Ciberdelitos y regulación de la ciberseguridad Prof.ª Dra.

María Loza Corera

EL ESQUEMA NACIONAL DE SEGURIDAD

El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

El Esquema Nacional de Seguridad:

► Introducción
► ENS como proceso de mejora continua
• Relación con ISO 27001
► Ámbito de aplicación
► Medidas de seguridad del ENS y Guías
► Fases del ENS
 Máster Universitario Ciberseguridad
El Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

►Introducción

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo.

El ENS se debe aplicar esencialmente a los sistemas de información que dan soporte a la Ley
39/2015 y relacionados con:
La actividad administrativa de la Organización.
La actividad interadministrativa.
Las relaciones entre ciudadanos y la Organización:
• Sede electrónica.
• Registro telemático.
• Sistemas de notificación y comunicación electrónica.
• Expediente electrónico.
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público (art 156.2).

«El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la
utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los
principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la
información tratada».

►Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de

Seguridad
El Esquema Nacional de Seguridad (II) Máster Universitario Ciberseguridad

►ENS como proceso de mejora continua

El Esquema Nacional de Seguridad (II) Máster Universitario Ciberseguridad

RD 311/2022
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

►Principios (art 5 a 11 RD 311/2022):

• Seguridad integral: constituido por todos los elementos técnicos, humanos, materiales y
organizativos, relacionados con el sistema.
• Gestión de la seguridad basada en riesgos: minimizar los riesgos hasta niveles aceptables.
• Prevención, detección, respuesta y conservación: PREVENCIÓN (para eliminar o reducir la
posibilidad que las amenazas se materialicen), DETECCIÓN (descubrir ciberincidente) RESPUESTA
(restauración información y servicios) Y CONSERVACIÓN (de los datos e información en soporte
electrónico).
• Líneas de defensa: estrategia de protección, organizativa, física y lógica constituida por múltiples
capas de seguridad.
• Vigilancia continua y Reevaluación periódica: para adecuar su eficacia a la constante evolución
de los riesgos y sistemas de protección.
• Diferenciación de responsabilidades: diferenciar responsable de la información, el responsable del
servicio, el responsable de la seguridad y responsable del sistema.
 Máster Universitario Ciberseguridad

art 13 RD 311/2022: Organización e implantación del proceso de seguridad.

►

4. Una Instrucción Técnica de Seguridad regulará el Esquema de Certificación de Responsables de la

Seguridad, que recogerá las condiciones y requisitos exigibles a esta figura.
5. En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización
prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) para la seguridad
de la información tratada y el servicio prestado, que cuente con el apoyo de los órganos de dirección, y que
canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución
que provea, como las comunicaciones relativas a la seguridad de la información y la gestión de los
incidentes para el ámbito de dicho servicio.
Dicho POC de seguridad será el propio Responsable de Seguridad de la organización contratada,
formará parte de su área o tendrá comunicación directa con la misma. Todo ello sin perjuicio de que la
responsabilidad última resida en la entidad del sector público destinataria de los citados servicios.
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

►Ámbito de aplicación SUBJETIVO: Guía del CCN-STIC-830

• Administraciones Públicas: (art 2 Ley 40/2015)

1. La presente Ley se aplica al sector público que comprende:
a) La Administración General del Estado.
b) Las Administraciones de las Comunidades Autónomas.
c) Las Entidades que integran la Administración Local.
d) El sector público institucional.
2. El sector público institucional se integra por:
a) Cualesquiera organismos públicos y entidades de derecho público
vinculados o dependientes de las Administraciones Públicas.
b) Las entidades de derecho privado vinculadas o dependientes de las
Administraciones Públicas.
c) Las Universidades públicas
El Esquema Nacional de Seguridad

►Ámbito de aplicación SUBJETIVO: Guía del CCN-STIC-830

• Administraciones Públicas: (art 2 Ley 40/2015)

• Corporaciones de Derecho Público (art 2.4 Ley 39/2015)
• Empresas proveedoras de las AAPP (Guía CCN-STIC-830)
«Las soluciones tecnológicas o los servicios comprendidos dentro del ámbito
objetivo de aplicación del Esquema Nacional de Seguridad, cuando sean
suministrados o prestados por organizaciones privadas, habrán de satisfacer
las exigencias legales establecidas en el mismo.
Por ello, las entidades a las que se destinan las soluciones o sean titulares de los
servicios prestados, indicados en el párrafo anterior, exigirán a las organizaciones
privadas suministradoras o prestadoras, respectivamente, la conformidad con el
ENS de sus soluciones o servicios…»
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

►Ámbito de aplicación SUBJETIVO art 2 RD 311/22

• a todo el sector público (art 2 Ley 40/2015)

• a los sistemas que tratan información clasificada
• a los sistemas de información de las entidades del sector privado, incluida la obligación de contar
con la política de seguridad a que se refiere el artículo 12, cuando, de acuerdo con la normativa
aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las
entidades del sector público para el ejercicio por estas de sus competencias y potestades
administrativas.
Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades
del sector público incluidas contemplarán todos aquellos requisitos necesarios para asegurar la
conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados
por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones
de Conformidad con el ENS. Esta cautela se extenderá también a la cadena de suministro de dichos
contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente AARR
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

►Ámbito de aplicación OBJETIVO:

• art 1.2 RD 311/2022:

«El ENS está constituido por los principios básicos y requisitos mínimos necesarios para una
protección adecuada de la información tratada y los servicios prestados por las entidades de su
ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la
trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los
servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias».

