Con motivo de la salida del nuevo Real Decreto 311/2022, nuevo ENS, desde el CCN están realizando una serie de infografías relacionado con ello. Esta última infografía refleja, a groso modo, toda la nueva normativa. !Ojo! esto sólo es un ‘super resumen’.
Principios básicos, Requesitos mínimos y Medidas de seguridad en el ENS
Enlace a todas las infografías del nuevo ENS https://ens.ccn.cni.es/es/esquema-nacional-de-seguridad-ens/ens-infografias
El pasado 5 de mayo se publicó en nuevo R.D. 311/2022 que sustituye al R.D. 3/2010, antiguo Esquema Nacional de Seguridad. En este nuevo ENS en lo que respecta a nuestra universidad pasamos de tener que cumplir 62 medidas de seguridad a 68, dentro de nuestra categoría Media. A nivel global se pasan de las 75 medias a 73, pero se aumentan los refuerzos para la categoría media.
Principalmente se ha adaptado nivel normativo con las nueva leyes de protección de datos y de procedimiento administrativo, entre otras.
De forma general podemos decir que el nuevo ENS añade:
– Incorpora la figura del perfil de cumplimiento para determinados colectivos de entidades (art.30) , para las universidades se ha editado la guía 881 en cuya elaboracion hemos colaborado desde UGR.
– Se establece un protocolo de actuación ante ciberincidentes. Art.25 y art.33.
Relacionado con esto tenemos una Instrucción Técnica de Seguridad previa, de obligado cumplimiento, y una guía, la 817, que tambien debemos cumplir. De pasada decir que tenemos un procedimiento dentro de UGR adaptado a dicha guía e IT. En este nuevo ENS se le asigna al CCN las siguientes funciones en este aspecto:
– Otro aspecto cubierto es un nuevo sistema de codificación de los requisitos de las medidas de seguridad, dentro del anexo II. Se han codificado requisitos base y apoyados con posibles refuerzos que se suman a los requisitos base, aunque a veces no sean incrementales y se puedan elegir. Siempre adaptado a la categoría del sistema declarado.
Se establen 24 meses para adecuarnos al nuevo ENS desde su publicación, al estar ya certificados, así que tenemos hasta el 5 de mayo de 2024. Pero son muchos proyectos a realizar.
Infografía papel del CCN en el nuevo ENS Papel del CCN en el nuevo ENS
Infografía del CCN con las Motivaciones para modificar el ENS
Infografía de diferencias y principios del nuevo ENS DiferenciasYPrincipiosENS
A modo resumen dejo este documento donde vemos las principales modificaciones Nuevo ENS – Resumen
El Real Decreto 311/2022, de 3 de mayo, asigna al Centro Criptológico Nacional el papel de coordinador público a nivel estatal de la respuesta técnica de los equipos de respuesta a incidentes, a través del CCN-CERT; el desarrollo de programas de sensibilización, concienciación y formación dirigidos al personal de las entidades del sector público y la divulgación de buenas prácticas y avisos de ciberseguridad. Consultalo en https://www.boe.es/boe/dias/2022/05/04/pdfs/BOE-A-2022-7191.pdf?idU=1
Resto del comunicado del CCN CERT en https://www.ccn-cert.cni.es/seguridad-al-dia/actualidad-ccn/11745-actualizado-el-esquema-nacional-de-seguridad-en-el-ambito-del-sector-publico.html
Para universidades ya se publicó el perfil de cumplimiento. Lo puedes ver en:
Además de la Política de Seguridad de la Información en la UGR, que ya vimos en otra píldora, existen una serie de normativas sobre que podemos hacer o no con los recursos de seguridad de la información. Todas estas normativas cuelgan de la página web de Secretaría General en el siguiente enlace https://secretariageneral.ugr.es/pages/seindex o puedes pinchar en los enlaces de mas abajo para verlas.
Introducción
La Política de Seguridad de la Información es un documento de alto nivel que define lo que significa “seguridad de la información” en una organización. El documento esta accesible para todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible.
En este documento se establecen:
• Los objetivos de seguridad de la información de la organización
• El comité de seguridad, detallando sus funciones y los roles de sus miembros
• El marco normativo donde se recoge la legislación vigente relevante en materia de Seguridad de la Información
• Otros aspectos, como la resolución de conflictos, el procedimiento de designación de los miembros del comité, o cómo se va a estructurar la documentación del Sistema de Gestión de Seguridad de la Información.
Objetivos
Los objetivos de Seguridad de la Información definidos en la
Política de Seguridad de la organización son los siguientes:
• La información y los servicios estén protegidos contra pérdidas de disponibilidad, confidencialidad e integridad.
• La información esté protegida contra accesos no autorizados.
• Se cumplan los requisitos legales aplicables.
• Se cumplan los requisitos del servicio respecto a la seguridad de la información y los sistemas de información.
• Las incidencias de seguridad sean comunicadas y tratadas apropiadamente.
• Se establezcan procedimientos para cumplir con esta Política.
• El Responsable de Seguridad de la Información sea el encargado de mantener esta Política, los procedimientos y de proporcionar apoyo en su implementación.
• El Responsable de Servicio sea el encargado de implementar esta Política y sus correspondientes procedimientos.
• Cada empleado sea responsable de cumplir esta Política y sus procedimientos según aplique a su puesto.
• La Universidad de Granada implemente, mantenga y realice un seguimiento del cumplimiento del Esquema Nacional de Seguridad.
Si deseas ver la que tiene la Universidad de Granada puedes hacerlo en https://secretariageneral.ugr.es/bougr/pages/bougr117/_doc/rre1171/!
