Quartz 4

¿Qué supone en el mundo laboral?

15 min read

La ENS es más restrictiva que la ISO 27001

Relacionado: Alcance. Controles. Herramientas. CENT. resumen.

La Esquema Nacional de Seguridad (ENS) es un marco normativo de aplicación en España que establece requisitos específicos para la protección de la información en el sector público y en entidades que prestan servicios a la administración. En comparación con la ISO 27001, que es un estándar internacional para la gestión de la seguridad de la información, la ENS tiende a ser más restrictiva. Esto se debe a que impone medidas concretas y de obligado cumplimiento en función de la categorización del sistema (básico, medio o alto), mientras que la ISO 27001 ofrece un enfoque más flexible basado en la evaluación de riesgos y en la mejora continua.

Seguridad de la Información

La seguridad de la información se fundamenta en tres pilares esenciales:

  1. Confidencialidad: Garantiza que la información solo pueda ser accedida por quienes tienen autorización.

    • En el ámbito hospitalario, el personal asistencial (médicos y enfermeros) y el no asistencial (administrativos, personal de limpieza, seguridad, etc.) desempeñan funciones distintas.
    • No todos los empleados del hospital deben tener acceso a los mismos datos, por lo que es fundamental aplicar el principio de mínimo privilegio en la asignación de permisos dentro del Directorio Activo.
    • Una mala práctica sería compartir credenciales entre usuarios o acceder a historias clínicas sin justificación, lo que constituye una violación de la normativa y puede conllevar sanciones legales.

  2. Integridad: Asegura que los datos sean precisos, fiables y no hayan sido alterados sin autorización.

    • En el contexto hospitalario, la integridad de los datos es crítica, ya que cualquier modificación no autorizada de los historiales médicos puede afectar gravemente la salud de los pacientes.

  3. Disponibilidad: Garantiza que la información esté accesible cuando se necesite.

    • Un ejemplo en el ámbito sanitario es el sistema de gestión de listas de espera. Si la disponibilidad del sistema falla, podría retrasar las citas médicas y generar una acumulación de pacientes sin atención.

Otros principios fundamentales

Además de los tres pilares tradicionales de la seguridad de la información, hay otros dos principios clave:

  • Trazabilidad: Permite registrar quién accede a la información, cuándo lo hace y qué acciones realiza sobre ella. Este principio es fundamental para garantizar la rendición de cuentas y detectar accesos indebidos. Por ejemplo, en entornos sensibles como los hospitales, los sistemas deben incluir mecanismos de auditoría y registros de acceso que permitan identificar si algún usuario ha consultado datos de pacientes de forma no autorizada.

  • Autenticación: Consiste en verificar la identidad de los usuarios antes de permitirles acceder a los sistemas o datos. En sectores críticos como la sanidad, la autenticación robusta es esencial para proteger información especialmente sensible. Esto puede incluir la aplicación de métodos de autenticación multifactor (MFA), combinando credenciales como contraseñas con factores adicionales (tarjetas identificativas, biometría, códigos de un solo uso, etc.), asegurando así que solo el personal autorizado pueda acceder a datos críticos de los pacientes.

¿Qué supone en el mundo laboral?

GRC (Gobernanza, Riesgo y Cumplimiento)

Gobernanza

Uno de los puntos clave en la gobernanza es el marco normativo, que establece las directrices y políticas de seguridad. Este marco debe ser un documento estable, con un lenguaje de alto nivel, de manera que no necesite cambios frecuentes y pueda mantenerse útil a largo plazo.

Dentro de este marco se incluyen políticas de seguridad, como la política de contraseñas y accesos, que se refieren a la gestión de activos y establecen normas, procedimientos y controles específicos.

  • Políticas: Definen los principios generales de seguridad y deben alinearse con la estrategia empresarial.
  • Normas: Detallan reglas específicas que deben seguirse para cumplir con las políticas.
  • Procedimientos: Explican en detalle cómo implementar y ejecutar las normas.

