Seguranza de la información

Seguranza de la información

Real Decretu 311/2022, de 3 de mayu, pol que se regula l’Esquema Nacional de Seguranza

L’Alministración del Principáu d’Asturies tien un compromisu claru cola seguranza de la información dende la publicación, hai 12 años, del Real Decretu 3/2010, de 8 de xineru, pol que se regula l’Esquema Nacional de Seguranza (d’equí p’alantre, ENS). El 4 de mayu del 2022 publicóse’l Real Decretu 311/2022, que ye la última actualización de la norma que regula l’ENS. La finalidá d’esta norma nel ámbitu de l’alministración electrónica ye crear les condiciones necesaries d’enfotu nel usu de los medios electrónicos al traviés de midíes pa garantizar la seguranza de los sistemes, los datos, les comunicaciones y los servicios electrónicos, de manera que se favoreza un usu óptimu y seguru de los medios TIC esenciales que son la base de les alministraciones electróniques y del meyor exerciciu de derechos y cumplimientu de deberes qu’a toos y toes afecten.

L’ENS busca, en definitiva, implantar un escenariu d’enfotu onde los sistemes d’información dean los sos servicios y guarden los datos d’alcuerdu coles especificaciones funcionales, ensin interrupciones o modificaciones fuera de control y ensin que la información pueda llegar a conocimientu de persones non autorizaes. Enfotu, polo tanto, en qu’equipos y redes van tener capacidá pa resistir los accidentes y acciones illícites o malintencionaes que comprometen les dimensiones de seguranza, disponibilidá, autenticidá, integridá, trazabilidá y confidencialidá de los datos almacenaos o tresmitíos y de los servicios qu’estes redes y sistemes ufierten o faen accesibles.

Nesi escenariu, la seguranza non solo atiende a la protección de cada sistema o al control desproporcionáu de lo que caún fai, sinón qu’esixe un procesu d’estudiu y análisis que valore cada elementu como parte d’un tou y onde se fai necesaria una coordinación máxima ente dellos grupos, inclusive con perspectives funcionales o técniques distintes, y una estandarización de los procedimientos qu’en cada casu apliquen. Ye tamién primordial el siguimientu d’unos criterios y controles que l’Estáu definió como esenciales. La seguranza ye, porque asina lo apunta l’Esquema y porque lo aconseya la esperiencia, dalgo tresversal y integral onde nun caben actuaciones puntuales o indocumentaes. Hai que recordar que la debilidá d’un sistema determínala’l so puntu más fráxil y, davezu, ésti surde de la mala coordinación ente midíes afayadices individualmente pero mal axustaes.

El camín percorríu estos años, reforciando l’enfotu de los ciudadanos nuna alministración electrónica segura y de calidá, dexó descubrir sinerxes y necesidaes nueves nel ámbitu de la seguranza de la infomación y, sobre manera y con sentíu más ampliu, na “ciberseguranza”. Polo tanto, yera menester una remodelación sustancial de tol ENS. Los oxetivos más destacaos que busca esta actualización son:

  • Alliniar l’ENS col marcu normativu de referencia.
  • Axustar los requisitos del ENS a necesidaes peculiares d’entidaes públiques o privaes, entornos tecnolóxicos o dar respuesta a situaciones nueves (son los llamaos “perfiles específicos del ENS”).
  • Adaptar los principios básicos, requisitos mínimos y midíes de seguranza a los paradigmes nuevos y tendencies nel marcu de la ciberseguranza

Ye relevante destacar l’ampliación del ámbitu d’aplicación del ENS de mayu del 2022 al sector priváu na midida que seyan, de dalguna manera, copartícipes nos servicios que dean o vaigan dar a les alministraciones tanto si esta prestación ye de serviciu o de productu. El Decretu da un pasu más p’allá recoyendo embaxo’l paragües los sistemes que remanen información clasificada.

Los “perfiles específicos” descríbense cola mira de favorecer el trabayu d’adecuación al cumplimientu del ENS a entidaes asemeyaes como, por exemplu: conceyos, universidaes o organismos pagadores. O de la mesma manera pa que se pueda comprobar el so cumplimientu en servicios tecnolóxicos concretos como pueden ser los servicios na nube.

El decretu del ENS vixente describe cómo xestionar, controlar y ameyorar la seguranza de la información nes organizaciones al traviés de 7 principios básicos, 15 requisitos mínimos y 73 midíes de seguranza.

7 principios básicos

  1. Seguranza como procesu integral.
  2. Xestión de la seguranza basada nos riesgos.
  3. Prevención, detección, respuesta y caltenimientu.
  4. Existencia de llinies de defensa.
  5. Vixilancia de contino.
  6. Reevaluación periódica.
  7. Diferenciación de responsabilidaes.

15 requisitos mínimos

  1. Organización y implantación del procesu de seguranza.
  2. Análisis y xestión de los riesgos.
  3. Xestión de personal.
  4. Profesionalidá.
  5. Autorización y control de los accesos.
  6. Protección de les instalaciones.
  7. Adquisición de productos de seguranza y contratación de servicios de seguranza.
  8. Privilexu mínimu.
  9. Integridá y actualización del sistema.
  10. Protección de la información almacenada y en tránsitu.
  11. Prevención énte otros sistemes d’información interconectaos.
  12. Rexistru d’actividá y detección de códigu dañible.
  13. Incidentes de seguranza.
  14. Continuidá de l’actividá.
  15. Meyora continua del procesu de seguranza.

