ISMS: Esquema Nacional

de Seguridad (ENS)
INFORMATION SECURITY MANAGEMENT SYSTEMS
 2
ENS: Esquema Nacional de Seguridad

Establecido en la Ley 11/2007, de 22 de junio, de acceso

electrónico de los ciudadanos a los Servicios Públicos.
u Reconoce el derecho de los ciudadanos a relacionarse con
las AAPP por medios electrónicos y regula los aspectos
básicos de la utilización de las tecnologías de la información .

Aprobado en el Real Decreto 3/2010, de 8 de enero, tiene por

objeto determinar la política de seguridad en la utilización de
medios electrónicos.
u Constituido por los principios básicos y requisitos mínimos que
permitan una protección adecuada de la información.
 3
ENS

Posteriormente la Ley 40/2015, de 1 de octubre, de Régimen

Jurídico del Sector Público.
u En su artículo 156 apartado 2 recoge el ENS en términos
similares.

Aprobado en el Real Decreto 951/2015, de 23 de octubre,

modifica el ENS.
u En respuesta a la evolución del entorno regulatorio, en
especial de la Unión Europea.
 4
El ENS y la Estrategia Nacional de
Ciberseguridad

La Estrategia Nacional de Ciberseguridad aprobada el 5 de diciembre de 2013 por el

Consejo de Ministros, tiene como objetivo la prevención, defensa, detección y
respuesta frente a las ciberamenazas. Se estructura en 5 capítulos:
1. El ciberespacio y su seguridad.
2. Propósito y principios rectores de la ciberseguridad en España.
3. Objetivos de la ciberseguridad.
4. Líneas de actuación de la ciberseguridad nacional. Incluye la implantación del ENS.
5. La ciberseguridad en el Sistema de Seguridad Nacional.
 5
ENS: Guías STIC del CCN

Guías STIC del CCN

u 801: ENS. Responsabilidades y funciones
u 802: ENS. Guía de auditoria
u 803: ENS. Valoración de los sistemas
u 804: ENS. Guía de implementación
u 805: ENS. Política de la seguridad de información
u 808: ENS. Verificación del cumplimiento de las medidas
u 809: Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento
u 821: ENS. Normas de Seguridad
u 822: ENS. Procedimientos de seguridad
u 830: ENS. Ámbito de aplicación
 6
ENS: Objetivos

Crear las condiciones necesarias para la confianza en el uso de los medios

electrónicos a través de medidas para garantizar la seguridad de los sistemas, los
datos, las comunicaciones y los servicios electrónicos, que permita el ejercicio de
derechos y el cumplimiento de deberes a través de estos medios.

Introducir los elementos comunes que han de guiar la actuación de las

Administraciones Públicas en materia de seguridad de las tecnologías de la
información
 7
ENS: Alcance

A las Administraciones Públicas, entendiendo por tales la A los ciudadanos

Administración General del Estado, las Administraciones de las A las relaciones
en sus relaciones
entre las distintas
Comunidades Autónomas y las entidades que integran la con las
Administracione
Administración Local, así como las entidades de derecho Administraciones
s Públicas
público vinculadas o dependientes de las mismas. Públicas

De acuerdo a las aclaraciones del Ministerio de Hacienda y de AAPP y del CCN, son de aplicación a
u Sedes electrónicas
u Registros electrónicos
u Sistemas de información accesibles electrónicamente por los ciudadanos
u Sistemas de información para el ejercicio e derechos
u Sistemas de información para el cumplimiento de deberes
u Sistemas de información para recabar información y estado del procedimiento administrativo
 8
ENS: Plan de Adecuación

El plan de adecuación al ENS deberá contener, al menos, los siguientes elementos:

1. Política de seguridad de la información.
2. Categorización de los sistemas.
3. Análisis de riesgos.
4. Declaración de aplicabilidad.
5. Insuficiencias del sistema.
6. Plan de mejora de seguridad.
 9
ENS: Política de Seguridad

El primer paso para la adecuación al ENS será la elaboración de la Política de Seguridad de la

Información, que deberá ser aprobada por el titular del órgano superior competente.
Esta política desarrollará los principios mínimos establecidos por el ENS, incluyendo aspectos de:

1.Organización e implantación del proceso de 10.Protección de la información almacenada y en

seguridad. tránsito
2.Análisis y gestión de los riesgos. 11.Prevención ante otros sistemas de información
3.Gestión de personal. interconectados
4.Profesionalidad. 12.Registro de actividad
5.Autorización y control de los accesos. 13.Incidentes de seguridad
6.Protección de las instalaciones 14.Continuidad de la actividad
7.Adquisición de productos. 15.Mejora continua del proceso de seguridad
8.Seguridad por defecto
9.Integridad y actualización del sistema
 10
ENS: Política de Seguridad

u Roles del marco organizativo:

u Responsable de la Información (RINFO). Generalmente ocupa el cargo más alto en la
organización y será el responsable último. Establece los requisitos de seguridad de la
información gestionada.
u Responsable del Servicio (RSERV). Decide sobre los requisitos de seguridad del servicio,
especialmente en relación a la disponibilidad.
u Responsable de la Seguridad (CISO – Chief Information Security Officer, RSEG). Gestiona la
seguridad de la información y de los servicios.
u Responsable del Sistema (RSIS). Encargado de desarrollar, operar y mantener el sistema de
información durante todo su ciclo de vida.
u Administradores de la Seguridad del Sistema (ASS). Se encarga de la parte técnica de la
implementación, gestión y mantenimiento de las medidas de seguridad que es necesario
aplicar.
 11
ENS: Política de Seguridad

