Obligatorio para organismos públicos y sus proveedores.
La normativa en la que basar la seguridad de la información y, por tanto, de los sistemas informáticos, surge desde el origen de estos. Y como ellos, evoluciona con el tiempo.
ISO/IEC 27001 es la norma internacional para la seguridad de la información por excelencia. Se trata de un sistema de gestión de la seguridad de la información (SGSI).
En Europa, marca el rumbo para los distintos estados la directiva NIS de 2023, NIS (EU) 2022/2555 (conocidad como NIS2). Mas info en www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
En España, es el esquema nacional de seguridad, dirigido por el CNI y el centro criptológico nacional, quien regula y normaliza, estos conjuntos de prácticas de seguridad.
En la evolución de los ataques sufridos y la evolución de la tecnología, se empezó a regular en 1992 con la Ley 30/192. Naciendo el Esquema nacional de seguridad en 2010 como tal. Siendo el cambio más importante en 2022, con el ajuste a la evolución de la tecnología y el entorno.
El esquema nacional de seguridad, es un marco normativo. Que va acompañado de guías técnicas.
La Certificación del Esquema Nacional de Seguridad se consigue superando una auditoría de una entidad independiente y autorizada por el CCN (Centro Criptológico Nacional) donde se analiza y comprueba la correcta implantación de las medidas establecidas por el ENS.
Real decreto 311/2022 – Nuevo ENS
Capítulos ENS 2022. El nuevo Esquema Nacional de Seguridad, cuenta con 7 Capítulos principales:
- Disposiciones Generales (Artículos 1 al 4) : Objeto, campo de aplicación, las definiciones y estándares aplicables del nuevo Esquema Nacional de Seguridad.
- Principios básicos del ENS (Artículos 5 al 11): Seguridad integral – Gestión de la ciberseguridad basada riesgos – Prevención, detección, respuesta y conservación. – Líneas de defensa – Vigilancia continua y reevaluación continua de la ciberseguridad – Diferenciación de responsabilidades de ciberseguridad y privacidad.
- Política de ciberseguridad y requisitos mínimos de la misma ( Artículos 12 al 30 ): Establece la posibilidad de incorporar perfiles de cumplimiento concretos, para conseguir una aplicación del ENS más eficiente en ciertas entidades y ámbitos.
- Auditoría de seguridad. Estado de la ciberseguridad de los sistemas y prevención, detección y respuesta a incidentes de seguridad (Artículos 31 al 34): Se especifican las peculiaridades del procedimiento de auditoría, así como de los pertinentes informes. Se traslada la preparación del Informe del estado de la seguridad y se asigna al CCN la articulación de la contestación a los incidentes de ciberseguridad.
- Normas de conformidad (Artículos 35 al 38).
- Actualización del ENS (Articulo 39). Donde se establece la obligación de la actualización permanente del Esquema Nacional de Seguridad para adecuarse a la evolución tecnológica.
- Categorización de los sistemas de información (Artículos 40 al 41) Desarrolla el procedimiento de categorización de los sistemas de información en el Esquema Nacional de Seguridad, definiendo las categorías de ciberseguridad.
Fuente : ciberseguridad.blog/el-nuevo-ens-2022-y-sus-principales-cambios/
La ENS en formato HTML la puedes encontrar >>> www.ccn-cert.cni.es/guias/guias-series-ccn-stic/
Adjunto enlaces para encontrar toda la información necesaria.
- Guías CCN-STIC.
- Soluciones de Ciberseguridad del CCN .
- Magerit – v.3 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
- Infraestructuras y servicios comunes .
- Productos certificados .
Este persigue mejorar, a todos los organismos públicos y entidades que se deben acoger a él :
- Exige como objetivos: Disponibilidad de los servicios – Integridad de la información – Confidencialidad – Autenticidad en la información – trazabilidad.
- Exige una auditoría de riesgos. Hay una guía para definirlos . Si es bajo , puede hacerlo la institución misma, si es medio o alto, debe ser un tercero CERTIFICADO.
- Exige continuamente PREVENIR – DETECTAR- RESPONDER (AVISAR Y RESTAURAR EL SISTEMA)
- Exige un control real en el uso, accesos y trazabilidad. Definiendo y nombrando responsables , definiendo una política de seguridad previa ajustada al marco normativo y llevándola a su cumplimiento.
Conocer, esto nos hace falta para entender lo que necesitan los ayuntamientos, así como todo lo que conllevan la ISO 27000
