Los niveles de ESN – Esquema Nacional de Seguridad son:
- Nivel Básico, que nos lo podemos hacer nosotros mismos
- Nivel Medio y el Nivel Alto, que nos lo ha de otorgar una entidad certificadora
Cualquier proveedor de servicios que trabaje para una entidad pública, debe contar con un ENS mínimo, el Nivel Básico.
Los niveles básicos, medios y altos tienen que ver con el impacto de un incidente de seguridad de la información.
Nivel BAJO Esquema Nacional de Seguridad:
Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá por perjuicio limitado:
1. La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
2. Que los activos de la organización sufrieran un daño menor.
3. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
4. Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable.
5. Otros de naturaleza análoga.
Nivel MEDIO. Esquema Nacional de Seguridad:
Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá por perjuicio grave:
1. La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
2. Que los activos de la organización sufrieran un daño significativo.
3. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.
4. Causar un perjuicio significativo a algún individuo, de difícil reparación.
5. Otros de naturaleza análoga.
Nivel ALTO.
Esquema Nacional de Seguridad:
Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. Se entenderá por perjuicio muy grave:
1. La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
2. Que los activos de la organización sufrieran un daño muy grave, e incluso irreparable.
3. El incumplimiento grave de alguna ley o regulación.
4. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
5. Otros de naturaleza análoga
a) Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
b) Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior.
c) Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
Ejemplos:
CONFIDENCIALIDAD:
Qué se conocieran los datos de una determinada información, produciría un daño:
– Irreparable? Alto
– Reparable? Medio
– Fácilmente reparable? Bajo
DISPONIBILIDAD:
Si por un incidente se para un determinado Servicio, este Servicio debe volver a prestarse:
– En menos de 4 horas. Alto
– En un periodo de entre 4 horas y un día. Medio
– Puede estar parado Más de 1día. Bajo
Se debe “Documentar” todo el proceso que ha llevado a que la categoría de un sistema sea la que hemos establecido.
¿Quién toma estas decisiones?
10. Si el organismo ha creado un Comité TIC (Comité Técnico) y un Comité STIC (Comité de Seguridad de la Información), una de las funciones del comité TIC puede ser la determinación de los tipos de información que se van a manejar y una clasificación de los servicios que se van a prestar. Definidos los tipos de información y de servicios, una tarea del Comité STIC puede ser el establecimiento de los niveles de seguridad recomendados para cada uno de los tipos de información y servicios. Estas definiciones deben ser aprobadas dentro del juego de normativa que rige las actuaciones del organismo.
11. Los niveles así establecidos podrán ser posteriormente ajustados por los responsables correspondientes. Idealmente, todas las valoraciones vendrán establecidas por la normativa.
12. La responsabilidad de la valoración de la información y de los servicios es exclusivamente del responsable correspondiente. La valoración puede ser propuesta por el Responsable del Sistema o por el Responsable de Seguridad y aprobada por el responsable de la información o del servicio correspondiente si éste la considera adecuada.
“La valoración puede ser propuesta por el Responsable del Sistema o por el Responsable de Seguridad”
18. No se valorarán directamente datos auxiliares que no son objeto directo del proceso administrativo y sólo aparecen como instrumentales para la prestación de los servicios. Por ejemplo, servicios de directorio, claves de acceso, etc.
19. Para cada elemento de información, se debe determinar:
Su nombre, que la identifica unívocamente
Su responsable, que establece sus requisitos de seguridad
Otras características que se consideren relevantes a efectos operacionales, de asociación de vulnerabilidades, de estimación de riesgos o de auditoría
22. La información suele imponer requisitos relevantes en las dimensiones de confidencialidad, integridad, autenticidad y trazabilidad. No suelen haber requisitos relevantes en la dimensión de disponibilidad.
23. El nivel de seguridad requerido en el aspecto de confidencialidad se establecerá en función de las consecuencias que tendría su revelación a personas no autorizadas o que no necesitan conocer la información.
24. El nivel de seguridad requerido en el aspecto de integridad se establecerá en función de las consecuencias que tendría su modificación por alguien que no está autorizado a modificar la información.
25. El nivel de seguridad requerido en el aspecto de autenticidad se establecerá en función de las consecuencias que tendría el hecho de que la información no fuera auténtica.
26. El nivel de seguridad requerido en el aspecto de trazabilidad se establecerá en función de las consecuencias que tendría el no poder rastrear a posteriori quién ha accedido a o modificado una cierta información.
27. El nivel de seguridad requerido en el aspecto de disponibilidad se establecerá en función de las consecuencias que tendría el que una persona autorizada no pudiera acceder a la información cuando la necesita.
28. Cuando un aspecto no requiere medidas de seguridad, en el apartado de valoración se indicará SIN VALORAR.
La propia Guía 803 establece que para los DATOS DE CARÁCTER PERSONAL, muchas de las medidas que tomemos, pueden ser compartidas.