Cmo hacer coexistir el ENS con otras normas ya

implantadas?
Esquema Nacional de Seguridad
M Elsabeth Iglesias Consultora / Auditora
AUDEDATOS GESDATOS Software - GeConsulting

ndice
1. Introduccin
2. Puntos a tener en cuenta para hacer coexistir la
distinta normativa vigente
2.1.1 Comparativa ENS LOPD
2.1.2 Auditora RD 1720/2007 vs Auditora 3/2010
2.2 Comparativa ENS ISO 27001
2.3 Roles y Responsabilidades comunes

2. Conclusiones

2. Desarrollo Comparativa ENS LOPD

LOPD:
Medidas de ndole tcnicas y organizativas
g
necesarias q
que
garanticen la seguridad de los datos de carcter personal y eviten
su alteracin, prdida, tratamiento o acceso no autorizado, habida
cuenta del estado de la tecnologa
tecnologa, la naturaleza de los datos
almacenados y los riesgos a que est expuesto, ya provengan de la
accin humana o del medio fsico o natural.
ENS:
Principios bsicos y requisitos mnimos a aplicar por las AAPP
para asegurar el acceso, integridad, disponibilidad, autenticidad,
confidencialidad, trazabilidad y conservacin de los datos,
informaciones y servicios utilizados en medios electrnicos que
gestionen en el ejercicio de sus competencias.

2. Desarrollo Comparativa ENS LOPD

RDLOPD
Sistema de informacin: conjunto de ficheros, tratamientos,
programas, soportes y en su caso, equipos empleados para el
tratamiento de datos de carcter personal
personal.
ENS
Sistema de informacin: conjunto organizado de recursos para
que la
l iinformacin
f
i se pueda
d recoger, almacenar,
l
procesar o ttratar,
t
mantener, usar, compartir, distribuir, poner a disposicin, presentar
o transmitir.

2. Desarrollo Comparativa ENS LOPD

RDLOPD
Lo relevante es el dato de carcter personal. Las medidas de
seguridad nicamente tienen como objetivo este tipo de
informacin.
informacin
ENS
Lo fundamental es el sistema de informacin en su conjunto.
Ab
Abarca
todo
t d tipo
ti d
de iinformacin.
f
i El d
dato
t d
de carcter
t personall es
considerado como uno de los tipos de informacin.

2. Desarrollo Comparativa ENS LOPD

PUNTOS SIMILARES:
ENS

RDLOPD

Poltica de Seguridad
Normas de Seguridad
Declaracin de Aplicabilidad

Documento de Seguridad

Responsable
p
de Seguridad
g

Responsable
p
de Seguridad
g

Deberes y obligaciones del personal

Funciones y obligaciones del personal

Identificacin nica de usuarios

Identificacin y autentificacin

Autorizacin y control de accesos

Control de accesos

Auditora de Seguridad

Auditora de medidas de seguridad

Gestin de incidencias

Registro de incidencias
Procedimiento de notificacin, gestin y
respuesta ante las incidencias

Proteccin instalaciones e infraestructura

Control de acceso fsico

Proteccin de los soportes de informacin

Gestin de soportes y documentos

Gestin y distribucin de soportes

Proteccin de aplicaciones informticas

Pruebas con datos reales

Proteccin de las telecomunicaciones

Telecomunicaciones

2. Desarrollo Comparativa ENS LOPD

Auditora RD 1720/2007 vs Auditora 3/2010

1 Son auditoras diferentes (en cuanto al alcance y criterios) pero con

1.
intersecciones.
2 Es
2.
E posible
ibl realizarlas
li l conjuntamente?
j t
t ? Es
E decir:
d i mismo
i
ti
tiempo
y mismo
i
equipo auditor?
S, pero debe tenerse en cuenta:
a. Diferente alcance: RD 1720/2007 FFAA Y FFNAA vs RD 3/2010 FFAA
(los afectados por art. 2 de Ley 11/2007). Es posible que un sistema de
nivel bajo segn el ENS trate datos de nivel medio o alto segn RD
1720/2007.

2. Desarrollo Comparativa ENS LOPD

Auditora RD 1720/2007 vs Auditora 3/2010

b Criterios
b.
C i i de
d categorizacin
i
i diferentes:
dif
tipologa
i l de
d datos
d
( finalidad
(y
fi lid d
en algunas excepciones) vs perjuicio o impacto en sistemas o
personas.
c. Medidas del RD 1720/2007 son mnimos aplicables SIEMPRE
((aunque
q
no se deriven del anlisis de riesgos)
g ) y las del ENS
adicionales si no entran en conflicto.
3 Hay que emitir un nico informe de auditora o varios?
3.

