Este documento presenta la actualización del Esquema Nacional de Seguridad (ENS) con tres objetivos principales: 1) mejorar y alinear el ENS con el marco legal actualizado, 2) dotar al ENS de mayor capacidad de ajuste de requisitos a través de perfiles de cumplimiento específicos, y 3) revisar los principios, requisitos y medidas del ENS a la luz de la experiencia y las amenazas emergentes. También se analiza el estado de la seguridad según el Informe INES 2020 e identifica medidas a refor
2. Índice
¿Qué está pasando?
Actualización del ENS. Objetivos
Actualización del ENS. Medidas
Retos y conclusiones
Photo by ThisisEngineering RAEng on Unsplash
1
2
3
4
3. Digitalización acelerada con impacto global
Organizaciones, públicas y privadas, en sus
productos, procesos y servicios
Personas, como ciudadanos, profesionales,
estudiantes…
Transforma nuestros medios, hábitos y
expectativas de:
Trabajo
Educación / Formación
Ocio
Entretenimiento
Consumo
Interacción social
Genera hiperconectividad
Se agudiza la dependencia de la tecnología,
mayor:
complejidad
interdependencia
se incrementa la superficie de
exposición a ciberamenazas y a
fallos.
Los ciberincidentes crecen en frecuencia,
alcance, sofisticación y severidad del impacto.
Provocan daño y socavan la confianza en el
uso de las tecnologías.
La transformación digital ha de ir
acompasada con la robustez en
ciberseguridad.
4. + Contexto de valores compartidos
y derechos fundamentales de nuestra sociedad
Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose
las leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT.
Transformación digital. Perspectiva global.
Dinámica permanente
5. El Sector Público y su cadena de suministro en el
punto de mira de los ciberataques
Orientados a la información
Con sustracción (con o sin revelación)
Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)
Con alteración (incluyendo el fraude por inserción de documentos falsos)
Orientados a los servicios
Con quiebra de la disponibilidad de los servicios, que afectaría al acceso a la información
Combinación de los anteriores
6. El Sector Público y su cadena de suministro en el
punto de mira de los ciberataques
Fuente: Cyber brief (March 2021) April 6, 2021 - Version: 1.0 TLP:WHITE Disclosure is not limited. Information may be distributed freely.
7. Claves de la Orden Ejecutiva:
Eliminar las barreras para compartir información sobre amenazas y ciberincidentes entre el gobierno y sus proveedores.
Modernizar y reforzar la ciberseguridad del gobierno para responder a la evolución de las ciberamenazas: adopción de buenas
prácticas, arquitecturas de mínimo privilegio (zero-trust) y de uso de servicios en la nube, adopción de doble factor de
autenticación, cifrado de información en reposo y en tránsito, colaboración en la respuesta ante incidentes.
Mejorar la seguridad de la cadena de suministro de software para garantizar que los productos funcionen de forma segura y según lo
previsto, mediante estándares, procedimientos, criterios, guías, aplicación del concepto de SBOM (Software Bill of Materials) y marcas de
excelencia.
Establecer una comisión de examen de la ciberseguridad compuesta por miembros del gobierno y representantes del sector privado,
para analizar incidentes y extraer lecciones.
Estandarizar el manual de procedimientos de respuesta ante vulnerabilidades e incidentes.
Mejorar la detección temprana de incidentes y vulnerabilidades. Implantación de agentes de punto final (EDR).
Mejorar las capacidades de investigación y remediación de incidentes mediante requisitos acerca de los registros de actividad (logs).
