Esquema Nacional de Seguridad: Seguridad obligatoria en las AAPP

Este último semestre del año ha visto como nacía, con la participación de todas las Administraciones Públicas, el primer borrador del Esquema Nacional de Seguridad (en adelante, ENS). Lo ha hecho en forma de proyecto de Real Decreto, que será aprobado probablemente durante 2010, y cuya entrada en vigor supondrá la aparición definitiva de una normativa de obligatorio cumplimiento para todas las Administraciones Públicas en el ámbito de la Seguridad de la Información.

El Real Decreto nacerá para dar respuesta al artículo 42.2 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP), mediante el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos, que permita la adecuada protección de la información. Cabe destacar que el ENS está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información.

Respecto a su contenido, en el fondo no plantea novedades sustanciales, ya que su elaboración se ha realizado atendiendo a normativa nacional (Administración Electrónica, Protección de Datos de Carácter Personal, Firma Electrónica, Centro Criptológico Nacional, Sociedad de la Información), así como a la regulación de diferentes Instrumentos y Servicios de la Administración, las Directrices y Guías de la OCDE y disposiciones nacionales e internacionales sobre normalización.

Uno de los puntos más destacados del Esquema Nacional de Seguridad es que obliga a abordar la seguridad de la información de una manera integral, en detrimento de acciones puntuales o coyunturales. Esta idea, defendida por otros estándares, como el ampliamente conocido y extendido ISO/IEC 27001, debe ser la base del cumplimiento del ENS. Tal y como podrá observar el lector conocedor de la materia, veremos durante este artículo bastantes similitudes entre este esquema y los empleados para implantar Sistemas de Gestión de Seguridad de la Información (SGSI) basados en las normas ISO/IEC 27001 e ISO/IEC 27002. Otro aspecto importante que introduce el ENS desde el punto de vista organizativo y que seguro planteará diversas dudas y discusiones en la Administración, será la necesidad de diferenciar las funciones “responsable del servicio” y “responsable de seguridad”, así como la formalización de un procedimiento para dictaminar sobre los conflictos que surjan entre la prestación de los servicios y su seguridad, que será aprobado por el responsable del servicio.

El Esquema Nacional de Seguridad está formado por cinco principios básicos:

• Seguridad Integral: La seguridad deberá tratarse como un proceso, teniendo en cuenta los recursos técnicos, humanos y organizativos, y donde se deberá hacer hincapié en la importancia de la concienciación de todos los intervinientes, tanto usuarios como responsables a todos los niveles.
• Gestión de Riesgos: El Análisis y Gestión de los Riesgos como tarea principal para el control de los mismos a través de la implantación de medidas eficaces y acordes a la naturaleza de los datos y los riesgos a los estén expuestos.
• Prevención, reacción y recuperación: Las medidas seleccionadas para tratar los riesgos, deben basarse en una combinación de medidas preventivas, detectivas y correctivas que disminuyan la posibilidad de que se materialicen las amenazas y minimicen los impactos una vez acontecido un incidente. Las medidas de recuperación estarán orientadas a la restauración de los servicios y la información asociada.
• Líneas de defensa: Las medidas de seguridad deben ser de naturaleza organizativa, física y lógica, lo que permitirá reforzar la seguridad para proteger cada activo.
• Reevaluación periódica: Será obligatoria la revisión de las medidas de seguridad implantadas, así como su eficacia al menos con carácter bianual. Dicha revisión deberá incluir la evaluación de los riesgos.
• Función diferenciada: Se deberá garantizar la diferenciación entre el responsable del servicio y la responsabilidad de garantizar la seguridad de los sistemas de información, debiendo pertenecer a instancias separadas.

El ENS obliga a abordar la seguridad TI de una manera integral, en detrimento de acciones puntuales.

Implantación del ENS

Lo primero que toda Administración deberá realizar, será la redacción de una política de seguridad (aprobada por el titular del órgano superior correspondiente) que contenga los cinco principios básicos, así como el compromiso de abordar la seguridad mediante al menos los siguientes requisitos mínimos:

• Organización e implantación del proceso de seguridad.
• Análisis y gestión de los riesgos.
• Gestión de personal.
• Profesionalidad.
• Autorización y control de los accesos.
• Protección de las instalaciones.
• Adquisición de productos.
• Seguridad por defecto.
• Integridad y actualización del sistema.
• Protección de la información almacenada y en tránsito.
• Prevención ante otros sistemas de información interconectados.
• Registro de actividad.
• Incidentes de seguridad.
• Continuidad de la actividad.
• Mejora continua del proceso de seguridad.

Asimismo, cada Administración deberá justificar la aplicación o no de dichas medidas, en función de los riesgos detectados en la fase de análisis de riesgos posterior.

A continuación se deberá clasificar la información contenida en los distintos procesos administrativos, lo que permitirá establecer los criterios de clasificación y tratamiento adecuados. La clasificación de la información administrativa según el esquema es la siguiente:

• Información de Nivel Alto: Cuando el perjuicio causado sea muy grave o catastrófico.
• Información de Nivel Medio: Cuando el perjuicio ocasionado sea grave.
• Información No Divulgable: En esta categoría se encuentra la información que no es clasificada, de nivel alto y medio, pero que tiene limitada su publicidad por disposición legal.
• Información Pública: Información transparente para todas las partes interesadas.

Constituida por toda la información que no sea clasificada, dato de carácter personal  o información administrativa.