Esquema Nacional de Seguridad (ENS). Seguridad perimetral

El Esquema Nacional de Seguridad (ENS) recoge la medida de seguridad “mp.com.1 Perímetro seguro” aplicable a los sistemas de información independientemente de su nivel de categorización.

“Se dispondrá un sistema cortafuegos que separe la red interna del exterior. Todo el tráfico deberá atravesar dicho cortafuegos que sólo dejara transitar los flujos previamente autorizados”.

Un firewall es una parte de un sistema o una red diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente Intranets. Todos los mensajes que entren o salgan de la Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

El Centro Criptológico Nacional (CCN) ha publicado la Guía CCN-STIC 652 en colaboración con el fabricante de firewalls Palo Alto Networks para facilitar el despliegue, operación, mantenimiento y mejora de esta medida de seguridad en sus firewalls.

El ENS, regulado por el Real Decreto 3/2010, de 8 de enero, recoge los requisitos mínimos para una protección adecuada de los servicios e información que soportan las competencias de las Administraciones Públicas.

El nivel de protección de la información y de los servicios dependerá de su mayor (nivel alto) o menor impacto (nivel bajo) en caso de incidente de seguridad.

El cumplimiento del ENS es obligatorio tanto para las Administraciones Públicas como para los proveedores de servicios y productos que les apoyan en el desarrollo de las citadas competencias a través de medios electrónicos.

Aunque en el caso de los servicios de nivel bajo es suficiente con una autodeclaración de conformidad (cumplimiento), en los servicios de nivel medio y alto se exige la certificación por parte de un organismo de certificación acreditado por la Entidad Nacional de Acreditación (ENAC).

Haga click, si desea información acerca del Esquema Nacional de Seguridad (ENS).