El análisis de riesgos
Es probable que el riesgo más extendido en seguridad sea la excesiva confianza en nuestras capacidades y experiencia. Aunque nuestra experiencia en materia de seguridad de la información sea dilatada, debemos entender que los procesos de análisis de riesgos, realizados adecuadamente, se llevan a cabo usando metodologías contrastadas que evitan que un exceso de confianza nos conduzca a errores, imprecisiones, olvidos, etc., que podrían tener consecuencias desastrosas para nuestros sistemas o servicios.
Así, nos encontramos con que todos los modelos y referentes de seguridad (nacionales e internacionales) coinciden en que nuestra arquitectura de seguridad se cimenta en el análisis y la gestión de riesgos, que nos deben indicar las relaciones y equilibrios entre la información que se maneja, los servicios que se prestan, los riesgos a que están expuestos y las medidas adecuadas y proporcionadas para la protección tanto de la información como de los servicios.
Por este motivo, el art. 6 del ENS señala como obligatorio, para todos los sistemas afectados por el ENS, el desarrollo de un análisis de riesgos, al que deberá seguir el correspondiente proceso de gestión de riesgos (art. 13).
El dominio de seguridad
Un dominio de seguridad es el conjunto de sistemas sometido a una Política de seguridad de la información común, es decir, son homogéneos desde el punto de vista de las medidas de seguridad que debemos aplicarles.
No es nada extraño, por tanto, que nuestro sistema esté compuesto por varios dominios de seguridad. A este respecto, debemos gestionar que, cuando se conecten los sistemas instalados en dominios de seguridad bajo distintas responsabilidades, las medidas de seguridad locales se acompañarán de los correspondientes acuerdos de colaboración que delimiten mecanismos y procedimientos para la atribución y ejercicio efectivos de las responsabilidades de cada sistema.
Las dimensiones de seguridad
El nivel de seguridad requerido en cada dimensión se establece en función de las consecuencias que acarrea su vulneración:
- Integridad: las consecuencias de una modificación de la información por alguien que no está autorizado a hacerlo.
- Confidencialidad: las consecuencias que tendría su revelación a personas no autorizadas o que no necesitan conocer la información.
- Trazabilidad: las consecuencias de no poder rastrear a posteriori quién ha accedido a o modificado una cierta información.
- Disponibilidad: las consecuencias derivadas de que una persona autorizada no pudiera acceder a la información cuando la necesita.
- Autenticidad: las consecuencias que tendría el hecho de que la información no fuera auténtica.
La categorización de los sistemas
La proporcionalidad es uno de los principios básicos, tanto del ENS como de cualquier otro sistema de gestión de seguridad. Así, nos vemos en la necesidad de categorizar los sistemas para determinar las medidas de seguridad aplicables, que deben ser proporcionadas a la naturaleza de la información que se maneja, de los servicios que se prestan y de los riesgos a los que están expuestos.
Para ello, se contempla la categorización de los sistemas en tres escalones (BÁSICA, MEDIA o ALTA), en función del impacto que tendría un incidente que afectara a la seguridad de la información o los servicios, en alguna de sus dimensiones: autenticación, integridad, confidencialidad, disponibilidad y trazabilidad.
Este impacto se mide atendiendo a la repercusión que tendría el incidente respecto al logro de los objetivos, a la protección de los activos, al cumplimiento de las obligaciones de servicio por parte del departamento correspondiente y al respeto a la legalidad y a los derechos del ciudadano.
Las medidas de seguridad y la declaración de aplicabilidad
El proceso para identificar las medidas de seguridad que debemos implementar sería:
- Identificación de los activos a proteger.
- Determinación de las dimensiones de seguridad relevantes.
- Determinación del nivel correspondiente a cada dimensión de seguridad.
- Determinación de la categoría del sistema.
- Selección de las medidas de seguridad apropiadas de acuerdo con las dimensiones de seguridad, sus niveles y la categoría del sistema.
Se debe realizar este proceso para cada uno de los dominios de seguridad identificados en el análisis de riesgos.
La relación de medidas seleccionadas, que podemos encontrar en el Anexo II del Esquema Nacional de Seguridad, se formalizará en un documento denominado Declaración de aplicabilidad, que debe ir firmado por el responsable de seguridad del sistema.