Para el desarrollo de la política de seguridad y la definición del marco organizativo es

conveniente tener en cuenta las recomendaciones incluidas en las siguientes guías:
u CCN-STIC-801 Responsable y funciones en el ENS
u CCN-STIC-805 Política de seguridad de la información
 12
ENS: Análisis de Riesgos

u Artículo 13 del ENS, establece la necesidad de llevar a cabo un proceso de análisis y

gestión de riesgos en base a una metodología reconocida internacionalmente.
u Magerit
u Metodología de Análisis y Gestión de Riesgos para IT
u Disponible en https://www.ar-tools.com/es/index.html
u Autor principal y persona de contacto: José Antonio Mañas, Catedrático de la Universidad
Politécnica de Madrid
u Pilar
u Herramienta de análisis de riesgos de propósito general.
u Realiza calificaciones de seguridad respecto de ISO/IEC 27002 y ENS
 13
ENS: Categorización de los Sistemas

1. Identificación de los servicios y de la información incluidos en el alcance del ENS,

considerando únicamente las actividades propias de la administración y la información de la
que dependen y prescindiendo, de momento, de otros servicios o informaciones accesorias.
2. Valoración de cada uno de los servicios e información identificadas, en función del impacto
que tendría un incidente que afectara a las dimensiones de seguridad consideradas:
• Disponibilidad [D] Autenticidad [A] Integridad [I] Confidencialidad [C] Trazabilidad [T].
u Una información o un servicio pueden verse afectados en una o más de sus dimensiones de
seguridad.
u Cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles: BAJO,
MEDIO o ALTO. Si una dimensión de seguridad no se ve afectada, no se adscribirá a ningún
nivel.
u Anexo II del ENS sobre segregación de subsistemas. CCN-STIC-803 Valoración de sistemas
 14
ENS: Categorización de los Sistemas

u Determinación de nivel de seguridad requerido Valoración (Anexo I + Guía STIC 803): Las
consecuencias de un incidente de seguridad que
u (información o servicio) afecten a alguna de las dimensiones de seguridad
suponen un perjuicio XXX sobre las funciones de la
organización, sobre sus activos o sobre los
individuos afectados.
Alto
Las consecuencias de un
incidente de seguridad Las consecuencias de un

Medio
incidente de seguridad Las consecuencias de un

Bajo
que afecten a alguna
que afecten a alguna de incidente de seguridad
de las dimensiones de
las dimensiones de que afecten a alguna de
seguridad suponen un
seguridad suponen un las dimensiones suponen
perjuicio
perjuicio un perjuicio
MUY GRAVE
GRAVE LIMITADO
sobre las funciones de la
sobre las funciones de la sobre las funciones de la
organización, sobre sus
organización, sobre sus organización, sobre sus
activos o sobre los
activos o sobre los activos o sobre los
individuos afectados.
individuos afectados. individuos afectados.
 15
ENS: Categorización de los Sistemas

Nivel BAJO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a
alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de
la organización, sobre sus activos o sobre los individuos afectados.
u Se entenderá por perjuicio limitado:
1. La reducción de forma apreciable de la capacidad de la organización para atender
eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
2. El sufrimiento de un daño menor por los activos de la organización.
3. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
4. Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente
reparable.
5. Otros de naturaleza análoga.
 16
ENS: Categorización de los Sistemas

Nivel MEDIO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte
a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de
la organización, sobre sus activos o sobre los individuos afectados.
u Se entenderá por perjuicio grave:
1. La reducción significativa la capacidad de la organización para atender eficazmente a sus
obligaciones fundamentales, aunque estas sigan desempeñándose.
2. El sufrimiento de un daño significativo por los activos de la organización.
3. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no
tenga carácter de subsanable.
4. Causar un perjuicio significativo a algún individuo, de difícil reparación.
5. Otros de naturaleza análoga.
 17
ENS: Categorización de los Sistemas

Nivel ALTO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a
alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones
de la organización, sobre sus activos o sobre los individuos afectados.
u Se entenderá por perjuicio muy grave:
1. La anulación de la capacidad de la organización para atender a alguna de sus
obligaciones fundamentales y que éstas sigan desempeñándose.
2. El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la
organización.
3. El incumplimiento grave de alguna ley o regulación.
4. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
5. Otros de naturaleza análoga.
 18
ENS: Categorización de los Sistemas

Determinación de la categoría de un sistema de información: BÁSICA, MEDIA y ALTA.

u ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
u MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna
alcanza un nivel superior.
u BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna
alcanza un nivel superior
 19
ENS: Medidas de Seguridad

u Son el conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el

sistema de información, con el fin de asegurar sus objetivos de seguridad
u medidas de prevención, medidas de disuasión, medidas de protección, medidas de
detección y reacción, medidas de recuperación.
u Se dividen en tres grupos o tipos:
u Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización
global de la seguridad. 4 medidas política de seguridad, normativa de seguridad, procedimientos de
seguridad y proceso de autorización.
u Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema
como conjunto integral de componentes para un fin. 31 medidas. Ejemplos: análisis de riesgos,
arquitectura de seguridad, etc.
u Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la
calidad exigida por el nivel de seguridad de las dimensiones afectadas. 40 medidas. Ejemplos:
Identificación de las personas, acondicionamiento de los locales, instalaciones alternativas, etc.
 20
ENS: Declaración de Aplicabilidad

Este documento es una relación de las 75 medidas de seguridad (controles) previstas en

el Anexo II, indicando para cada una si debe aplicarse o no, justificando las exclusiones.
Las medidas de seguridad se seleccionarán en base no solo a la categoría del sistema,
sino teniendo en cuenta las dimensiones a las que afecta la seguridad.
21
 22
ENS: 4. Declaración de Aplicabilidad
 23
ENS: Declaración de Aplicabilidad

Para seleccionar las medidas de seguridad a adoptar se deben seguir los siguientes pasos:
u 1) Identificar los tipos de activos presentes.
u 2) Determinar las dimensiones de seguridad relevantes.
u 3) Determinar el nivel correspondiente a cada dimensión de seguridad.
u 4) Determinar la categoría del sistema.
u 5) Seleccionar las medidas de seguridad apropiadas de entre las contenidas en el
Anexo I (tabla anterior), de acuerdo con las dimensiones de seguridad y sus niveles, y,
para determinadas medidas de seguridad, de acuerdo con la categoría del sistema
u CNN-STIC 825: relación del ENS con normas ISO/IEC 27001 e ISO/IEC 27002. ¿Cómo
utilizar una certificación 27001 como soporte de cumplimiento del ENS? Y ¿qué
controles de la norma 27002 son necesarios para el cumplimiento de cada medida del
Anexo II de ENS?
24
 25
ENS: Insuficiencias del Sistema

En este punto ya tendremos claros los requisitos mínimos que deberemos cumplir para
adecuar la organización al ENS.
El siguiente paso es la ejecución de una evaluación del grado de cumplimiento de las
medidas previstas que permita identificar los puntos a corregir o mejorar.
u Guía CCN-STIC-808 Verificación del cumplimiento de las medidas en el ENS
 26
ENS: Plan de Mejora de Seguridad

El último paso para la planificación de la adecuación al ENS es elaborar un plan de

mejora que contemple las acciones encaminadas a subsanar las insuficiencias
detectadas en el anterior proceso de evaluación.
Para cada acción debe indicarse:
u Descripción de la acción.
u Responsable de su ejecución.
u Responsable de su supervisión.
u Plazos previstos.
u Coste estimado.
 27
ENS: Implantación del ENS

Al igual que en la norma UNE-ISO/IEC 27001, se trata de poner en práctica las acciones
previstas del plan.
Existen varias guías de utilidad:
u CCN-STIC-821 Normas de seguridad en el ENS
u CCN-STIC-822 Procedimientos de seguridad en el ENS
 28
ENS: Auditoría del ENS

El artículo 34 establece la necesidad de realizar auditorías ordinarias, al menos cada 2 años. También deben
realizarse auditorías cada vez que se produzcan cambios sustanciales.
Objeto de la auditoría (Anexo III):
u Que la política de seguridad define los roles y funciones de los responsables de la información, de los servicios,
los activos y la seguridad del sistema de información.
u Que existen procedimientos para resolución de conflictos entre dichos responsables.
u Que se han designado personas para dichos roles a la luz del principio de “separación de funciones”.
u Que se ha realizado un análisis de riesgos, con revisión y aprobación anual.
u Que se cumplen las recomendaciones de protección descritas en el anexo II … (Medidas de Seguridad)
u Que existe un sistema de gestión de seguridad de la información, documentado y con un proceso regular de
aprobación por la dirección.
Existen dos guías para planificar y ejecutar la auditoría:
u CCN-STIC-802 Guía de auditoría.
u CCN-STIC-808 Verificación del cumplimiento de las medidas en el ENS.
 29
ENS: Conformidad con el ENS

El Artículo 41 del ENS señala que: “Los órganos y Entidades de Derecho Público darán
publicidad en las correspondientes sedes electrónicas a las declaraciones de
conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos
respecto al cumplimiento del Esquema Nacional de Seguridad”
u Declaración de Conformidad: de aplicación a sistemas de información de
categoría Básica. Podrá representarse mediante Sello o Distintivo de Declaración de
Conformidad generado por la entidad bajo cuya responsabilidad esté el sistema.
u Certificación de Conformidad: de aplicación obligatoria a sistemas de información de
categoría Media o Alta y voluntaria en el caso de sistemas de información de
categoría Básica. (Auditoría por una entidad acreditada)