La seguridad de la información debe estar alineada con la estrategia de la empresa, pero el negocio siempre será la prioridad máxima. Esto significa que las medidas de seguridad deben apoyar los objetivos empresariales sin obstaculizar su desarrollo.

El cuadro de mando es el dashboard donde se centralizan los KPIs de seguridad, lo que permite evaluar si las medidas están actualizadas y funcionando correctamente.

Finalmente, todos los proyectos deben integrar la seguridad desde el inicio para garantizar que los riesgos sean gestionados adecuadamente y no representen un obstáculo futuro.

Riesgo

La gestión de riesgos comienza con un inventario de activos, donde se identifican y valoran los recursos críticos de la organización.

En España, la administración pública utiliza MAGERIT como metodología para evaluar riesgos. Esta herramienta permite clasificar los activos según su importancia y el impacto que tendría su indisponibilidad.

Cada activo recibe un valor en función de su relevancia dentro del alcance de la organización. Para gestionar la disponibilidad, se define el RTU (Recovery Time Objective, o tiempo máximo tolerable de inactividad), que indica cuánto tiempo puede permanecer un servicio inactivo sin afectar significativamente a la empresa.

Luego se identifican las amenazas que pueden afectar a los activos. Existen dos enfoques principales para evaluar el riesgo:

  • Evaluación cualitativa: Clasifica los activos en niveles de importancia (poco valioso, medio valioso, muy valioso).
  • Evaluación cuantitativa: Asigna valores numéricos (por ejemplo, del 1 al 10) para determinar la criticidad del activo y la probabilidad de que ocurra un incidente.

A partir de este análisis, se define el impacto y la probabilidad de ocurrencia de cada amenaza, lo que permite calcular el riesgo final.

Para gestionar el riesgo, se aplica el enfoque META (Mitigar, Eliminar, Transferir o Aceptar el riesgo).

El Análisis de Impacto en el Negocio (BIA) es otra herramienta clave que ayuda a identificar los procesos críticos dentro de la organización, asociándolos a sus activos y valoraciones.

El análisis de riesgo también tiene una relación directa con el Centro Criptológico Nacional (CCN), que puede intervenir en incidentes de seguridad de alto impacto. Un ejemplo de ello es la guerra de Ucrania, donde se reforzaron medidas de ciberseguridad en infraestructuras críticas.

Cumplimiento

El cumplimiento normativo en seguridad de la información implica la aplicación de estándares y auditorías:

  • ENS (Esquema Nacional de Seguridad): Es de cumplimiento obligatorio para administraciones públicas y proveedores de servicios relacionados.
  • ISO 27001: Norma internacional de seguridad de la información, basada en la gestión de riesgos y certificable mediante auditorías.

Para garantizar el cumplimiento, se emplean métricas e indicadores (KPIs) que permiten evaluar si se están alcanzando los objetivos de seguridad y si las medidas implementadas aportan valor a la organización.

Los indicadores clave de rendimiento (KPIs) sirven para determinar si se están cumpliendo los requisitos normativos y si las políticas de seguridad están funcionando según lo esperado.

2. Sistema de Gestión de Seguridad de la Información (SGSI)

Un SGSI es un conjunto de políticas, procedimientos y directrices, junto con los recursos y actividades asociadas, que son administrados de forma colectiva por una organización con el objetivo de garantizar la confidencialidad, integridad y disponibilidad (CID) de la información.

Las actividades de un negocio pueden verse afectadas por diferentes riesgos y amenazas, por lo que es fundamental estar preparados ante cualquier imprevisto y poder actuar con rapidez.

El nivel de madurez de un SGSI se mejora de manera continua a través del ciclo Planificar, Hacer, Verificar y Actuar (PDCA, por sus siglas en inglés). Cada ciclo de este modelo permite fortalecer y evolucionar el sistema de seguridad de la información.