Es posible dos o uno en el que se distinga si las deficiencias

afectan a una u otra Norma.
Norma

2. Desarrollo Comparativa ENS LOPD

Aclaraciones

Otros requisitos recogidos en la Gua de Auditora CCN-STIC-802:

1. Si los sistemas a auditar segn el ENS tratan datos personales se
pueden solicitar los informes de auditoras de proteccin de datos
personales previos.
2. Si durante la auditora del ENS se detectan no conformidades respecto
al RD 1720/2007 debe obligatoriamente comunicarse y constar en el
i f
informe
d auditora
de
dit del
d l ENS (aunque
(
no fuese
f
ell objetivo
se
bj ti inicial).
i i i l)

2. Desarrollo Comparativa ENS ISO 27.001

Se debe desarrollar un SGSI para la implantacin del ENS?
El ENS impulsa el realizar una gestin continuada de la seguridad,
necesaria para poder satisfacer al menos:
los principios a) Seguridad integral, b) Gestin de riesgos,
e) Reevaluacin peridica y
los requisitos mnimos: a) Organizacin e implantacin del
proceso de seguridad y o) Mejora continua del proceso de
seguridad

10

2. Desarrollo Comparativa ENS ISO 27.001

Por tanto al ENS le falta la visin integrada de SISTEMA
DE GESTIN que aporta ISO/IEC 27001 en las
clusulas 4 a 8.
De esta forma, y siguiendo las pautas que nos marca la norma
ISO/IEC 27001 podremos implantar,
implantar mantener,
mantener actualizar y
mejorar nuestro sistema.

11

2. Desarrollo Comparativa ENS ISO 27.001

El CCN-CERT indica en sus FAQ que no es necesario que el SGSI
est implementado conforme a ISO 27001
pero indica que si es as el SGSI es conforme al ENS.
Obviamente, habr que extenderlo con las particularidades del
Obviamente
ENS en cuanto a valoracin de activos, medidas de
seguridad/controles, etc.
Adems, no se requiere la certificacin del mismo
pero puede ser una demostracin del compromiso de la AP en
determinados Alcances clave.

Y es relevante saber que todos los borradores de Guas de

Seguridad se estn preparando alineados
alineados con ISO 27001.
27001

12

2. Desarrollo Comparativa ENS ISO 27.001

Marco Organizativo

ISO 27001

Poltica de Seguridad

org. 1

4.2.1.b Creacin del SGSI

A.5.1 Poltica de seguridad de la informacin
A.6.1 Organizacin interna de la seguridad

N
Normativa
ti d
de seguridad
id d

org. 2

A.7
A
7U
Uso Ad
Adecuado
d d
de llos A
Activos
ti
y clasificacin
l ifi
i
A.8.2.3 Proceso Disciplinario
A.11.4.1 Poltica de uso de los servicios de red
A.11.7 Poltica de uso de porttiles y teletrabajo
A 12 3 1 P
A.12.3.1
Poltica
lti d
de uso d
de llos servicios
i i criptogrficos
i t fi
A.12.5.1 Procedimientos de control de cambios
A.13.2.1 Procedimientos de gestin de incidencias
A.14.1.3 Planes de continuidad
A 15 2 1 C
A.15.2.1
Cumplimiento
li i t d
de llas polticas
lti
y normas

Procedimientos de seguridad

org. 3

A.10.1.1 Documentacin de los procedimientos de

operacin

13

2. Desarrollo Comparativa ENS ISO 27.001

Marco Operacional

ISO 27001

Planificacin

op.pl

Anlisis de Riesgos

op.pl. 1

4.2.1.d a 4.2.1.e Identificacin, anlisis y valoracin de

riesgos

Arquitectura de seguridad

op.pl. 2

A.9.1 reas seguras

A.9.2 Seguridad de los equipos
A.12.2 Tratamiento correcto de las aplicaciones

Adquisicin de nuevos
componentes

op.pl. 3

A.6.1.4 Proceso de Autorizacin de Recursos para el

Tratamiento de la Informacin
A.10.3 Planificacin y Aceptacin del Sistema
A.12.1.1 Anlisis y especificacin de los requisitos de
seguridad

Dimensionamiento/ Gestin de
Capacidad

op.pl.4

A.10.3 Planificacin y Aceptacin del Sistema

Componentes certificados

op.pl.5

NO HAY UN CONTROL EQUIVALENTE

14

2. Desarrollo Comparativa ENS ISO 27.001

Medidas de Proteccin

ISO 27001

Proteccin
de
instalaciones e
Infraestructuras

mp.if
if

A.9 Seguridad
S
Fsica

y Ambiental

reas separadas y control de

acceso

mp if 1
mp.if.

