AJUSTES A LA CATEGORIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN PARA SELECCIONAR LAS MEDIDAS DE SEGURIDAD DEL ANEXO II DEL ENS
El R.D. 3/2010 establece en el Anexo II, Medidas de seguridad, cuáles son las medidas de seguridad a aplicar para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos, así como los criterios de proporcionalidad que se deben seguir:
- “Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos, se aplicarán las medidas de seguridad indicadas en este anexo, las cuales serán proporcionales a:
a) Las dimensiones de seguridad relevantes en el sistema a proteger.
b) La categoría del sistema de información a proteger.” - “Para la selección de las medidas de seguridad se seguirán los pasos siguientes:
a) Identificación de los tipos de activos presentes.
b) Determinación de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el anexo I.
c) Determinación del nivel correspondiente a cada dimensión de seguridad, teniendo en cuenta lo establecido en el anexo I.
d) Determinación de la categoría del sistema, según lo establecido en el Anexo I.
e) Selección de las medidas de seguridad apropiadas de entre las contenidas en este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema”.
Si realizamos una interpretación conjunta de ambos textos, incluidos respectivamente en las Disposiciones generales y en la Selección de medidas del citado ANEXO II , y nos limitamos a relacionar apartado e) de la Selección de medidas, con los apartados a) y b) de las Disposiciones generales, ponemos en valor el contenido de la columna de dimensiones que aparece en la tabla de medidas de seguridad que se detalla en el Anexo II y que puede ser infrautilizado en muchas ocasiones si se considera que el único criterio para seleccionar medidas de seguridad es la categorización de los sistemas de información.
Un extracto de la tabla en la que se establecen las correspondencias entre los niveles de seguridad exigidos en cada dimensión y las medidas de seguridad, es el siguiente:
| Dimensiones | MEDIDAS DE SEGURIDAD | ||||
| Afectadas | B | M | A | ||
| org | Marco organizativo | ||||
| categoría | aplica | = | = | [org.1] | Política de seguridad |
| categoría | aplica | = | = | [org.2] | Normativa de seguridad |
| categoría | aplica | = | = | [org.3] | Procedimientos de seguridad |
| categoría | aplica | = | = | [org.4] | Proceso de autorización |
| op | Marco operacional | ||||
| [op.pl] | Planificación | ||||
| categoría | aplica | + | ++ | [op.pl.1] | Análisis de riesgos |
| categoría | aplica | + | ++ | [op.pl.2] | Arquitectura de seguridad |
| categoría | aplica | = | = | [op.pl.3] | Adquisición de nuevos componentes |
| D | n.a. | aplica | = | [op.pl.4] | Dimensionamiento / Gestión de capacidades |
Si analizamos más en detalle la información que contiene la columna de dimensiones observamos lo siguiente:
Por un lado, detalla para cada una de las categorías, (B, M, A) en que se ha categorizado el Sistema de Información si cada una de las medidas de seguridad aplica, no aplica e incluso determina el nivel de exigencia respecto a los demás niveles, pero es muy importante destacar que es respecto a la dimensión afectada o a la categoría del Sistema de Información.
En las tablas del Anexo II, se emplean las siguientes convenciones:
a) Para indicar que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad en algún nivel determinado se utiliza la voz ‘aplica’.
b) ‘n.a.’ significa ‘no aplica’.
c) Para indicar que las exigencias de un nivel son iguales a los del nivel inferior se utiliza el signo “=”.
d) Para indicar el incremento de exigencias graduado en función de del nivel de la dimensión de seguridad se utilizan los signos “+” y “++”.
e) Para indicar que una medida protege específicamente una cierta dimensión de seguridad, ésta se explicita mediante su inicial.
Por ello podemos considerar que el texto referente a la selección de medidas en el apartado e) en su punto 1, posibilita un ajuste más fino que el que proporciona la asignación de las medidas de seguridad aplicando únicamente el criterio de categoría del Sistema de Información.
En conclusión, podemos afirmar que en determinados casos se podrían reducir las medidas de seguridad exigibles por la categoría del Sistema de Información obtenida, si la dimensión afectada expresada en la tabla del Anexo II hiciera referencia a una dimensión que en la valoración de la información tratada y los servicios prestados fuese inferior a la que determina la categorización del Sistema de información.
Pongamos el siguiente ejemplo. Consideramos un Sistema de Información categorizado como de nivel MEDIO, pero el valor máximo de la dimensión de Disponibilidad ha sido Básico.
| Dimensiones | MEDIDAS DE SEGURIDAD | ||||
| Afectadas | B | M | A | ||
| D | aplica | = | = | [mp.info.9] | Copias de seguridad (backup) |
| [mp.s] | Protección de los servicios | ||||
| categoría | aplica | = | = | [mp.s.1] | Protección del correo electrónico |
| categoría | aplica | = | + | [mp.s.2] | Protección de servicios y aplicaciones web |
| D | n.a. | aplica | + | [mp.s.8] | Protección frente a la denegación de servicio |
A la vista de la tabla, al estar categorizado el sistema de categoría MEDIA, vemos que aplica la medida mp.s.8: “Protección frente a la denegación de servicio”, pero si tenemos en cuenta que la dimensión afectada es la Disponibilidad y que la valoración máxima obtenida para esta dimensión ha sido BÁSICA, traería como consecuencia que la medida mp.s.8 aunque sea de obligado cumplimiento para los Sistemas de Información categorizados como categoría MEDIA, en este caso particular, no sería obligatoria.
Si realizamos un análisis más completo de los mecanismos que aporta el R.D. 3/2010 para ajustar la selección de medidas de seguridad en base a la aplicación del principio de proporcionalidad, vemos que también se deberán tener en cuenta:
1.- El resultado del análisis de riesgos.
2.- La segregación del Sistema de Información en Subsistemas cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal. Será de aplicación en cada caso, el nivel de medidas de seguridad correspondiente, siempre y cuando puedan delimitarse de forma clara los activos de TI que dan soporte a la información y los servicios afectados.
3.- Las medidas de seguridad referenciadas en el Anexo II podrán ser reemplazadas por otras compensatorias siempre y cuando se justifique documentalmente que protegen igual o mejor el riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos previstos en los capítulos II y III del real decreto.
Senior Consultant/Advisor en @govertis
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