Lectura a la luz de:
ENCS 2019 y gobernanza CNCS-CPCS-FNCS
ENS y su proyecto de actualización
Informe anual INES
Instrucciones Técnicas de seguridad y Guías CCN-STIC
Capacidades CCN-CERT y herramientas
Proyecto Centro de Operaciones de Ciberseguridad de la AGE y sus OOPP
RD-l 12/2018, RD 43/2021 (NIS)
Proyecto de Plataforma Nacional de Notificación y
Seguimiento de Ciberincidentes (RD 43/2021)
Orden ejecutiva para mejorar la seguridad nacional
8. ACM sobre medidas urgentes en materia de ciberseguridad
Plan de Choque de Ciberseguridad
A destacar:
Protección frente al código malicioso (especialmente del tipo ransomware)
Extensión de los servicios para la detección de ciberamenazas en equipos de usuario
Implantación de la vigilancia de accesos remotos
Refuerzo de las capacidades de búsqueda de amenazas
Ampliación de las capacidades de ciberinteligencia
Extensión de la aplicación del uso del doble factor en autenticación
Despliegue de capacidades para la notificación y el seguimiento de los ciberincidentes
Continuidad de negocio y la recuperación ante desastres, la concienciación y la formación por parte de
proveedores del Sector Público
Revisión de la normativa de ciberseguridad
Actualización del ENS mediante tramitación y aprobación urgente
Promover e incentivar la adopción de sistemas, estándares y políticas de gestión de seguridad en el sector
privado (proveedores del Sector Público estatal)
1º
2º
3º
9. Índice
¿Qué está pasando?
Actualización del ENS. Objetivos
Actualización del ENS. Medidas
Retos y conclusiones
Photo by ThisisEngineering RAEng on Unsplash
1
2
3
4
10. La seguridad, el largo camino…
Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo
Photo by Perry Grone on Unsplash
Fuente: Miguel A. Amutio
11. Pilares de la ciberseguridad
Administración Digital
Órganos de Gobernanza y
cooperación en la AGE de las AA.PP.
RD-L 12/2018 Marco estratégico e
institucional – RD 43/2021
CoCENS
Servicios CCN-CERT
Guías CCN-STIC (Serie 800)
Fuente: Miguel A.Amutio
12. Desarrollo
Conformidad Monitorización -
INES
Soporte
Actualizado en 2015 Ámbito de aplicación
Extendido a
todo el Sector
Público
(leyes 39/2015 y
40/2015)
4 ITS publicadas
Experiencia de
aplicación
Marco europeo
(eIDAS)
Escenario de
ciberseguridad
Informe
Conformidad
Auditoría
Notificación de
incidentes
Acreditación con ENAC
Certificadores
acreditados por ENAC
Entidades certificadas
(públicas/privadas)
Consejo de
Certificación del ENS
(CoCENS)
> 80 guías CCN-
STIC de la serie
800.
21 soluciones de
ciberseguridad
Referente de medidas
de seguridad para
otros ámbitos
7 ediciones del informe
INES
1194 organismos, 934
incluidos en el informe,
un 3,78% más que en
2019
La campaña permanece
abierta todo el año
Ley Orgánica 3/2018
Real Decreto 43/2021
13. Elementos para la actualización
Progreso de la
transformación
digital
Intensificación de las
ciberamenazas y
ciberincidentes
Avance de
las
tecnologías
Evolución
del
marco legal
Evolución del marco
estratégico
en ciberseguridad
Extensión de la
implantación
del ENS
Acumulación de
experiencia de
aplicación
del ENS
Mejor conocimiento
de la situación
(Informe INES)
Extensión de
guías CCN-STIC y
servicios
CCN-CERT
+ Todas vuestras aportaciones que nos habéis trasladado por canales
formales e informales
14. Objetivos: 1. Mejorar y alinear el ENS
Actualizar referencias al marco legal:
• Referencias a leyes 39/2015 y 40/2015, RGPD, LO 3/2018, Directiva NIS, RD-l 12/2018, RD 43/2021, RD-l
14/2019, Reglamento de Ciberseguridad,…
Precisar adecuadamente el ámbito de aplicación (art. 2):
• Entidades del sector público (Ley 40/2015, arts. 2, 156).
• Entidades del sector privado que les presten servicios o provean soluciones.
