Germán Serrano Rodríguez - Mar, 08/08/2023 - 10:00
Metáfora de la seguridad nacional.
1. Premisa y planteamiento
El Real Decreto 311/2022, de 3 de mayo (en adelante, RD 311/2022) sustituye al Real Decreto 3/2010, de 8 de enero. Ello quiere decir que se ha legislado un nuevo Esquema Nacional de Seguridad (en adelante, ENS). Pero ¿Cuáles han sido los cambios de calado introducidos por la nueva norma? Veámoslo en los siguientes epígrafes.
2. Ámbito de aplicación subjetivo
Uno de los grandes avances a nivel normativo tiene que ver con el ámbito de aplicación subjetivo del ENS, dada la necesidad de aplicar la norma más allá de las Administraciones Públicas (en adelante, AA.PP.). Comprobémoslo gráficamente:
Evolución de la normativa.
Así, durante el período en el que ha sido aplicable el ENS 2010, diferentes organismos han advertido de la necesidad de incluir dentro del ámbito de aplicación subjetivo del ENS a las entidades privadas que presten servicios o provean soluciones al sector público. Pero no ha sido hasta la entrada en vigor de un nuevo ENS, en 2022, cuando el legislador se ha hecho eco de tales proclamas y ha regulado la aplicación del ENS a dichas entidades.
3. Principios básicos de seguridad
Los principios básicos, al igual que los requisitos mínimos que ahora veremos, principalmente han sido matizados, si bien debemos destacar alguna novedad de peso:
- Creación del principio de «vigilancia continua» y su vinculación con un principio ya existente: la «reevaluación periódica». Mientras que la reevaluación periódica conmina a adaptar las medidas de seguridad a las nuevas necesidades del sistema de información, la vigilancia continua supone controlar comportamientos o actividades anómalas sobre las que actuar. Por tanto, la vigilancia continua se debe entender como un principio vertebrador de todos los demás, en tanto que propugna la necesidad de supervisar de forma constante situaciones irregulares para prevenir incidentes de seguridad.
- Se efectúa una «diferenciación de responsabilidades» mediante un principio homónimo que sucede al anterior principio de «función diferenciada», y se introduce al responsable del sistema, quedando así configurado el sistema de responsabilidades:
Principios básicos de seguridad.
4. Requisitos mínimos de seguridad
En cuanto a los requisitos mínimos de seguridad, probablemente el cambio más importante se encuentre en la regulación del procedimiento de gestión de incidentes, que parte del contenido del artículo 33 del RD 311/2022.
Por lo demás, se debe destacar la creación del «Punto o Persona de Contacto» (POC), quien normalmente coincidirá con el Responsable de Seguridad de las entidades que se relacionan con las AA.PP. y deberá canalizar y supervisar el cumplimiento de los requisitos de seguridad por parte de dicha entidad; las comunicaciones sobre la seguridad de la información y la gestión de incidentes.
5. Medidas de seguridad
La novedad fundamental en la regulación de las medidas de seguridad radica en la relación ofrecida por el ANEXO II del RD 311/2022, el cual suprime o modifica controles y sub-controles. Este nuevo marco de medidas se fundamenta en la inclusión de unos requisitos generales y de unos posibles refuerzos, los cuales deberán estar alineados con el nivel de seguridad aplicable (ALTO, MEDIO o BAJO).
6. Ejemplo práctico: Medidas de seguridad aplicables a empresas que prestan servicios y proveen soluciones cloud a las Administraciones Públicas
Si atendemos a la letra c) del punto 3 del ANEXO I del RD 311/2022, parece claro que los sistemas cloud que alojan ficheros públicos, corren el riesgo de que se produzca:
- Una anulación en la prestación de los servicios públicos, ante la eventual pérdida de la información necesaria para ello y que se encontraba en tales ficheros.
- Un perjuicio grave y de difícil o imposible reparación. Piénsese, en la pérdida de un fichero público en la nube, con el historial clínico de un paciente, que contiene información esencial para someter al mismo con éxito a una operación.
- El incumplimiento de una ley o regulación. Siguiendo con el ejemplo anterior, el mero extravío del historial clínico supondría un incumplimiento legal del hospital público responsable de su custodia. Tanto más si la operación fracasa a causa de ello.
A este respecto, de acuerdo con el criterio de acumulación jerárquica:
- Si en un sistema se tratan diferentes informaciones y se prestan diversos servicios, basta con que alguno de ellos se catalogue de nivel ALTO para que éste sea el nivel aplicable a cada dimensión de seguridad de la información individualmente considerada, conforme al último párrafo del punto 3 del ANEXO I del RD 311/2022.
- Además, un sistema de información será de categoría ALTA con que tan solo una de sus dimensiones de seguridad alcance el nivel de seguridad ALTO, de conformidad con la letra a) del apartado 1 del punto 4 del ANEXO I del RD 311/2022.
Por todo lo expuesto, al sistema de información cloud que almacena ficheros públicos, en tanto que sea catalogado de categoría ALTA, se habrá de aplicar todas las medidas de seguridad previstas en el ANEXO II del RD 311/2022. Y, además, en los casos en los que proceda, también le serán de aplicación determinados refuerzos («+Rn»), ya sean:
- Los expresamente aparejados a la medida en cuestión.
- O los denominados refuerzos flexibles, de acuerdo con los cuales se podrá escoger entre cualquiera de los previstos entre corchetes, de acuerdo con el siguiente esquema: «[Rn o Rn+1 o “...”]».
Veamos todo lo indicado en este epígrafe representado en un diagrama de Ishikawa:
Diagrama de Ishikawa.
Esto ha sido parte de mi TFM en el Máster en Ciberseguridad de la Universidad Isabel I: desentrañar el nuevo ENS:2022 y su aplicación siguiendo un caso práctico.
Referencias:
[1] Obligaciones de los prestadores de servicios a las entidades públicas, Centro Criptológico Nacional, 25 de mayo de 2020.
[2] CCN. Nuevo ENS – Foco en las nuevas medidas de seguridad. (Junio. 14, 2022). Accedido: Enero. 12, 2022. [Vídeo].
Editor: Universidad Isabel I
ISSN 2792-1794
Burgos, España
Añadir nuevo comentario