Este documento presenta el Esquema Nacional de Seguridad (ENS) en España. Explica que el ENS es un instrumento legal que establece los principios básicos y requisitos mínimos de seguridad para proteger la información en las administraciones públicas. También describe los pasos que deben seguir las agencias para adecuarse al ENS, como elaborar una política de seguridad, categorizar sistemas, analizar riesgos y auditar la seguridad. Además, explica la relación entre el ENS y los estándares ISO/IEC 27001

1. ESQUEMA NACIONAL DE SEGURIDAD
Madrid, 16 de marzo de 2012
Miguel A. Amutio Gómez
Jefe de Área de Planificación y Explotación
Ministerio de Hacienda y Administraciones Públicas

2. Contenidos
1. Por qué el ENS.
2. Marco legal.
3. Adecuarse al ENS.
4. Relación del ENS con 27001 y 27002.
5. Retos.

3. 1. Por qué el ENS
Seguridad y administración-e
 Los ciudadanos esperan que los servicios se presten en unas
condiciones de confianza y seguridad equivalentes a las que encuentran
cuando se acercan personalmente a las oficinas de las Administración.
 Crece la proporción del soporte electrónico frente al papel; y,
cada vez más, ya no hay papel.
 Los servicios se prestan en un escenario complejo que requiere
cooperación.
 La información y los servicios están sometidos a riegos
provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o
desastres.
La OCDE señala que el marco legal es un aspecto importante en la
preparación de la administración-e.

4. 2. Marco legal
Seguridad en la Ley 11/22007
La Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos
reconoce el derecho de los ciudadanos a relacionarse a través
de medios electrónicos con las AA.PP.
Este reconocimiento implica la obligación de las AA.PP. de promoción
de las condiciones de confianza y seguridad mediante la aplicación
segura de las tecnologías.
Diversos principios de la Ley 11/2007 se refieren a la seguridad:
 El principio de derecho a la protección de los datos de carácter personal.
 El principio de seguridad en la implantación y utilización de los medios electrónicos.
 El principio de proporcionalidad → garantías y medidas de seguridad adecuadas a la naturaleza
y circunstancias de los trámites y actuaciones.
La seguridad figura también entre los derechos de los ciudadanos:
 Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los
ficheros, sistemas y aplicaciones de las AA.PP.
La Ley 11/2007 crea el Esquema Nacional de Seguridad.

5. ENS
 Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo
previsto sobre seguridad en la Ley 11/2007.
 Establece la política de seguridad en los servicios de
administración-e.
 Está constituida por principios básicos y requisitos mínimos que permitan
una protección adecuada de la información.
 Es de aplicación a todas las AA.PP.
 Están excluidos los sistemas que manejan la información clasificada.
 Establece un mecanismo de adecuación escalonado (fecha límite
29.01.2014).
 Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC.

6. Objetivos del ENS
 Crear las condiciones necesarias de confianza en el uso de los
medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los
ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a
través de estos medios.
 Promover la gestión continuada de la seguridad, al margen de
impulsos puntuales, o de su ausencia.
 Promover un tratamiento homogéneo de la seguridad que
facilite la cooperación en la prestación de servicios de administración electrónica cuando
participan diversas entidades.
 Proporcionar lenguaje y elementos comunes:
– Para guiar la actuación de las AA.PP. en materia de seguridad de las
tecnologías de la información.
– Para facilitar la interacción y la cooperación de las AA.PP.
– Para facilitar la comunicación de los requisitos de seguridad de la información
a la Industria.
 Estimular a la Industria del sector TIC.

7. 3. Adecuarse al ENS

8. Elaborar y aprobar la
Política de seguridad
 Las AA.PP. deberán disponer de política de seguridad en base a
los principios básicos y aplicando los requisitos mínimos para una protección
adecuada de la información.
Secciones típicas de una Política de S.I.:
1. Misión u objetivos del organismo
• Atención a:
2. Marco normativo - Los roles en el ENS.
3. Organización de seguridad
– Definición de comités y roles unipersonales - Su ubicación adecuada en la org.
– Funciones - La segregación de funciones.
– Responsabilidades
– Mecanismos de coordinación
– Procedimientos de designación de personas
4. Concienciación y formación
5. Postura para la gestión de riesgos
– Plan de análisis
– Criterios de evaluación de riesgos
– Directrices de tratamiento
– Proceso de aceptación del riesgo residual
6. Proceso de revisión de la política de seguridad
Véase “CCN-STIC-801 Responsables y funciones en el ENS” y “CCN-STIC-805 Política de seguridad de la
información”, disponibles en https://www.ccn-cert.cni.es