A 9 1 1 Permetro de seguridad fsica

A.9.1.1

Identificacin de personas

mp.if. 2

A.9.1.2 Controles fsicos de entrada

Acondicionamiento de los
locales

mp.if. 3

A.9.1.4 Proteccin contra las amenazas externas y de

origen ambiental

Energa Elctrica

mp.if. 4

A.9.2.2 Instalaciones de suministro

Proteccin frente a incendios

mp.if. 5

A.9.1.4 Proteccin contra las amenazas externas y de

origen ambiental

Proteccin frente a
inundaciones

mp.if. 6

A.9.1.4 Proteccin contra las amenazas externas y de

origen ambiental

15

2. Desarrollo Comparativa ENS ISO 27.001

Puede observarse, a su vez, un alineamiento claro del ENS con
ISO 27001, en cuanto a la FASE DE PLAN del PDCA
4.2.1.a - Alcance: Detallado en la Ley 11/2007 de Administracin
Electrnica y el RD 3/2010.
4.2.1.b - Poltica de Seguridad. RD 3/2010. Futura gua CCNSTIC 805
STIC-805.
4.2.1.c
4
2 1 c - Definicin de parte de la Metodologa en el RD 3/2010 y
en la gua CCN-STIC-803 de Valoracin en el ENS (ampliacin de
la valoracin de activos, de las consideraciones sobre los valores
que puede tener cada Dimensin que otorga valor al Activo
Activo,
incluyendo las de Trazabilidad y Autenticidad).

16

2. Desarrollo Comparativa ENS ISO 27.001

4.2.1.d Inventariado y Valoracin de Activos. Detalle en RD 3/2010
y CCN-STIC-803 para incluir sistemas, informacin y servicios, y
asignacin de responsabilidades muy detalladas, introduciendo
incluso 2 nuevas figuras adicionales a las del RD 3/2010.
Amenazas y vulnerabilidades incluidas implcitamente en la
obligatoriedad de implantar medidas de seguridad que mitigan la
Frecuencia o el Impacto de algunas
algunas.
g requerido.
q
Otras sern fruto del Anlisis de Riesgos
4.2.1.e Referencia a metodologas reconocidas.
4.2.1.f Se asume que las opciones de tratamiento son las mismas.
Se explicita
p
una relacin de controles/medidas de seguridad
g
a
seleccionar.
17

2. Desarrollo Comparativa ENS ISO 27.001

4.2.1.j. Se aade la obligatoriedad de realizar una Declaracin de
Aplicabilidad, incluyendo un formato tipo para la misma, aunque
bastante diferenciado del habitual en 27001.
En cuanto a la FASE
FASE DE DO
DO , pueden deducirse las acciones
necesarias para la implantacin de las evidencias suficientes de la
gua CCN-STIC-804.
La FASE DE CHECK se deduce fcilmente de la realizacin de
p
, revisiones por
p direccin,, etc.
auditoras,, controles peridicos,
La FASE DE ACT de Acciones Correctivas y Preventivas y
anlisis de causa
causa-raz
raz no se menciona explcitamente y es MUY
importante en el Proceso de Mejora Continua.

18

2. Desarrollo Comparativa ENS ISO 27.001

POSIBLES AMPLIACIONES ???
Cmo mantener el SGSI requerido por el ENS una vez
implantado?

Cada cunto revisamos la Poltica?

Cada cunto actualizamos el Anlisis de Riesgos aunque
no haya cambios significativos?
Cada cunto ?
Existe una medida de seguridad para requerir productos certificados
(OP.PL.5 Componentes certificados), pero debera explicitarse
tambin la conveniencia de proveedores con SGSIs certificados (en
ISO 27001)
27001).

19

2. Desarrollo Roles y Responsabilidades

ROLES Y RESPONSABILIDADES
ENS

RDPLOD

COMIT DE
SEGURIDAD, formado
por:
Responsable de la
I f
Informacin
i (RINF)
Responsable de
Servicios (RSRV)
Responsable
de la Seguridad
(RSEG)
Responsable del
Sistema (RSIST)

ISO 27001
COMIT DE GESTIN
DE SEGURIDAD DE
LA INFORMACIN,
formado por:

Responsable de
Seguridad

A.6 Aspectos
O
Organizativos
i ti
d
de lla
Seguridad de la
Informacin
A.10 Funcin
diferenciada

20

2. Desarrollo Roles y Responsabilidades

ROLES Y RESPONSABILIDADES

SEGREGACIN
DE
FUNCIONES

21

3. Conclusiones

Podemos hacer coexistir la distinta normativa implantada en la

organizacin con la implantacin del ENS
ENS, teniendo en cuenta:

La informacin y el trabajo
j hecho del q
que yya p
partimos ante
una implantacin del ENS: documento de seguridad (LOPD),
procedimientos diversos, controles ya implantado, registros,
responsables, etc.

La norma ISO/IEC 27001, es una referencia para cubrir la

carencia de GESTIN que actualmente presenta el ENS,
concretamente con las clusulas 4 a 8
8.

22

3. Conclusiones

Concienciacin y formacin continua de TODOS los

usuarios de los sistemas de informacin en materia de
seguridad.

Hacindonos servir de herramientas que nos ayuden a la

implantacin, verificacin, mantenimiento, actualizacin y
mejora continua de nuestro sistema de gestin.
de lo contrario..

Si no velamos por mantener nuestro sistema de gestin ,duro

duro ser
el trabajo de implantar, pero an ms duro ser ver que, con el paso de
tiempo, todo el trabajo realizado vaya quedando obsoleto y no haya
servido para nada
nada.

23

Muchas gracias

24