• Sistemas de información que permitan los tratamientos de datos personales (LO 3/2018, art. 77.1, D. a. 1ª).
• Sistemas que manejan o tratan información clasificada.
Precisar adecuadamente ‘Prevención, detección y respuesta a incidentes de seguridad’ (art. 33):
• Condiciones de notificación de incidentes de seguridad al CCN-CERT por entidades del sector público.
• Actuaciones de respuesta por parte del CCN-CERT y de la SGAD (reconexión a servicios comunes).
• Condiciones de notificación de incidentes de seguridad al INCIBE-CERT por entidades del sector privado que
presten servicios a aquellas.
Introducir mejoras:
• Clarificar, precisar, eliminar aspectos no necesarios o excesivos, homogeneizar, simplificar, o actualizar diversos
aspectos del texto, como los procedimientos de determinación de la conformidad con el ENS (art. 38) o el
desarrollo del ENS (D.a. 2ª).
(Sometido a cambios)
15. Objetivos: 2. Capacidad de ajustar requisitos
Introducir la figura del perfil de cumplimiento especifico (art. 30):
Conjunto de medidas de seguridad que resulten de aplicación a necesidades especificas,
determinados sectores, colectivos de entidades (ej. EE.LL), o determinados ámbitos tecnológicos y que
permitan alcanzar una aplicación del ENS más eficaz y eficiente, sin menoscabo de la protección
perseguida y exigible.
Ejemplos: EE.LL., servicios en la nube
Opciones:
Añadir o eliminar medidas
Incluir medidas compensatorias
Incrementar o decrementar el nivel de ciertas medidas
Redefinir ciertas medidas para mejor adaptación a los sistemas y equilibrio de seguridad y operatividad.
+ Esquemas de acreditación de entidades para la implementación de configuraciones seguras
(Sometido a cambios)
16. Objetivos: 3. Revisar principios, requisitos y medidas
Fuentes: Experiencia, caudal de preguntas, canales formales e informales, INES, auditorías…
Principios:
De ‘prevención, reacción y recuperación’ a ‘prevención, detección, respuesta y conservación’.
Se introduce el principio básico de ‘vigilancia continua’
Se clarifica la redacción del principio ‘diferenciación de responsabilidades’
Requisitos:
El requisito mínimo de ‘seguridad por defecto’ pasa a denominarse ‘mínimo privilegio’
Medidas del Anexo II, mejora de redacción y actualización:
Marco Operacional y Medidas de Protección.
Nueva familia: Servicios en la nube (1 medida).
Nuevo sistema de codificación:
De los requisitos de las medidas.
De refuerzos, no siempre exigidos, que se suman a los requisitos base para fortalecer la
seguridad y que podrán formar parte de los perfiles de cumplimiento.
(Sometido a cambios)
17. Medidas de seguridad. Panorámica de evolución
(Sometido a cambios)
RD 2015
Marco
organizativo
4 Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorización
Marco operacional
31
Medidas de protección
40
Planificación (5)
Control de acceso (7)
Explotación (11)
Servicios externos (3)
Continuidad del servicio (3)
Monitorización del sistema (2)
Instalaciones e infraestructuras (8)
Gestión del personal (5)
Protección de los equipos (4)
Protección de las comunicaciones (5)
Protección de los soportes de información (5)
Protección de aplicaciones informáticas (2)
Protección de la información (7)
Protección de los servicios (4)
NUEVO RD
Marco
organizativo
4 Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorización
Marco operacional
33
Medidas de protección
36
Planificación (5)
Control de acceso (6)
Explotación (10)
Recursos externos (4)
Servicio en la nube (1)
Continuidad del servicio (4)
Monitorización del sistema (3)
Instalaciones e infraestructuras (7)
Gestión del personal (4)
Protección de los equipos (4)
Protección de las comunicaciones (4)
Protección de los soportes de información (5)
Protección de aplicaciones informáticas (2)
Protección de la información (6)
Protección de los servicios (4)
18. Índice
¿Qué está pasando?
