Esquema Nacional de Seguridad (ENS)

Enlaces:

• https://www.ccn-cert.cni.es/ens.html
• https://administracionelectronica.gob.es/ctt/ens#.XGMQK7h77IU
• Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos
• El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero.

TEXTO CONSOLIDADO

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.

En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

….

La Ley de Acceso de los Ciudadanos a la administración electrónica avisaba del desarrollo de dos Esquemas que necesariamente acompañarían a la Ley en su ejecución, los Esquemas Nacionales de Seguridad y de Interoperabilidad.

El Esquema Nacional de Seguridad que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Organismos Responsables: Ministerio de Política Territorial y Función Pública – Secretaría de Estado de Función Pública – Secretaría General de Administración Digital

Finalidad:

Los ciudadanos confían en que los servicios disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que se encuentran cuando se acercan personalmente a las oficinas de la Administración. Además, buena parte de la información contenida en los sistemas de información de las AA.PP. y los servicios que prestan constituyen activos nacionales estratégicos. La información y los servicios prestados están sometidos a amenazas y riesgos provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos , establece principios y derechos relativos a la seguridad en relación con el derecho de los ciudadanos a comunicarse con las AA.PP. a través de medios electrónicos; y su artículo 42 crea el Esquema Nacional de Seguridad.

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010 , de 8 de enero, determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos. El ENS está constituido por los principios básicos y requisitos mínimos para una protección adecuada de la información. Será aplicado por las AA.PP. para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestiones en el ejercicio de sus competencias.

Objetivos

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos :

• Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
• Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
• Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
• Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.
• Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
• Facilitar un tratamiento continuado de la seguridad.

En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.

Elementos del Esquema Nacional de Seguridad

Los elementos principales del ENS son los siguientes:

• Los principios básicos a considerar en las decisiones en materia de seguridad.
• Los requisitos mínimos que permitan una protección adecuada de la información.
• El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.
• Las comunicaciones electrónicas.
• La auditoría de la seguridad.
• La respuesta ante incidentes de seguridad.
• La certificación de la seguridad.
• La conformidad.

El aspecto principal del ENS es, sin duda, que todos los órganos superiores de las AA.PP. deberán disponer de su política de seguridad que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.

Ámbito de aplicación

Su ámbito de aplicación es el establecido en el artículo 2 de la Ley 11/2007 , de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
Estarán excluidos los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales, modificada por Ley 48/1978, de 7 de octubre y normas de desarrollo

Adecuación al Esquema Nacional de Seguridad

En la disposición transitoria del Real Decreto 3/2010 se articula un mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad de manera que los sistemas de las administraciones deberán estar adecuados a este Esquema en unos plazos en ningún caso superiores a 48 meses desde la entrada en vigor del mismo. El plazo de adecuación vence el 30 de enero de 2014.
La adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones:

• Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (Véase CCN-STIC 805 Política de seguridad de la información)
• Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.( Véase CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad )
• Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Véase Magerit versión 3 y programas de apoyo –Pilar -)
• Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. ( Véase CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad )
• Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. ( Véase CCN-STIC 806 Plan de adecuación del Esquema Nacional de Seguridad )
• Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. ( Véase serie CCN-STIC )
• Auditar la seguridad ( Véase CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad ).
• Informar sobre el estado de la seguridad (Véase CCN-STIC Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC Informe del Estado de Seguridad )

• Magerit – v.3 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información .
• CCN-CERT, Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN).
• Infraestructuras y servicios comunes .
• Productos certificados
• Adecuación al ENS y Seguimiento del Progreso

En construcción…

La Informática

La informática es la tecnociencia que estudia el tratamiento automatizado de la información para obtener de ella la máxima utilidad. La informática se basa en el uso de equipos de procesamiento de información, conocidos como computadoras u ordenadores.

INFORMÁTICA = INFORMACIÓN + AUTOMÁTICA

Un ordenador se define como una máquina de tratamiento de la información y es un principio básico que un ordenador no puede aumentar la información.

El tratamiento de la información tiene como fin dotar a las estructuras formales del conocimiento humano de un soporte estable, en el cual reposar su significado, de forma que queden establecidas sin capacidad de duda, para a partir de ahí proceder a efectuar manipulaciones y cálculos con los soportes definidos, bien extrayendo nuevas relaciones y estructuras que permitan finalmente incrementar nuestro nivel de conocimientos, bien colaborando meramente como herramienta de soporte a los procesos de razonamiento del ser humano.

Más concretamente, se entiende como tratamiento automático de la información (T.A.I.) el conjunto de procedimientos automatizados de recogida, elaboración, evaluación, almacenamiento, recuperación, condensación y distribución de informaciones dentro de una organización.

Otra definición:

• Computador, computadora u ordenador es una máquina capaz de aceptar unos datos de entrada, efectuar con      ellos operaciones lógicas y aritméticas, y proporcionar la información resultante a través de un medio de salida; todo ello sin intervención de un operador humano y bajo el control de un programa de instrucciones previamente almacenado en el propio computador.

Se entiende por operaciones lógicas funciones tales como comparar, seleccionar o copiar símbolos,  ya sean numéricos o no numéricos.

Las funciones básicas que configuran el tratamiento automático de los datos son las siguientes:

– Entrada de datos: es la función de adquisición de los datos que componen la base de la información. Los aspectos que hay que tener en cuenta en esta función son: las técnicas más apropiadas que se van a emplear y su coste, el control de errores y validación de los datos, y la interactividad de las operaciones de entrada.

– Almacenamiento de datos: se trata de una de las funciones que dieron origen al desarrollo del TAI. El motivo radica en el ingente volumen de datos que puede ser necesario almacenar, volumen que hace a los soportes tradicionales poco operativos. Hay que considerar aspectos de organización, acceso, seguridad, recuperación y optimización del uso de los soportes.

– Cálculo: tratamiento y manipulación de los datos «en bruto» para obtener información utilizable por la organización. Pueden ser cálculos matemáticos, manipulación de datos y ejecución de diversas acciones de transformación de los mismos.

– Presentación de la información: adecuación de la información a las necesidades de los usuarios, mejorando la capacidad de estos para analizar y extraer conclusiones en base a esa información. Consiste en facilitar la labor de los destinatarios de la información resaltando aspectos de la misma, presentándola en la forma más adecuada a los hechos o datos que se muestran, etc…, favoreciendo así una buena respuesta de los usuarios del sistema.

– Comunicaciones: conexión de sistemas de tratamiento automático de información, compartiendo recursos y datos, evitando la duplicidad de unos y otros, favoreciendo el trabajo corporativo y la igualdad de oportunidades de disponibilidad de medios en el tratamiento de la información para todos los integrantes de la organización.

Arquitectura Von Neumann

• En la definición  de computador se ha utilizado el término “datos”, que es conveniente precisar.

Los datos son conjuntos de símbolos utilizados para expresar o representar un valor numérico, un hecho, un objeto o una idea; en la forma adecuada para ser objeto de tratamiento. Es decir, en informática el concepto de dato es mucho más amplio que el que se suele utilizar en Física o en Matemáticas. En Informática no sólo es dato la temperatura (25º C) o una altura (38.5 m), o una medida experimental, sino que también lo es una matrícula de coche, el nombre de un individuo o una frase de un libro.

Los datos pueden ser captados directamente por el computador (por ejemplo, detectando electrónicamente un sonido o fonema, una temperatura, el entorno de una figura, o el paso de un objeto), o pueden ser dados en forma de letras y números (caracteres).