Esquema Nacional de Seguridad (ENS). Herramienta EMET

El Centro Criptológico Nacional publicó el pasado mayo la Guía CCN-STIC 950 Recomendaciones de Empleo de la Herramienta EMET, que describe las características y funcionalidades de la plataforma Enhanced Mitigation Experience Framework (EMET) de Microsoft, así como las mejores prácticas de uso para prevenir la explotación de ciertas vulnerabilidades de software.

Esta herramienta gratuita, liberada en noviembre del 2016, permite configurar las opciones que ofrecen los sistemas operativos Windows para protegerse de la explotación de vulnerabilidades.

Este documento también ofrece diversas comprobaciones de funcionamiento bajo escenarios en los que se prueba las medidas de mitigación introducidas a través de la plataforma EMET.

Cabe destacar, como el propio Microsoft indica, que estos mecanismos de seguridad no garantizan que las vulnerabilidades no sean explotables, sino que dificultan al máximo su éxito.

La herramienta es gratuita y de libre descarga en https://www.microsoft.com/en-us/download/details.aspx?id=54264. Como software adicional requerido para el funcionamiento de EMET, se necesita el framework 4.5 de .NET. Además, si se desea que EMET funcione sobre Internet Explorer 10 en Windows 8, ha de instalarse el parche de compatiblidad KB2790907.

Cabe comentar que Microsoft anunció recientemente que no va a dar soporte (es decir, nuevas actualizaciones) a la herramienta EMET.

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero (modificado por el Real Decreto 951/2015, de 23 de octubre), determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos, así como, los principios básicos y medidas de seguridad mínimas (en un total de 75) para una protección adecuada de la información.

El ENS es aplicable a las Administraciones Públicas y a sus proveedores de servicios y soluciones en los citados servicios públicos.

Para demostrar el cumplimiento del ENS, a partir del 24 de octubre de 2017 las organizaciones con sistemas de información de categoría media o alta deben certificarlos a través de entidades acreditadas por la Entidad Nacional de Acreditación y Certificación (ENAC).

Haga click, si desea información acerca del Esquema Nacional de Seguridad (ENS).