Esquema Nacional de Seguridad (ENS). OWASP Top 10 2017
El Esquema Nacional de Seguridad (ENS) recoge la medida de seguridad “mp.s.2 Protección de servicios y aplicaciones web” aplicable a los sistemas de información independientemente de su nivel de categorización.
Los sistemas de información dedicados a la publicación de información deberán ser protegidos frente a las amenazas que les son propias, como, por ejemplo, ataques de manipulación de URL, de inyección de código, de escalado de privilegios, de cross site scripting, …
OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.
OWASP Top 10 2017 es un poderoso documento de concienciación para la seguridad de las aplicaciones Web. Representa un amplio consenso sobre las amenazas de ciberseguridad más críticas para las aplicaciones Web.
Adoptar el OWASP Top 10 2017 es el primer paso más efectivo para cambiar la cultura de desarrollo de software dentro de la organización para que produzca código seguro.
El ENS, regulado por el Real Decreto 3/2010, de 8 de enero, recoge los requisitos mínimos para una protección adecuada de los servicios e información que soportan las competencias de las Administraciones Públicas.
El nivel de protección de la información y de los servicios dependerá de su mayor (nivel alto) o menor impacto (nivel bajo) en caso de incidente de seguridad.
El cumplimiento del ENS es obligatorio tanto para las Administraciones Públicas como para los proveedores de servicios y productos que les apoyan en el desarrollo de las citadas competencias a través de medios electrónicos.
Aunque en el caso de los servicios de nivel bajo es suficiente con una autodeclaración de conformidad (cumplimiento), en los servicios de nivel medio y alto se exige la certificación por parte de un organismo de certificación acreditado por la Entidad Nacional de Acreditación (ENAC).