9. Categorizar los sistemas
 Es necesario para modular el equilibrio entre la importancia de los sistemas y el
esfuerzo dedicado a su seguridad y satisfacer el principio de proporcionalidad.
 La determinación de la categoría de un sistema se basa en la valoración
del impacto que tendría un incidente con repercusiones en la capacidad
organizativa y con perjuicio en las dimensiones de la seguridad.
Véase “CCN-STIC-803 Valoración de sistemas en el ENS”
disponible en https://www.ccn-cert.cni.es

10. Analizar los riesgos
Herramienta PILAR / µPILAR :
 Perfil de protección para el ENS
Véase https://www.ccn-cert.cni.es/

11. Elaborar la declaración de
aplicabilidad
 Incorporar el cumplimiento del ENS en los pliegos de
prescripciones técnicas de las contrataciones.
Véase “CCN-STIC-806 Plan de adecuación del ENS” y “CCN-STIC-804 Medidas
de implantación del ENS”, disponibles en https://www.ccn-cert.cni.es

12. Auditar la seguridad
 Auditoría periódica para verificar el cumplimiento del ENS.
 Categoría MEDIA o ALTA
 Categoría BÁSICA: autoevaluación.
 Se utilizarán criterios, métodos de trabajo y de conducta generalmente
reconocidos, así como la normalización nacional e internacional aplicables.
 Según los siguientes términos:
 La política de seguridad define roles y funciones.
 Existen procedimientos para resolución de conflictos.
 Se aplica el principio de segregación de funciones.
 Se ha realizado el análisis de riesgos, con revisión y aprobación anual.
 Existe un sistema de gestión de seguridad de la información documentado.
Véase “CCN-STIC-802 GUÍA DE AUDITORÍA”
disponible en https://www.ccn-cert.cni.es

13. Publicar la conformidad
 Manifestación expresa de que el sistema cumple lo establecido en el
ENS.
 No se observan, por el momento, referencias a la conformidad con el ENS en la
sección de declarativas de las sedes electrónicas.
 No existe, de momento, una certificación 'oficial' de adecuación.
 Oferta del mercado: se va incluyendo la adecuación al ENS en ofertas de
servicios de auditoría y de cumplimiento normativo.

14. Conocer el estado de la
seguridad
El ENS establece la obligación de conocer regularmente el estado de la
seguridad:
Se contempla el establecimiento de un sistema de medición:
Fuente: trabajo en curso sobre la guía CCN-STIC 815
De interés para conocer:
 La evolución de la implantación del ENS.
 El estado de seguridad general de la Administración.
 El estado de seguridad de una entidad concreta.

15. Usar guías e instrumentos
Esfuerzo realizado para proporcionar guías e instrumentos de apoyo:
Guías CCN-STIC publicadas:
• 800 - Glosario de Términos y Abreviaturas del ENS.
• 801 - Responsables y Funciones en el ENS.
• 802 - Auditoría del ENS.
• 803 - Valoración de sistemas en el ENS. Disponibles en https://www.ccn-cert.cni.es
• 804 - Medidas de implantación del ENS.
• 805 - Política de Seguridad de la Información.
• 806 - Plan de Adecuación del ENS.
• 807 - Criptología de empleo en el ENS.
• 808 - Verificación del cumplimiento de las medidas en el ENS.
• 809 - Declaración de Conformidad del ENS.
• 810 - Guía de Creación de un CERT/CSIRT.
• 812 - Seguridad en Entornos y Aplicaciones Web.
• 813 - Componentes certificados.
• 814 - Seguridad en correo electrónico.
• 815 - Indicadores y Métricas en el ENS.
En desarrollo:
• 816 - Seguridad en Redes Inalámbricas en el ENS.
• 817 - Criterios Comunes para la Gestión de Incidentes de Seguridad en el ENS.
• 818 - Herramientas de seguridad.
• MAGERIT v3
Próximamente:
• 819 – Requisitos de seguridad en redes privadas virtuales en el ENS.
• 820 – Requisitos de seguridad de cloud computing en el ENS
• 821 – Seguridad en DNS en el ámbito del ENS.
Programas de apoyo:
• PILAR y µPILAR
Servicios de respuesta a incidentes de seguridad CCN-CERT
+ Esquema Nacional de Evaluación y Certificación

16. Comunicar los incidentes
de seguridad
CCN-CERT: Centro de alerta y
respuesta de incidentes de seguridad,
ayuda a las AA.PP. a responder de forma más
rápida y eficiente ante las amenazas de seguridad que
afecten a sus sistemas de información.
Comunidad: AA.PP. de España
Reconocimiento internacional: 2007,
EGC (2008)
Presta servicios de:
 resolución de incidentes,
 divulgación de buenas
prácticas,
 formación
 e información de amenazas y
alertas.
https://www.ccn-cert.cni.es/  Sondas en Red SARA e Internet.