ISO 27001

La ISO 27001 es el estándar internacional para la gestión de la seguridad de la información. La versión más reciente es la de 2023, y la principal diferencia con versiones anteriores radica en la actualización de los controles de seguridad.

Este estándar establece los requisitos que las organizaciones deben cumplir para gestionar eficazmente la seguridad de su información y proteger sus activos frente a amenazas.

Las normas ISO comparten principios comunes, lo que facilita su integración dentro de un sistema de gestión más amplio. Algunas normas complementarias incluyen:

  • ISO 9001: Gestión de la calidad.
  • ISO 22301: Continuidad del negocio.

La integración de estos estándares permite una gestión alineada y eficiente de múltiples áreas críticas dentro de una organización.

ISO 27002

La ISO 27002 proporciona un marco de mejores prácticas y establece cómo deben implementarse los controles definidos en la ISO 27001.

Mientras que la ISO 27001 establece qué se debe cumplir (requisitos), la ISO 27002 detalla cómo se deben aplicar esas medidas en la práctica.

Este estándar ofrece especificaciones y recomendaciones sobre la implementación de controles de seguridad, como el uso de tecnologías avanzadas, por ejemplo, XDR (Extended Detection and Response) para mejorar la detección y respuesta ante amenazas.

Cómo implantar un SGSI

Para implementar un Sistema de Gestión de Seguridad de la Información (SGSI), es fundamental comprender el contexto de la organización, así como las necesidades y expectativas de las partes interesadas.

1. Determinación del Alcance del SGSI

El alcance define qué activos, procesos y áreas de la organización estarán bajo el control del SGSI. Generalmente, el departamento de seguridad es el responsable de delimitar el alcance junto con el departamento de sistemas, asegurando que todas las áreas críticas estén cubiertas.

2. Implementación del Sistema de Gestión de Seguridad de la Información

Para que el SGSI sea efectivo, debe implementarse siguiendo el ciclo de mejora continua PDCA (Planificar, Hacer, Verificar, Actuar), también conocido como la “rueda de Deming”.

3. Liderazgo y compromiso

El liderazgo es un pilar fundamental en la implementación del SGSI. La dirección debe demostrar un compromiso firme con la seguridad de la información y definir una política de seguridad, que servirá como base del marco normativo de la organización.

4. Asignación de responsabilidades

Cada control de seguridad debe tener un responsable designado para garantizar su correcta aplicación y seguimiento. Esto permite asignar responsabilidades claras y asegurar la rendición de cuentas.

5. Comité de Seguridad de la Información

El Comité de Seguridad de la Información es un equipo multidisciplinar que analiza la seguridad desde distintos puntos de vista (técnico, legal, organizativo, etc.). Este comité es clave para la toma de decisiones estratégicas en materia de seguridad.

Entre sus funciones está la aprobación del apetito de riesgo, es decir, el nivel de riesgo que la organización está dispuesta a aceptar sin tomar medidas adicionales.

6. Planificación del tratamiento de riesgos y oportunidades

El comité también es responsable de aprobar la planificación de las acciones para mitigar los riesgos y aprovechar oportunidades. Esta planificación debe considerar la relación funcionalidad / coste-beneficio, asegurando que los controles de seguridad sean efectivos sin afectar la operatividad del negocio.

7. Declaración de Aplicabilidad (SoA, Statement of Applicability)

La Declaración de Aplicabilidad (SoA) es un documento clave dentro del SGSI que indica:

  • Qué controles de seguridad se aplican.
  • Cómo se implementan.
  • Las evidencias que demuestran su correcta aplicación.

Este documento permite justificar las medidas de seguridad adoptadas y garantizar que cumplen con los requisitos normativos de la organización.

Implementación y gestión de controles en el SGSI

Una vez definidos los controles de seguridad y su descripción, estos se organizan por dominios.