73 midíes de seguranza (Protección afayadiza de la información)

  1. Marcu organizativu.
  2. Marcu operacional.
  3. Midíes de protección.

Los principios básicos y requisitos mínimos del ENS son los fundamentos que tienen que rexir toa acción empobinada a asegurar la información y los servicios. Les midíes de seguranza han aplicase d’alcuerdu col nivel de seguranza que se precisa pa cada sistema d’información y d’alcuerdu con dellos criterios establecíos, valorando les organizaciones l’impactu d’un incidente de seguranza nos sos sistemes.

P’atender a los principios básicos y los requisitos mínimos, el Real Decretu 311/2022 del ENS (xunto a determinaes instrucciones técniques qu’emite l’Estáu español) regula y concreta toa una serie de actividaes y midíes qu’han cumplir les organizaciones y los sistemes d’información

Esta serie de midíes organícense en trés marcos (organizativu, operacional y de protección) al mesmu tiempu que cada midida pue estremase en dellos controles (véase ilustración al marxe). L’aplicación d’estes midíes y controles materialízase o desenvuélvese de manera contestualizada en cada organización, recoyendo too esto nun documentu básicu que ye la “Declaración d’Aplicabilidá del Sistema d’Información”. Cada sistema d’información suxetu al ENS tien que tener la so propia declaración d’aplicabilidá d’alcuerdu col artículu 28 del Real Decretu Cumplimientu de los requisitos mínimos y del artículu 40 relativu a la categorización de los sistemes d’información.

Ye importante observar que l’ENS va acullá de lo que son remediaciones técniques y insiste en vertebrar la seguranza faciendo que forme parte de la esencia de l’Alministración, que les instancies más altes de la organización conozan y sofiten eses midíes; midíes que tienen que balanciar les necesidaes operatives d’usuarios y trabayadores cola imposición d’elementos restrictivos que busquen, sobre manera, dificultar les operaciones d’intrusión y ataque esternu que nun númberu altu recibimos.

A esi respective, hai que señalar que’l Principáu d’Asturies aprobó, nel so momentu, la “Política de seguranza de los sistemes d’información na Alministración del Principáu d’Asturies” (PSI).

4 Marcu organizativu

  1. (1)Política de seguranza.
  2. (1)Normativa de seguranza.
  3. (1)Procedimientu de seguranza.
  4. (1)Procesu d’autorización.

33 Marcu operacional.

  1. (5) Planificación.
  2. (6) Control d’accesu.
  3. (10) Esplotación.
  4. (4) Servicios esternos.
  5. (1) Serviciu na nube.
  6. (4) Continuidá del serviciu.
  7. (3) Monitorización del sistema.

36 Midíes de protección

  1. (7) Instalaciones y infraestructures.
  2. (4) Xestión del personal.
  3. (4) Protección de los equipos.
  4. (4) Protección de les comunicaciones.
  5. (5) Protección de los soportes d’información.
  6. (2) Protección d’aplicaciones informátiques.
  7. (6) Protección de la información.
  8. (4) Protección de los servicios.

Acompañando a esta política publíquense les Normatives de Seguranza de la PSI. Estes normes, de forma asemeyada a lo contemplao pola PSI, son de cumplimientu obligáu pa tol personal –seya cual seya la so rellación contractual cola Alministración– con accesu a los sistemes d’información de l’Alministración del Principáu d’Asturies.

Qu’haya una política de seguranza nun equival, nin muncho menos, a algamar el certificáu d’ENS, pero ye evidente qu’ensin ella toa auditoría diba tener, nel intre, un resultáu negativu.

Conocer la política, aplicar los sos principios, atender la interpretación técnica que los especialistes en seguranza TIC faigan de los sos artículos y normatives asociaes, ye un valor esencial que da sentíu al gruesu d’actividaes que protexen los nuestros sistemes y datos.

P’afianzar l’aplicación de la política y la implicación máxima, con mires a situar la nuestra organización como una referencia nacional de la seguranza, tiense como oxetivu’l caltenimientu de la certificación del ENS pa la “Sede electrónica de l’Alministración del Principáu d’Asturies" (SEAPA) y la progresión na certificación d’otros sistemes. Como facilitador d’esos oxetivos estratéxicos determinóse la creación del “Comité d’Estratexa Dixital y Seguranza y seguranza de la Información” (CEDISI) que s’afita nel Decretu 37/2018, de 18 de xunetu, d’organización y desenvolvimientu de los instrumentos de funcionamientu de les tecnoloxíes de la información y les comunicaciones y de la seguranza de la información de l’Alministración del Principáu d’Asturies y el so sector públicu (y la so primer modificación Decretu 68/2020, de 17 de setiembre). El CEDISI ye un órganu específicu, de composición profesional y multidisciplinar que va desenvolver les sos funciones pa tola Alministración xeneral y organismos dependientes del Principáu d’Asturies. Da cumplimientu a la obligación de les Alministraciones públiques de describir un marcu de referencia pa la organización de la seguranza de la información nel so ámbitu de competencia, d’alcuerdu colo afitao nel ENS. El CEDISI ye’l comité que xestiona y coordina la seguranza, responsabilizándose d’alliniar les actividades de la organización en materia de seguranza de la información.

El cumplimientu de toles midíes a les qu’obliga l’ENS implica un plan d’análisis meditáu y diseñu técnicu y organizativu que se reflexa nun conxuntu d’actividades que se tienen qu’executar y encarar de manera progresiva y controlada, implicando y afectando a milenta equipos, redes, aplicaciones o bases de datos, amás d’a los usuarios que faen usu d’esos elementos. Too eso supón un retu de munchu valumbu qu’empezó col análisis del estáu de l’Alministración del Principáu d’Asturies en materia de cumplimientu de los requisitos establecíos pol ENS y persiste coles xeres de meyora continua calteníes nel tiempu qu’esixe la seguranza.