17. Considerar los productos
certificados
 El ENS reconoce la contribución
de los productos evaluados y
certificados para el cumplimiento de
los requisitos mínimos de manera
proporcionada.
 Relación con el Organismo de
Certificación (el propio CCN).
 La certificación es un aspecto a
considerar al adquirir productos de
seguridad.
 En función del nivel, se contempla
el uso preferentemente de
productos certificados.
 Modelo de cláusula para los
pliegos de prescripciones técnicas.
http://www.oc.ccn.cni.es/index_en.html

18. Preguntar
• Escucha y resolución de dudas de manera continuada.
• Construcción de una base de conocimiento sobre cuestiones
de interés común.
• Destacan las preguntas sobre:
 El ámbito de aplicación del ENS.
 Relación entre ENS y LOPD/RD 1720/2007
 Elaboración de la política de seguridad.
 Organización y roles singulares en el ENS.
 Valoración y categorización de sistemas.
 Aplicación de medidas concretas.
 El papel del análisis de riesgos.
 La adquisición de productos de seguridad.
URL: https://www.ccn-cert.cni.es
URL: http://administracionelectronica.gob.es/

19. Formarse
URL: https://www.ccn-cert.cni.es
URL: http://administracionelectronica.gob.es/

20. En qué puede ayudar
la Industria a las AA.PP.
 Ayudar a conocer y analizar la situación de
partida.
 Elaborar el plan de adecuación.
 Asesorar sobre ciertos aspectos:
– Alcance (información y servicios incluidos).
– Organización de la seguridad.
– Elaboración de política de seguridad.
 Valorar los sistemas, para su categorización.
 Analizar los riesgos.
 Elaborar la declaración de aplicabilidad.
 Implantar las medidas de seguridad.
 Aplicar guías y herramientas para
adecuación.
 Auditar la conformidad con el ENS.
 Elaborar declaración de conformidad con
ENS.

21. 4. ENS, 27001 y 27002
ENS, RD 3/2010
 Es una norma jurídica, al servicio de la realización de derechos de los ciudadanos y de
aplicación obligatoria a todas las AA.PP.
 Trata la ‘protección’ de la información y los servicios y exige la gestión continuada
de la seguridad, para lo cual cabe aplicar un “sistema de gestión de seguridad de la
información”.
ISO/IEC 27001
 Es una norma de ‘gestión’ que contiene los requisitos de un sistema de gestión de
seguridad de la información, voluntariamente certificable.
 La certificación de conformidad con 27001: NO es obligatoria en el ENS. Aunque quien se
encuentre certificado contra 27001 tiene parte del camino recorrido para lograr su
conformidad con el ENS.
ISO/IEC 27002
 Aunque muchas de las medidas indicadas en el anexo II del ENS coinciden con controles
de 27002, el ENS es más preciso y establece un sistema de protección
proporcionado a la información y servicios a proteger para racionalizar la
implantación de medidas y reducir la discrecionalidad.
 27002 carece de esta proporcionalidad, quedando a la mejor opinión del auditor que
certifica la conformidad con 27001.
 El ENS contempla diversos aspectos de especial interés para la protección de la
información y los servicios de administración electrónica (por ejemplo, aquellos
relativos a la firma electrónica) no recogidos en 27002.

22. ENS, 27001 y 27002

23. 5. Retos
 Impulsar la implantación del ENS en los años 2012 y 2013.
 Adecuarse en condiciones de limitación de recursos
humanos y económicos.
 Áreas de trabajo de interés particular:
• Responsables de seguridad y de recursos asignados.
• Elaboración de políticas de seguridad globales.
• Procedimientos y directrices de seguridad para los usuarios.
• Mejora en el Control de accesos, configuraciones de seguridad y
capacidad de reacción ante ataques.
 Responder a cuestiones prácticas sobre adecuación al ENS.
 Continuar el desarrollo de guías y otros instrumentos que
faciliten la adecuación al ENS.
 Articular procedimientos para conocer regularmente el
estado de seguridad en las AA.PP.

24. Muchas gracias
 Portal CCN-CERT – ENS:
https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2420&Itemid=211&lang=es
 Portal de la Administración Electrónica - ENS:
http://administracionelectronica.gob.es
 Preguntas frecuentes:
https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2855&Itemid=211&lang=es
http://administracionelectronica.gob.es
 Espacio virtual del ENS:
http://circa.administracionelectronica.gob.es/circabc
 Contacto para preguntas, dudas: ens@ccn-cert.cni.es