lunes, 9 de enero de 2012

¿Cómo abordar un Plan de adecuación a los requerimientos del Esquema Nacional de Seguridad?

El año 2010 trajo consigo un nuevo referente en el marco regulatorio legal, el Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad (en adelante ENS) en el ámbito de la administración de Acceso Electrónico a los Ciudadanos. Este Real Decreto supone, además, un nuevo marco legal para las Administraciones Públicas, que junto al estándar internacional ISO 27002 o el Real Decreto 1720/2007 de desarrollo de la LOPD, establecen una serie de medidas de seguridad a implantar en los sistemas de información. En el caso del ENS, el ámbito de aplicación abarca a aquellos sistemas que soportan los medios electrónicos de comunicación con los ciudadanos en los servicios públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

En el Esquema Nacional de Seguridad, se diferencian dos tipos de proyectos:
· Aquellos que se desarrollan después de la entrada en vigor.
· Los existentes con anterioridad a la publicación de la norma.

Los primeros deberán iniciarse bajo el paraguas de acción del ENS, sin embargo, en el caso de los segundos, se establece en un año el tiempo de adecuación para el cumplimiento de la normativa. Es precisamente en este momento, cuando cobra importancia el Plan de Adecuación ya que en el caso de que concurran circunstancias que impidan la plena aplicación de lo exigido, se puede disponer de un plan de este tipo que marque los plazos de ejecución. Estos plazos no podrán exceder los 48 meses, desde que entra en vigor el ENS, por tanto 2014.

Para las organizaciones a las cuales aplica este ENS, se aproxima la hora de “remangarse” y comenzar a realizar un Plan de Adecuación que programe la implantación de los requerimientos que específica antes de 2014. Pero llegado este momento, surge siempre la siguiente pregunta:


¿Por dónde empezar un Plan de Adecuación?

Abast Systems, con una dilatada experiencia en proyectos de seguridad de la información concibe un proyecto de adecuación al ENS en las siguientes fases:

Fase I: Política de Seguridad: Validar si la política existe y si cumple con los requisitos del Anexo II del ENS.

Fase II: Valoración de la Información: Valorar la información significa identificar los requisitos relevantes en las dimensiones de confidencialidad, integridad, autenticidad y trazabilidad.

Fase III: Valoración de los Servicios: Valorar los servicios significa identificar los requisitos relevantes en las dimensiones de confidencialidad, disponibilidad, autenticidad y trazabilidad.

Fase IV: Datos de Carácter Personal: En caso de que los sistemas gestionen datos de carácter personal se tendrán en cuenta los requerimientos del RD 1720/2007.

Fase V: Categorización de los sistemas: Se categorizarán los sistemas en base al Anexo I del ENS.Para ello Los niveles de seguridad determinados para la información se imputaran a todos los activos que manejen la información correspondiente. Los niveles de seguridad determinados para los servicios se imputaran a todos los activos que concurran para prestar el servicio correspondiente.

Fase VI: Declaración de aplicabilidad de las medidas del Anexo II del ENS: Se elaborará una relación de las medidas exigidas por el anexo II del ENS y que son de aplicación a los sistemas o subsistemas de la fase anterior. También se motivará la no-aplicabilidad de algunas de las medidas.

Fase VII: Análisis de Riesgos: En esta fase se realizará un análisis de riesgos en función de lo exigido por el Anexo II del ENS. Este análisis será diferente en función de las categorías de los sistemas:

Sistemas de Categoría Básica. Se realizará un análisis informal que:
- Identifique los activos más valiosos del sistema.
- Identifique las amenazas más probables.
- Identifique las salvaguardas que protegen dichas amenazas.
- Identifique los principales riesgos residuales.

Sistemas de Categoría Media. Se realizará un análisis semi-formal con un catálogo básico de amenazas y una semántica definida que:
- Identifique y valore cualitativamente los activos más valiosos del sistema.
- Identifique y cuantifique las amenazas más probables.
- Identifique y valore las salvaguardas que protegen dichas amenazas.
- Identifique y valore el riesgo residual.

Sistemas de Categoría Alta. Se realizará un análisis formal que:
- Identifique y valore cualitativamente los activos más valiosos del sistema.
- Identifique y cuantifique las amenazas posibles.
- Identifique las vulnerabilidades habilitantes de dichas amenazas.
- Identifique y valore las salvaguardas adecuadas.
- Identifique y valore el riesgo residual.

Fase VIII: Determinación de las carencias de los sistemas: En base al trabajo realizado en las fases anteriores se establecerá una relación de:
- Aquellas medidas de seguridad exigidas por el Anexo II que no se cumplen.
- Aquellas medidas de seguridad exigidas por el RD1720 para los datos de carácter personal, que no se cumplen.
- Aquellos riesgos no asumibles por la organización.

Fase IX: Plan de Mejora de la Seguridad: En el Plan de Mejora se detallan las actuaciones encaminadas a subsanar las deficiencias detectadas en la fase anterior. Cada acción correctiva se debe documentar mostrando las carencias que subsana, el plazo previsto de ejecución, y la estimación del esfuerzo económico que implica.

Por tanto, en base a nuestra experiencia y a nuestros casos de éxito, una adecuación al ENS debe realizarse por fases, implantando un sistema de gestión de seguridad de la información que permita garantizar la aplicación de las diferentes medidas (marco organizativo, marco operacional, medidas de protección) a los sistemas de acceso electrónico de los ciudadanos.
Un primer paso indispensable es el Plan de Adecuación y a dos años de 2014… ¿no os parece un buen momento para comenzarlo?

No hay comentarios: