Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de ENS

El nuevo Esquema Nacional de Seguridad, un paso más en el fortalecimiento de la ciberseguridad del sector público.

Artículo de parte de los padres del ENS desde su punto de vista. Es interesante para los que queremos saber que orientación se le ha querido dar a este nuevo R.D. 311/2022.

https://www.ccn-cert.cni.es/comunicacion-eventos/articulos-y-reportajes/6627-el-nuevo-esquema-nacional-de-seguridad-un-paso-mas-en-el-fortalecimiento-de-la-ciberseguridad-del-sector-publico/file.html

ENS super resumido.

Con motivo de la salida del nuevo Real Decreto 311/2022, nuevo ENS, desde el CCN están realizando una serie de infografías relacionado con ello. Esta última infografía refleja, a groso modo, toda la nueva normativa. !Ojo! esto sólo es un ‘super resumen’.

Principios básicos, Requesitos mínimos y Medidas de seguridad en el ENS

Enlace a todas las infografías del nuevo ENS https://ens.ccn.cni.es/es/esquema-nacional-de-seguridad-ens/ens-infografias

Novedades en el ENS R.D. 311/2022

El pasado 5 de mayo se publicó en nuevo R.D. 311/2022 que sustituye al R.D. 3/2010, antiguo Esquema Nacional de Seguridad. En este nuevo ENS en lo que respecta a nuestra universidad pasamos de tener que cumplir 62 medidas de seguridad a 68, dentro de nuestra categoría Media. A nivel global se pasan de las 75 medias a 73, pero se aumentan los refuerzos para la categoría media.

Principalmente se ha adaptado  nivel normativo con las nueva leyes de protección de datos y de procedimiento administrativo, entre otras.

De forma general podemos decir que el nuevo ENS añade:

– Incorpora la figura del perfil de cumplimiento para determinados colectivos de entidades (art.30) , para las universidades se ha editado la guía 881 en cuya elaboracion hemos colaborado desde UGR.

– Se establece un protocolo de actuación ante ciberincidentes. Art.25 y art.33.

Relacionado con esto tenemos una Instrucción Técnica de Seguridad previa, de obligado cumplimiento, y una guía, la 817, que tambien debemos cumplir. De pasada decir que tenemos un procedimiento dentro de UGR adaptado a dicha guía e IT. En este nuevo ENS se le asigna al CCN las siguientes funciones en este aspecto:

  • Determinar técnicamente el riesgo de conexión de un sistema, tras un incidente de seguridad.
  • Indicar los procedimientos a seguir y las salvaguardas a implementar para reducir el impacto del incidente.
  • Establece las condiciones de notificación de incidentes al CCN-CERT, coordinador nacional e internacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática.

– Otro aspecto cubierto es un nuevo sistema de codificación de los requisitos de las medidas de seguridad, dentro del anexo II. Se han codificado requisitos base y apoyados con posibles refuerzos que se suman a los requisitos base, aunque a veces no sean incrementales y se puedan elegir. Siempre adaptado a la categoría del sistema declarado.

Se establen 24 meses para adecuarnos al nuevo ENS desde su publicación, al estar ya certificados, así que tenemos hasta el 5 de mayo de 2024. Pero son muchos proyectos a realizar.

Infografía papel del CCN en el nuevo ENS Papel del CCN en el nuevo ENS

Infografía del CCN con las Motivaciones para modificar el ENS 

Infografía de diferencias y principios del nuevo ENS DiferenciasYPrincipiosENS

A modo resumen dejo este documento donde vemos las principales modificaciones Nuevo ENS – Resumen

 

Publicado nuevo Esquema Nacional de Seguridad.

  • El Real Decreto 311/2022, de 3 de mayo, asigna al Centro Criptológico Nacional el papel de coordinador público a nivel estatal de la respuesta técnica de los equipos de respuesta a incidentes, a través del CCN-CERT; el desarrollo de programas de sensibilización, concienciación y formación dirigidos al personal de las entidades del sector público y la divulgación de buenas prácticas y avisos de ciberseguridad. 
  • Entre las novedades del nuevo ENS se encuentra la incorporación de la figura del perfil de cumplimiento, el establecimiento de un protocolo de actuación ante ciberincidentes y un nuevo sistema de codificación de los requisitos de las medidas de seguridad.

Consultalo en https://www.boe.es/boe/dias/2022/05/04/pdfs/BOE-A-2022-7191.pdf?idU=1

Resto del comunicado del CCN CERT en https://www.ccn-cert.cni.es/seguridad-al-dia/actualidad-ccn/11745-actualizado-el-esquema-nacional-de-seguridad-en-el-ambito-del-sector-publico.html

Para universidades ya se publicó el perfil de cumplimiento. Lo puedes ver en:

InfografiaNuevoENS