas de seguridad en el nuevo ENS 2022

Cambios realizados en las medidas de seguridad, que se recogen en el Anexo II del ENS, y que permiten el cumplimiento de los principios básicos y los requisitos mínimos.

• Incorporación en el ENS 2022 de una nueva familia de medidas del Marco operacional: Servicios en la nube

Resumen de modificaciones a las medidas de seguridad ENS 2022

Medidas de seguridad ENS 2022

Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos en el Esquema Nacional de Seguridad, se aplican las medidas de ciberseguridad que recogen en el Anexo II del ENS y que se dividen en tres grupos:

1. Marco organizativo
2. Marco operacional
3. Medidas de protección

Marco Organizativo ENS 2022

Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.

• Política de seguridad
• Normativa de seguridad
• Procedimientos de seguridad
• Proceso de autorización

Marco operacional ENS 2022

Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.

1.Planificación

• Análisis de riesgos.
• Arquitectura de Seguridad.
• Adquisición de nuevos componentes.
• Dimensionamiento/gestión de la capacidad.
• Componentes certificados.

2.Control de acceso

• Identificación.
• Requisitos de acceso.
• Segregación de funciones y tareas.
• Proceso de gestión de derechos de acceso.
• Mecanismo de autenticación (usuarios externos).
• Mecanismo de autenticación (usuarios de la organización).

3.Explotación

• Inventario de activos.
• Configuración de seguridad.
• Gestión de la configuración de seguridad.
• Mantenimiento y actualizaciones de seguridad.
• Gestión de cambios.
• Protección frente a código dañino.
• Gestión de incidentes.
• Registro de la actividad.
• Registro de la gestión de incidentes.
• Protección de claves criptográficas.

4.Recursos externos

• Contratación y acuerdos de nivel de servicio.
• Gestión diaria.
• Protección de la cadena de suministro.
• Interconexión de sistemas.

5.Servicios en la nube (Nuevo)

• Protección de servicios en la nube.

6.Continuidad del servicio.

• Análisis de impacto.
• Plan de continuidad.
• Pruebas periódicas.
• Medios alternativos.

7.Monitorización del sistema.

• Detección de intrusión.
• Sistema de métricas.
• Vigilancia.

Medidas de protección ENS 2022

Se centran en resguardar activos específicos, conforme su naturaleza y la calidad demandada por el nivel de seguridad de las dimensiones perjudicadas.

1. Protección de las instalaciones e infraestructuras

• Áreas separadas y con control de acceso.
• Identificación de las personas.
• Acondicionamiento de los locales.
• Energía eléctrica.
• Protección frente a incendios.
• Protección frente a inundaciones.
• Registro de entrada y salida de equipamiento.

2.Gestión del personal

• Caracterización del puesto de trabajo.
• Deberes y obligaciones.
• Concienciación.
• Formación.

3. Protección de los equipos

• Puesto de trabajo despejado.
• Bloqueo de puesto de trabajo.
• Protección de dispositivos portátiles.
• Otros dispositivos conectados a la red

4.Protección de lascomunicaciones

• Perímetro seguro.
• Protección de la confidencialidad.
• Protección de la integridad y de la autenticidad.
• Separación de flujos de información en la red.

5.Protección de los soportes de información

• Marcado de soportes.
• Criptografía.
• Custodia.
• Transporte.
• Borrado y destrucción.

6.Protección de las aplicaciones informáticas

• Desarrollo de aplicaciones.
• Aceptación y puesta en servicio.

7.Protección de la información

• Datos personales.
• Calificación de la información.
• Firma electrónica.
• Sellos de tiempo.
• Limpieza de documentos.
• Copias de seguridad.

8. Protección de los servicios

• Protección del correo electrónico.
• Protección de servicios y aplicaciones web.
• Protección de la navegación web.
• Protección frente a denegación de servicio.

Mucho más ENS 2022

Aunque parezca mentira, y por lo extenso del post, quedan muchos más punto de los que no hemos hablado. Formación, concienciación y sensibilización , entre otros. Donde por ejemplo, el nuevo ENS encomienda al CCN y al Instituto Nacional de Administración Pública el desarrollo de programas de sensibilización, concienciación y formación, dirigidos al personal de las entidades del sector público, en contra de como se venia desarrollando de forma local y en muchos caso, sin una dirección definida. O las guias del propio CCN, sobre las cuales, yo me declaro fan incondicional.

Muy seguramente nos dejemos multitud de puntos sin tratar, pero iremos descubriendo muchos puntos pendiente. Mientras tanto, os recomiendo encarecidamente la formación de la plataforma Ángeles del CCN-CERT Centro Criptológico Nacional para tal fin, donde es el mejor punto de referencia a fin de conocer el nuevo Esquema Nacional de Seguridad.