  • Políticas de alto nivel: Establecen principios generales de seguridad.
  • Especificaciones organizacionales y técnicas: Definen cómo se implementan los controles en la práctica.

1. Acuerdos de confidencialidad

Es fundamental que los empleados firmen un acuerdo de confidencialidad para garantizar que no revelen información sensible sobre la organización. Esto protege los activos de información y minimiza riesgos de fuga de datos.

2. Gestión del ciclo de vida del usuario

  • Aprovisionamiento de usuarios: Definir un proceso seguro para la creación y asignación de permisos en el Directorio Activo.
  • Finalización del empleo: Al término de la relación laboral, es imprescindible retirar los accesos y derechos del usuario de manera inmediata para prevenir posibles accesos no autorizados.
  • Integración con Seguridad Social: Garantizar que los sistemas estén alineados con los procesos administrativos y de cumplimiento normativo.

3. Gestión de activos

Es fundamental realizar un inventario y clasificación de los activos de información. Se debe identificar qué información se maneja, quién es responsable y qué medidas de seguridad se aplican.

El SoA (Declaración de Aplicabilidad) es un documento clave dentro del SGSI, ya que establece los controles de seguridad adoptados y la justificación de su aplicación. Es la base sobre la que se estructura el sistema de gestión.

4. Segmentación de redes

Para mejorar la seguridad, es recomendable implementar segmentación de redes, priorizando el uso de VLANs en lugar de segmentación a nivel físico. Esto permite un mejor control del tráfico y reduce la exposición a ataques.

En entornos de tecnología operacional (OT), como dispositivos médicos, la segmentación es aún más crítica, ya que estos sistemas suelen ser altamente sensibles y requieren medidas de protección específicas.

5. Planes de continuidad y recuperación

Es imprescindible contar con planes de acción en caso de incidentes de seguridad o desastres:

  • Plan de Continuidad del Negocio (BCP, Business Continuity Plan): Establece estrategias para garantizar la continuidad de las operaciones ante eventos adversos.
  • Plan de Recuperación ante Desastres (DRP, Disaster Recovery Plan): Define las acciones específicas para la restauración de sistemas críticos en caso de fallo total o incidente grave.

6. Soporte y concienciación

El éxito de un SGSI depende de un equipo capacitado y comprometido. Algunas acciones clave incluyen:

  • Gestión de Recursos Humanos y competencias: Garantizar que el personal tenga las habilidades necesarias para gestionar la seguridad de la información.
  • Concienciación y comunicación: Implementar programas de formación para sensibilizar a los empleados sobre buenas prácticas de seguridad.
  • Gestión de documentación: Asegurar que todas las políticas y procedimientos estén debidamente documentados, actualizados y accesibles.

8. Operación

Planificación y control de la operación

Para garantizar la eficacia del SGSI (Sistema de Gestión de Seguridad de la Información), es necesario implementar una planificación estratégica y un control riguroso de las operaciones. Esto incluye:

  • Control y seguimiento de acciones de mejora para garantizar que las medidas de seguridad evolucionen con el tiempo.
  • Análisis de riesgos para evaluar amenazas y vulnerabilidades en los sistemas.
  • Tratamiento del riesgo de seguridad de la información, aplicando estrategias como mitigación, transferencia, aceptación o eliminación de los riesgos identificados.

9. Evaluación del desempeño

La evaluación del desempeño del SGSI se basa en métricas y seguimientos de objetivos para comprobar su eficacia.

Elementos clave de la evaluación

  • Métricas de seguridad para medir el cumplimiento de los controles establecidos.
  • Seguimiento de objetivos para verificar si se alcanzan las metas de seguridad de la organización.
  • Informe de auditoría interna:
    • Primera etapa de la certificación: Se realiza una auditoría interna para identificar áreas de mejora antes de la auditoría externa.
    • No conformidades: Elementos que no cumplen los requisitos de la norma.
    • Observaciones: Aspectos que pueden mejorarse pero que no representan incumplimientos graves.
    • Revisión por el Comité de Seguridad: El comité revisa los resultados de la auditoría y aprueba las acciones correctivas necesarias.