•El ENS debe aplicarse técnicamente a todos los elementos que, en relación con tales
informaciones o servicios, puedan ser directa o indirectamente atacados.
Anexo II Medidas de seguridad (hardware, software, soportes de información,
comunicaciones, instalaciones, personal y servicios provisionados por terceros).
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

►El RD 3/2010

►El RD 951/2015: Actualización del ENS

• reforzar la protección de las Administraciones Públicas frente a las ciberamenazas, mediante la

adaptación a la rápida evolución de las tecnologías, a la experiencia derivada de la implantación
del mismo y al contexto regulatorio internacional y europeo.

• Adecuación al Reglamento n.º 910/2014, de 23 de julio de 2014, relativo a la identificación

electrónica y los servicios de confianza para las transacciones electrónicas en el mercado
interior (Reglamento eIDAS).

Concretos cambios: Comunicado del CCN sobre la Actualización del Esquema Nacional de Seguridad
en la administración electrónica
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

►Medidas de seguridad del ENS y Guías

►Arts 12 a 29 del ENS + Instrucciones técnicas de seguridad y

►Guías de seguridad del CCN (art 29)

Medidas de seguridad RD 3/2010 Medidas de seguridad RD 311/22

El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

[Link]
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

• Dimensiones de seguridad del ENS:

Disponibilidad. Propiedad o característica de los activos consistente en que las entidades o

procesos autorizados tienen acceso a los mismos cuando lo requieren.
Integridad. Propiedad o característica consistente en que el activo de información no ha sido
alterado de manera no autorizada.
Confidencialidad. Propiedad o característica consistente en que la información ni se pone a
disposición, ni se revela a individuos, entidades o procesos no autorizados.
Trazabilidad. Propiedad o característica consistente en que las actuaciones de una entidad
pueden ser imputadas exclusivamente a dicha entidad.
Autenticidad. Propiedad o característica consistente en que una entidad es quien dice ser o
bien que garantiza la fuente de la que proceden los datos.
 Máster Universitario Ciberseguridad
El Esquema Nacional de Seguridad

• “Activo”: componente o funcionalidad de un sistema de información susceptible de ser atacado

deliberada o accidentalmente con consecuencias para la organización. (Anexo IV Glosario)

Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),

comunicaciones, recursos administrativos, recursos físicos y recursos humanos. (Anexo IV).
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

► Fases del ENS

1. FASE PLAN DE ADECUACIÓN (PLAN)

1.1 IDENTIFICACIÓN DE LOS ROLES Y RESPONSABILIDADES. Guía CCN-STIC 801
1.2 DEFINIR Y APROBAR LA POLÍTICA DE SEGURIDAD. GUIA CCN-STIC-805.
1.3 IDENTIFICAR Y VALORAR LOS ACTIVOS (INFORMACIÓN, SERVICIOS Y SISTEMAS). GUIA CCN-
STIC 803
1.4 CATEGORIZACIÓN DE LOS SISTEMAS
1.5 ANÁLISIS DE INSUFICIENCIAS DE LOS SISTEMAS RESPECTO DEL E.N.S. y RGPD
1.6 ANALIZAR Y GESTIONAR EL RIESGO
1.7 ELABORAR UNA DECLARACIÓN DE APLICABILIDAD CCN-STIC-804
1.8 PLAN DE MEJORA DE LA SEGURIDAD

2. FASE DE IMPLANTACIÓN DEL SGSI (DO)

3. REVISIÓN (CHECK) Y MEJORA CONTÍNUA (ACT)
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

1.3 IDENTIFICAR Y VALORAR LOS ACTIVOS (INFORMACIÓN, SERVICIOS Y SISTEMAS).

GUIA CCN-STIC 803

Valoración de activos:
Dimensiones:
• Confidencialidad
• Integridad
• Disponibilidad
• Trazabilidad
• Autenticidad
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

1.4 CATEGORIZACIÓN DE LOS SISTEMAS

• Se definen tres categorías:

ALTO, si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.

MEDIO, si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel
superior.
BAJO, si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel
superior.