Actualización del ENS. Objetivos
Actualización del ENS. Medidas
Retos y conclusiones
Photo by ThisisEngineering RAEng on Unsplash
1
2
3
4
20. Evaluar el estado de la seguridad
7ª edición – Informe INES 2020
Incremento del 11% en nº de fichas registradas.
Se registraron 1194 organismos, 934 incluidos en
el informe, aumentando en un 3,78% respecto al
año anterior.
Como conclusión general se determina que el
nivel de cumplimiento global del ENS se sitúa en:
el 64,93% en sistemas de categoría ALTA
el 68,24% en sistemas de categoría MEDIA,
el 84% en sistemas de categoría BÁSICA.
Es necesario mantener el esfuerzo para
cumplir los requisitos especificados en el ENS.
21. Identificar medidas a reforzar a la luz de la
experiencia con el tratamiento de incidentes
Reforzar ante deficiencias detectadas en Informe INES y por CCN-CERT ante incidentes:
Protección frente a código dañino [op.exp.6]
Mecanismo con autenticación [op.acc.5] (no uso de doble factor)
Detección de intrusión [op.mon.1]
Copias de seguridad [mp.info.9]
Perímetro seguro [mp.com.1]
Segregación de redes [mp.com.4] (Redes NO segregadas)
Configuración de seguridad [op.exp.2] y gestión de la configuración [op.exp.3]
Mantenimiento [op.exp.4] (sistemas obsoletos, sin actualizaciones de seguridad)
Concienciación [mp.per.3] y formación [mp.per.4]
Protección de servicios y aplicaciones web [mp.s.2]
Asentar protocolos de actuación ante ciberincidentes.
22. Medidas de seguridad. Panorámica de evolución por categoría
(Sometido a cambios)
RD 2015
Categoría
básica
45
Marco organizativo (4)
Marco operacional (16)
Medidas de protección (25)
Categoría media
63
Categoría alta
75
Marco organizativo (4)
Marco operacional (26)
Medidas de protección (33)
Marco organizativo (4)
Marco operacional (31)
Medidas de protección (40)
NUEVO RD
Marco organizativo (4)
Marco operacional (22)
Medidas de protección (27)
Categoría
básica
53
Categoría media
68
Categoría alta
73
Marco organizativo (4)
Marco operacional (29)
Medidas de protección (35)
Marco organizativo (4)
Marco operacional (33)
Medidas de protección (36)
23. Medidas de seguridad. Panorámica de evolución
(Sometido a cambios)
Acceso remoto
Protección de los registros de actividad
Medios alternativos (4)
Instalaciones alternativas
Personal alternativo
Cifrado
SE HAN ELIMINADO (9)
Protección de la cadena de suministro
Interconexión de sistemas
Protección de servicios en la nube
Medios alternativos
Vigilancia
Otros dispositivos conectados a la red
Protección de la navegación web
NUEVAS MEDIDAS (7)
Mecanismo de autenticación (usuarios externos)
Protección de dispositivos portátiles
Perímetro seguro
Aceptación y puesta en servicio
Calificación de la información
Sellos de tiempo
Protección frente a denegación de servicio
SE HAN SIMPLIFICADO (8)
Segregación de funciones y tareas
Dimensionamiento/gestión de la capacidad
AUMENTAN
CONSIDERABLEMENTE
SU EXIGENCIA (9)
Identificación
Configuración de seguridad
Gestión de la configuración de seguridad
Mantenimiento y actualizaciones de seguridad
Protección frente a código dañino
Registro de la actividad
Detección de intrusión
Sistema de métricas
Componentes certificados
Requisitos de acceso
Protección de gestión de derechos de acceso
Gestión de cambios
Gestión de incidentes
Registro de la gestión de incidentes
Deberes y obligaciones
Protección de la confidencialidad
Protección de la integridad y la autenticidad
Separación de flujos de información en la red
Criptografía
Borrado y destrucción
Datos personales
Copias de seguridad
AUMENTAN LIGERAMENTE SU
NIVEL DE EXIGENCIA (14)
RESUMEN DE LAS MODIFICACIONES
A LAS MEDIDAS DE SEGURIDAD
24. Modificaciones de detalle del ANEXO II
Marco operacional (I/IV)
Planificación
Control de
Accesos
PLANIFICACIÓN
Se han reforzado significativamente la exigencia en la arquitectura de
seguridad y en el dimensionamiento/gestión de la capacidad.
