Proceso de Adecuación
Para llevar a cabo el proceso de Certificación/Conformidad con el ENS es necesario elaborar un Plan de Adecuación (Fase 5ª del Proceso) que, en sí mismo, incluirá las cuatro (4) fases previas del proceso (Política de Seguridad, Categorización de Sistemas, Análisis de Riesgos y Declaración de Aplicabilidad/Perfil de Cumplimiento).
El proceso de Certificación/Conformidad con el ENS exige la elaboración de un Plan de Adecuación.
El PLAN DE ADECUACIÓN es un documento que contendrá la siguiente información: el alcance de los sistemas que se van a someter al proceso de certificación en el ENS, la categoría los mismos, qué medidas del Anexo II se van a implementar (Declaración de Aplicabilidad), qué riesgos se asumen, la Política de Seguridad del Organismo con su organización de la seguridad...
Para abordar de forma eficiente el Plan de Adecuación es necesario realizar los siguientes pasos:
Como apoyo a la comprensión y al desarrollo de cada una de las fases del Plan de Adecuación, pueden utilizarse las guías CCN-STIC que aparecen en el siguiente gráfico-resumen:
Una vez realizado el Plan de Adecuación, se pasa a la fase de Implantación de la Seguridad:
Para facilitar la implantación y configuración segura de los sistemas, se ha desarrollado la Serie 800 de las Guías CCN-STIC. En concreto, y para facilitar la implementación del Plan de Adecuación se pueden consultar las siguientes guías:
- CCN-STIC-803 Valoración de Sistemas en el ENS
- CCN-STIC-807 Criptología de empleo en el ENS
- CCN-STIC 808 Verificación cumplimiento medidas del ENS
- CCN-STIC-811 Interconexión en el ENS
- CCN-STIC-812 Protección del servicio web
- CCN-STIC-814 Protección del servicio de correo
- CCN-STIC-820 Protección frente a DOS
- CCN-STIC-821 Normas de Seguridad en el ENS
- CCN-STIC-822 Procedimiento de seguridad en el ENS
- CCN-STIC-826 Implementación de Seguridad
- CCN-STIC-835 Borrado de metadatos
- CCN-STIC-836 ENS - Seguridad en VPN
La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal auditoría deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado que pudieran repercutir en las medidas de seguridad que deban adoptarse.
Para la determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categoría BÁSICA bastará con la ejecución de un procedimiento de autoevaluación que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal autoevaluación deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado, que pudieran repercutir en las medidas de seguridad que deban adoptarse.
Siendo obligatoria la Auditoría en sistemas de categorías MEDIA o ALTA, nada impide que un sistema de categoría BÁSICA se someta igualmente a una Auditoría formal de verificación de conformidad, siendo esta posibilidad siempre la deseable.
Como se desprende de lo contenido en el Anexo I del ENS, la conformidad con la norma de un sistema de información concreto pasa necesariamente por adoptar y manifestar que se han implementado las medidas de seguridad requeridas para tal sistema, atendiendo a su categoría (BÁSICA, MEDIA o ALTA), y asegurando que tales medidas se mantienen a lo largo de todo el ciclo de vida del sistema.
Los organismos a los que se aplica el ENS están obligados a cumplimentar e informar sobre el Estado de Seguridad. Para cumplir con este mandato, el CCN ha desarrollado el proyecto INES (Informe Nacional del Estado de Seguridad) con el fin de facilitar la labor de todos los organismos:
-
INES. Informe del Estado de la Seguridad en el ENS
La gestión de la seguridad de la información es un proceso sujeto a cambios constantes. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de nuestros sistemas.
Por ello es necesario implantar un proceso de actualización continua, que conllevará, entre otras acciones:
- Revisión de la Política de Seguridad de la Información.
- Revisión de la información y los servicios, y su categorización.
- Actualización del análisis de riesgos, al menos anualmente.
- Revisión de la Declaración de Aplicabilidad o del Perfil de Cumplimiento.
- Realización de auditorías internas.
- Revisión del Plan de Mejora.
- Revisión de las medidas de seguridad.
- Revisión y actualización de procedimientos.
- Revisión del Estado de Seguridad. INÉS.
Ciclo de mejora continua
La Federación Española de Municipios y Provincias (FEMP), con la colaboración del Centro Criptológico Nacional, ha hecho público el Libro de recomendaciones: Itinerario de adecuación al Esquema Nacional de Seguridad (ENS). En él se hace una descripción de las pautas, requisitos y los pasos a seguir, para conseguir definir una hoja de ruta personalizada para la adecuación al ENS de las entidades locales, teniendo en cuenta la definición y marco legal del esquema, los roles a adoptar según las competencias dentro de la organización, el modelo a seguir dividido en varias fases, actuaciones, tareas y niveles así como distintos sistemas de medición. Se incluye, además, las medidas de protección que se deberían implantar en las instalaciones de los ayuntamientos, la gestión del personal, los equipos y las comunicaciones, los soportes de información, las aplicaciones informáticas, la información y los servicios prestados.