En función de la categoría de un sistema el mismo estará obligado a cumplir con las medidas de
seguridad del ENS que le resulten de aplicación.
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

1.7 ELABORAR UNA DECLARACIÓN DE APLICABILIDAD

1. Para dar cumplimiento a los requisitos mínimos establecidos en el presente RD, las entidades
adoptarán las medidas y refuerzos de seguridad correspondientes indicados en el anexo II, teniendo
en cuenta:
a) Los activos que constituyen los sistemas de información concernidos.
b) La categoría del sistema, según lo previsto en el artículo 40 y en el anexo I.
c) Las decisiones que se adopten para gestionar los riesgos identificados.
2. Las medidas a las que se refiere el apartado 1 tendrán la condición de mínimos exigibles, siendo
ampliables a criterio del responsable de la seguridad, quien podrá incluir medidas adicionales, habida
cuenta del estado de la tecnología, la naturaleza de la información tratada o los servicios prestados y los
riesgos a que están expuestos los sistemas de información afectados. La relación de medidas de
seguridad seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad,
firmado por el responsable de la seguridad.
.
 Máster Universitario Ciberseguridad

3. Las medidas de seguridad referenciadas en el anexo II podrán ser reemplazadas por

otras compensatorias, siempre y cuando se justifique documentalmente que protegen, igual o
mejor, del riesgo sobre los activos (anexo I) y se satisfacen los principios básicos y los
requisitos mínimos previstos en los capítulos II y III.

Como parte integral de la Declaración de Aplicabilidad se indicará, de forma detallada, la

correspondencia entre las medidas compensatorias implantadas y las medidas del anexo II
que compensan. El conjunto será objeto de la aprobación formal por parte del responsable de
la seguridad.

Una Guía CCN-STIC de las previstas en la disposición adicional segunda guiará en la

selección de dichas medidas, así como su registro e inclusión en la Declaración de
Aplicabilidad
 Máster Universitario Ciberseguridad

DECLARACIÓN DE APLICABILIDAD (Gestión de riesgos + Categorización)

Requisitos

Refuerzos obligatorios (R)

Refuerzos opcionales
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

► Fases del ENS

2. FASE DE IMPLANTACIÓN DEL SGSI (DO)

2.1 IMPLEMENTAR, MANTENER Y EVOLUCIONAR EL PLAN DE MEJORA DE LA SEGURIDAD
APROBADO.
2.2 DEFINIR EL MODO DE MEDIR LA EFICACIA DE LOS CONTROLES
2.3 FORMAR AL PERSONAL CON RESPONSABILIDADES
2.4 CONCIENCIAR A TODO EL PERSONAL AFECTA
2.5 OPERAR TODO AQUELLO RELEVANTE Y QUE DEBE SER REGISTRADO.
2.6 MONITORIZAR PERMITIENDO UNA DETECCIÓN TEMPRANA DE EVENTOS DE SEGURIDAD Y
UNA RESPUESTA ANTE INCIDENTES DE SEGURIDAD.
DO
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

► Fases del ENS

3. REVISIÓN (CHECK) Y MEJORA CONTÍNUA (ACT)

3.1 VERIFICACIÓN Y CONTROL DEL SGSI-ENS

3.2 AUDITORÍA: CCN-STIC 802 y CCN-STIC 808 - Verificación del cumplimiento de las medidas del ENS
- NIVEL BAJO: DECLARACIÓN DE CONFORMIDAD (AUTOEVALUACIÓN)
- NIVEL MEDIO Y ALTO: CERTIFICACIÓN DE CONFORMIDAD (AUDITORÍA)
3.3 MEJORA CONTINUA DEL SGSI –ENS
DO

CCN-STIC-815 - Métricas e Indicadores en el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

DECLARACIÓN DE CONFORMIDAD

• Una vez implantado el ENS se procederá a la de la Declaración de Conformidad con el mismo.

publicación

• Los órganos y entidades de derecho público darán publicidad a la conformidad de sus sistemas
respecto al cumplimiento del ENS mediante declaraciones escritas, publicadas en las
correspondientes sedes electrónicas y situadas en lugar de fácil acceso para los usuarios.

• En la Guía CCN-STIC-809 Declaración y certificación de conformidad con el ENS y distintivos de

cumplimiento se especifican las pautas a seguir para la elaboración de la Declaración de
Conformidad del Esquema Nacional de Seguridad.

•
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

DECLARACIÓN DE CONFORMIDAD
• El contenido de la declaración de conformidad constará de tres cuerpos:
1. En el primer cuerpo se identificará el declarante
2. En el segundo se indicará el contenido de la declaración
3. Y, en el tercero, se señalará en base a qué se declara la conformidad y con qué finalidad.

[Link]
la-sede/declaracion-de-conformidad
El Esquema Nacional de Seguridad Máster Universitario Ciberseguridad

ENTIDADES DE CERTIFICACIÓN

• El CCN y ENAC participarán en la acreditación de las Entidades de Certificación del ENS.

• La Certificación de Conformidad con el ENS debe expedirse por una Entidad Certificadora que
esté acreditada por ENAC para la certificación de sistemas conforme a UNE-EN ISO/IEC
17065:2012 (Evaluación de la conformidad. Requisitos para organismos que certifican productos,
procesos y servicios, para la certificación de sistemas del ámbito de aplicación del ENS)

• Si no dispusiere de la acreditación deberá remitir al CCN la aceptación por parte de ENAC de

haberla solicitado.

Entidades de certificación acreditadas: [Link]

seguridad-ens/entidades-de-certificacion
 Máster Universitario Ciberseguridad
El Esquema Nacional de Seguridad

Muchas gracias por

tu atención