CONTROL DE ACCESO: piedra angular de la seguridad por el alto riesgo que
supone un acceso no autorizado
Se incrementan significativamente los requisitos de identificación.
Se refuerzan levemente los requisitos de acceso y la protección de
gestión de derechos de acceso
Se aligeran las exigencias en materia de segregación de tareas
33
25. Modificaciones de detalle del ANEXO II
Marco operacional (II/IV)
Explotación
de los sistemas
EXPLOTACIÓN
Reforzadas significativamente en la configuración de seguridad y su
gestión, mantenimiento y actualizaciones de seguridad, la protección
frente a código dañino y el registro de la actividad de los usuarios
Aumenta moderadamente su exigencia en gestión de cambios e
incidentes (se exige desde categoría BÁSICA)
Se elimina el control relativo a la protección de los registros de
actividad, ya contemplado en otras medidas.
33
26. Marco operacional (III/IV)
33 RECURSOS EXTERNOS
Se incorporan nuevas medidas destinadas a los recursos externos
provistos, cada vez más frecuentes en la administración digital: protección de
la cadena de suministro, interconexión de sistemas,
CONTINUIDAD DEL SERVICIO
Se incorpora medios alternativos (que engloba todas las referentes a
personal, equipos, instalaciones… alternativas que se han eliminado de las
medidas de protección),
Explotación de
los servicios
Modificaciones de detalle del ANEXO II
27. Marco operacional (IV/IV)
33 SERVICIO EN LA NUBE
Se introduce una nueva medida para la protección de servicios en la nube
MONITORIZACIÓN DEL SISTEMA
Se ha reforzado significativamente la exigencia de las medidas de detección
de intrusión y sistema de métricas
Se ha incorporado una nueva medida de vigilancia, alentada por las más
recientes prácticas internacionales, dirigida a asegurar el mantenimiento de la
monitorización constante de la seguridad del sistema
Monitorización
del sistema
Explotación de
los servicios
Modificaciones de detalle del ANEXO II
28. Medidas de protección (I/IV)
33 PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
Se han realizado cambios editoriales y eliminado las instalaciones alternativas
GESTIÓN DEL PERSONAL
Se ha incrementado levemente la exigencia en deberes y obligaciones y
eliminado personal alternativo
PROTECCIÓN DE LOS EQUIPOS
Se incorpora nueva medida en relación con los dispositivos conectados a la red
Se elimina la medida referida a medios alternativos
Protección
Instalaciones e
Infraestructuras
Protección de
equipos
Gestión del
personal
Modificaciones de detalle del ANEXO II
29. Medidas de protección (I/IV)
33 PROTECCIÓN DE LAS COMUNICACIONES
Experimentan un leve incremento de exigencia la protección de la
confidencialidad, y la separación de flujos de información en la red.
Se obliga a cifrar las redes privadas virtuales, cuando la comunicación discurra
fuera del propio dominio de seguridad.
Se aligera el perímetro seguro
Se eliminan los medios alternativos
Protección de
comunicaciones
Modificaciones de detalle del ANEXO II
30. Medidas de protección (III/IV)
33 PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
Se refuerzan levemente el borrado y destrucción
PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
Se incrementa significativamente la exigencia en aceptación y puesta en
servicio, a la vista de los nuevos vectores de ataque propiciados por importantes
vulnerabilidades en el software
Protección de
los soportes de
información
Protección de
las aplicaciones
informáticas
Modificaciones de detalle del ANEXO II
31. Medidas de protección (IV/IV)
33 PROTECCIÓN DE LA INFORMACIÓN
Se aligera calificación de la información
Se incrementa exigencia en datos de carácter personal y copias de seguridad
PROTECCIÓN DE LOS SERVICIOS
Se añade una nueva medida para la protección de la navegación web
Se aumenta la exigencia de protección frente a denegación de servicio
Se eliminan medios alternativos.