10. Mejora continua

La mejora continua en un SGSI implica la identificación y corrección de no conformidades a través de acciones correctivas.

Tipos de hallazgos en auditoría

  • Acciones de mejora: Recomendaciones para optimizar procesos.
  • Observaciones: Puntos a mejorar, pero que no afectan directamente la conformidad.
  • No conformidades: Incumplimientos de la norma que deben corregirse.
  • Acciones correctivas: Medidas tomadas para resolver no conformidades identificadas.

Conceptos básicos en auditoría

Tipos de auditoría

  • Auditoría combinada: Evaluación conjunta de varias normas o marcos de referencia en una misma auditoría.
  • Auditoría conjunta: Auditoría realizada por varias organizaciones en colaboración.

Elementos clave de la auditoría

  • Programa de auditoría: Conjunto de auditorías planificadas dentro de la empresa.
  • Plan de auditoría: Documento que describe los objetivos y el alcance de la auditoría.
  • Criterios de auditoría: Conjunto de requisitos usados como referencia para la evaluación.
  • Evidencia de auditoría: Registros y documentación que respaldan los hallazgos.
  • Hallazgos de auditoría: Resultados obtenidos de la evaluación, ya sean conformidades o no conformidades.
  • Conclusiones de la auditoría: Resumen final basado en los hallazgos.

Roles en la auditoría

  • Cliente de la auditoría: La entidad que solicita la auditoría.
  • Auditado: La organización o área evaluada (no siempre coincide con el cliente).
  • Guías y observadores: Acompañan al equipo auditor para facilitar el proceso.

Realización de actividades de auditoría

  • Reunión de cierre: Presentación de los resultados preliminares.
  • Preparación del informe de auditoría: Documento que recoge los hallazgos y conclusiones.
  • Distribución del informe: El informe se envía a las partes interesadas para su revisión y aprobación

Diferencias entre organizaciones públicas y privadas en seguridad de la información

Organizaciones Públicas

Las entidades del sector público en España están obligadas a cumplir con el Esquema Nacional de Seguridad (ENS), que establece los requisitos mínimos para garantizar la protección de la información en la Administración Pública y en proveedores que presten servicios a organismos gubernamentales.

El Centro Criptológico Nacional (CCN) proporciona herramientas y apoyo a las organizaciones públicas. Una de sus iniciativas es la plataforma ÁNGELES, diseñada para formar a los empleados y realizar evaluaciones de seguridad en los sistemas gubernamentales.

Organizaciones Privadas

En el sector privado, la seguridad de la información se rige por estándares internacionales como la ISO 27001, aunque también pueden estar sujetas a regulaciones específicas según el sector (por ejemplo, PCI-DSS para la industria de pagos, HIPAA para el sector sanitario, etc.).

  • Se realizan auditorías financieras para evaluar la gestión económica y la seguridad de los sistemas que protegen datos financieros.
  • Se utilizan herramientas comerciales como PILAR (para análisis de riesgos) y soluciones de ciberseguridad de empresas como Panda Security y Palo Alto Networks, que requieren licencias de pago.

Puntos en común

A pesar de sus diferencias, las organizaciones públicas y privadas comparten varios aspectos en seguridad de la información:

  • GRC (Gobernanza, Riesgo y Cumplimiento): Ambas deben gestionar los riesgos y asegurar el cumplimiento normativo.
  • Leyes específicas por sector: Dependiendo de la industria, ambas pueden estar sujetas a regulaciones específicas de seguridad.
  • Ciberseguridad: La protección de los sistemas y datos es una prioridad en ambos sectores, aunque el enfoque y las herramientas utilizadas pueden variar.

Graph View

Backlinks