Esquema Nacional de Seguridad (ENS). Gestión de vulnerabilidades
Introducción al ENS
El ENS, regulado por el Real Decreto 3/2010, de 8 de enero (y actualizado a través del Real Decreto 951/2015, de 23 de octubre), recoge los requisitos mínimos para una protección adecuada de los servicios e información que soportan las competencias de las Administraciones Públicas.
El ENS es un conjunto normativo que posibilita crear y mantener las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas que garanticen la seguridad de los activos de la información, para facilitar el ejercicio de derechos y cumplimiento de deberes públicos a través de estos medios.
Para las Administraciones Públicas y sus proveedores, lo dispuesto en el ENS permite cumplir sus principios de actuación y requisitos de seguridad de la información.
Para la ciudadanía, destinataria última del servicio público, supone la garantía de que las Administraciones Públicas con las que se relacionan reúnen las condiciones de seguridad de la información necesarias para salvaguardar su información y sus derechos.
La gestión de vulnerabilidades en el ENS
Varias medidas de seguridad del ENS recogen la gestión de vulnerabilidades:
- 1.1 Análisis de riesgos [op.pl.1]
- 1.2 Arquitectura de seguridad [op.pl.2]
- 3.3 Gestión de la configuración [op.exp.3]
- 6.2 Aceptación y puesta en servicio [mp.sw.2]
El ENS tiene una gran similitud con la norma ISO 27001, la norma de gestión de la ciberseguridad-seguridad de la información más reconocida internacionalmente y que puede implementar cualquier organización, independientemente de su sector de actividad, tamaño y localización geográfica.
La gestión de vulnerabilidades en la ISO 27001
Un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO 27001, es el medio más adecuado para gestionar los riesgos en esa materia.
El anexo A de la ISO/IEC 27001, recoge la medida de seguridad “A.12.6.1 Gestión de las vulnerabilidades técnicas”, que dice lo siguiente:
“Se debe obtener información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información utilizados, evaluar la exposición de la organización a dichas vulnerabilidades y adoptar las medidas adecuadas para afrontar el riesgo asociado”.
Ejemplo
Ayer la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad de España (INCIBE) reportó a través de su Newsletter que se ha descubierto una vulnerabilidad (debilidad que puede ser aprovechada por una amenaza) que permite saltarse la seguridad de la contraseña maestra de Mozilla Firefox y Thunderbird con la siguiente clasificación.
Fecha de publicación: 2018-03-19 16:16:26
Gravedad: media
Recursos afectados
Aquellos usuarios que utilicen el navegador Mozilla Firefox, o el cliente de correo Thunderbird, y almacenen sus contraseñas en los mismos.
Descripción
Se ha detectado un fallo de seguridad en el sistema de almacenamiento de contraseñas que ofrecen Firefox y Thunderbird a sus usuarios. Esta característica permite, mediante una contraseña maestra, cifrar las contraseñas guardadas en el navegador o cliente de correo, de forma que todas ellas queden protegidas. Sin embargo, se ha descubierto que el cifrado no se realiza de forma segura, lo que permite romper la contraseña maestra.
Solución
Por el momento no hay disponible una actualización o parche de seguridad con el que se solucione este fallo.