Protección de
la información
Protección de
los servicios
Modificaciones de detalle del ANEXO II
32. Medidas eliminadas Nuevas medidas
[op.acc.7] acceso remoto se ha incluido en [op.acc.4]
protección de gestión de derechos de acceso.
[op.exp.10] se ha recogido en [op.exp.8] protección de los
registros de actividad.
Las medidas que hacían referencia a medios, instalaciones y
personal alternativo ([op.ext.9], [mp.if.9], [mp.per.9], [mp.eq.9]
[mp.com.9], [mp.s.9]), se han aglutinado en la nueva medida
[op.cont.4] medios alternativos.
[mp.info.3] antigua medida de cifrado, se recoge ahora en otras
medidas en las que se hace referencia expresa al cifrado de
dispositivos portátiles, protección de la confidencialidad,
criptografía y transporte ([mp.eq.3], [mp.com.2], [mp.si.2] y
[mp.si.4] respectivamente).
[op.ext.3] Protección de la cadena de suministro para categoría ALTA.
[op.ext.4] Interconexión de sistemas desde categoría MEDIA.
[op.nub] medida para sistemas que suministran servicios en la nube
a los organismos del sector público para todos los niveles y categorías.
[op.cont.4] Medios alternativos. Para nivel ALTO. Aúna todas las
referencias que se hacían a medios, instalaciones y personal alternativo.
[op.mon.3] Vigilancia. Aplica a todas las categorías.
[mp.eq.4] Otros dispositivos conectados a la red. Aplica a todas las
categorías.
[mp.s.3] Protección de la navegación web. Aplica a todas las
categorías y se refuerza incluyendo la monitorización para categoría
ALTA.
34. Medidas de protección. Nuevo sistema de codificación
Más moderno
Más adecuado, para facilitar de manera proporcionada la
seguridad de los sistemas de información, su implantación
y su auditoría
Medidas del Anexo II
o Se han codificado los requisitos de las medidas
o Se han organizado de la siguiente forma:
Requisitos base
Posibles refuerzos de seguridad (R), alineados con
el nivel de seguridad perseguido, que se suman (+)
a los requisitos base de la medida, pero que no
siempre son incrementales entre sí; de forma que,
en ciertos casos, se puede elegir entre aplicar un
refuerzo u otro.
(Sometido a cambios)
Instalaciones e Infraestructuras (7)
Gestión del personal (4)
Protección de los equipos (4)
Protección de las comunicaciones (4)
Protección de los soportes de información (5)
Protección de aplicaciones informáticas (2)
Protección de la información (6)
Protección de los servicios (4)
Planificación (5)
Control de acceso (6)
Explotación (10)
Servicios externos (4)
Servicios en la nube (4)
Continuidad del servicio (4)
Monitorización del sistema (3)
Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorización
35. Índice
¿Qué está pasando?
Actualización del ENS. Objetivos
Actualización del ENS. Medidas
Retos y conclusiones
Photo by ThisisEngineering RAEng on Unsplash
1
2
3
4
38. Qué esperamos por vuestra parte
1. Que seáis partícipes y agentes de la ciberseguridad,
para contribuir a la defensa frente a las ciberamenazas.
2. Si trabajáis para el Sector Público (directa o indirectamente
como proveedor), vuestra colaboración para la plena
aplicación del ENS.
3. Si trabajáis para la AGE, vuestra colaboración en la
implantación del Centro de Operaciones de
Ciberseguridad de la AGE y sus OO.PP.
¿ ?