Esquema Nacional de Seguridad o ENS, citando la propia web del Centro Criptográfico Nacional tenemos: “El Esquema Nacional de Seguridad (ENS) proporciona al Sector Público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta; impulsa la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas; a la vez que facilita la cooperación y proporciona un conjunto de requisitos uniforme a la Industria, constituyendo también un referente de buenas prácticas”.
Desde el año 2007 el ENS ha comenzado a preocuparse por la inclusión de los organismos públicos en el entorno digital, entendiendo que el futuro de la sociedad de la información nos llevaría a lo que hoy, después de 14 años es el día a día.
El objetivo central del ENS se basa en crear las condiciones óptimas de seguridad para el uso de los medios electrónicos. Forjando elementos que permitan garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Siempre con la responsabilidad del resguardo de los derechos y el cumplimiento de deberes en medios digitales.
Llegados a este punto es probable que el lector frecuente se pregunte, ¿Pero qué tiene esto que ver con los gestores de contraseñas? Muchísimo, veamos un poco.
Esquema Nacional de Seguridad (ENS) y los gestores de contraseñas
La gestión de contraseñas es uno de los aspectos más delicados en los métodos de acceso a las distintas cuentas, servicios y sistemas. Si nos basamos en los organismos oficiales podemos ver que llevan años haciendo énfasis sobre el uso correcto de los passwords. Y no solo eso, también hay manuales como el de Contraseñas – políticas de seguridad para la PYME de INCIBE o las normas de creación y uso de contraseñas NP40 de CCN-STIC.
Tomando de punto de partida las normas de creación y uso de contraseñas del CCN-STIC, se establece que no está permitido anotar las contraseñas en papel o en contenedores que no sean seguros. ーEso deja por fuera la práctica de apuntarlas en un post-it y tenerlo pegado a la pantalla.ー Sin embargo no se descarta la posibilidad de tomar notas para no dejar la tarea de recordarlas en resguardo de la memoria, para eso se deben cumplir alguna de las dos condiciones:
- Si se apuntan en un fichero digital es necesario que esté cifrado como el caso de los gestores de contraseñas.
- En caso de apuntarse en papel debe estar resguardado en una caja fuerte.
Ante las dos opciones posibles no es de extrañar que las organizaciones apunten al uso de gestores de contraseñas por ofrecer la mejor solución.
Las contraseñas deben ser de carácter confidencial y su resguardo debe ser hecho con todas las medidas de seguridad posibles. Se exige que el usuario tenga contraseñas largas, complejas y distintas para cada servicio, aplicación o rol y que estén bajo el control exclusivo del usuario. Adicionalmente deben ser modificadas con una periodicidad frecuente y que cumplan con las mínimas reglas de calidad.
Veamos por un momento lo que sería la correcta gestión de contraseñas si no se usa una herramienta digital para tal fin…
Imagina por un momento tener una caja fuerte para cada empleado, resguardada por el departamento de seguridad. Dentro de ellas una libreta donde apunten contraseñas como estas: sY!4kXaNrpGY, @T#No5Y5GLDG, Me$Inventé%Un&Password o LijadoraFácilCanción. Una distinta para las más de 90 aplicaciones que está demostrado usan muchos de los profesionales. Además de ser una tarea poco funcional, el tiempo perdido en la búsqueda del soporte impreso y apertura de la caja fuerte, el encontrar de un listado la contraseña correcta, introducirla en el dispositivo y las llamadas constantes al departamento de TI por no poder acceder a las aplicaciones. Eso sin olvidar que sería necesario llamar a un cerrajero para cambiar la combinación de la caja fuerte si el empleado deja de formar parte de la organización… Sin duda este no puede ser el camino más funcional.
Estos son los dos caminos ofrecidos por los auditores de ENS, el no cumplimiento de alguna de estas opciones puede derivar en no conseguir la acreditación ENS dentro de la AAPP y/o proveedores.
Comparativa de las opciones dadas por el ENS para el cumplimiento de la correcta gestión de contraseñas
En la siguiente infografía vamos a comparar las dos alternativas que ofrece el ENS en su manifiesto en materia de la gestión de las contraseñas.
Se evidencia una notable ventaja al hacer uso de los servicios de gestión automatizada de contraseñas. Después de todo, estamos tratando datos digitales y mejorando los entornos virtuales, no es de sorprender que la mejor solución venga de la mano del mismo ecosistema.
¿El ENS está en lo correcto con el tratamiento tan exigente de las contraseñas?
Durante el 2021 las cifras de ataques y vulnerabilidades han crecido de forma exponencial. Y no solo eso, durante este año los ciberdelincuentes han obtenido millones de euros gracias a sus prácticas delictivas sobre empresas y organizaciones a nivel mundial. ¿Qué significa esto? básicamente dos cosas, tienen dinero para invertir en tecnología e incrementar los ataques. Y paralelamente tienen motivación por un año tan fructífero.
Si recordamos que España es el tercer país del mundo más propenso a sufrir ciberataques debemos comprender que es momento de cuidarse y cuidar los datos de las organizaciones y sus clientes o usuarios. Al tener esto en mente no es de extrañar que deba cumplirse el ENS dentro de la administración pública. Y no termina ahí, esto debe cumplirse para cualquier proveedor que ofrezca o quiera ofrecer productos y servicios a estos entes.
En la actualidad vivimos rodeados de usuarios y contraseñas, tomando en cuenta que el primero de ellos es bastante público, entonces es necesario resguardar las passwords con todas las medidas de seguridad posibles dado que es el verdadero eslabón que ofrece la protección.
He leído y sabido de comentarios como este, “si anoto las contraseñas en un papel o una libreta ya estarán resguardadas”. Hace poco vimos en la guía de ciberamenazas como uno de los métodos de ingeniería social es el Shoulder Surfing o ver sobre las espaldas. ¿Qué pasaría si alguien cercano es el que pretende vulnerar los sistemas?. Lamentablemente las amenazas no son solo externas, un número considerable de ataques cuentan con complicidad interna o vienen directamente de dentro de las organizaciones.
Preparados en todo momento ante posibles auditorías de ENS
Una empresa debe estar preparada en todo momento para una auditoría ENS. Se han visto casos donde no se ha conseguido la conformidad por haber sacado contraseñas de un papel o abrir un archivo txt con passwords al momento de estar compartiendo pantalla.
En la actualidad son muchas las aplicaciones y servicios web donde es necesario compartir contraseñas, esto suele pasar en el departamento de TI y los administradores de la entidad. A pesar de que la guía señala que no deben compartirse, el hacerlo por medio de un gestor de contraseñas es la manera en que los auditores lo aprueban.
LassPast como gestor de contraseñas que cumple los requisitos exigidos por el ENS
Los servidores de LastPass se encuentran en Europa, desde siempre hemos sembrado las bases para poder apegarnos a la normativa solicitada por el ENS. De acuerdo con la “GUÍA ESTRATÉGICA EN SEGURIDAD PARA ENTIDADES LOCALES” cuando se hable de un software de escritorio la solución de gestión de contraseñas debe estar certificada por el ENS, tanto su desarrollo de producto, la implantación y el soporte. Adicionalmente cuando el servicio sea vía web SaaS, es necesario conocer la ubicación de la solución y el mantenimiento o soporte técnico. Todas estas exigencias son superadas por LastPass.
Desde YooSell, como partners de LastPass ofrecemos el gestor de contraseñas necesario para poder superar las auditorías de ENS en cuanto a la gestión de passwords y el desarrollo seguro del producto.
Para conocer más sobre el gestor de contraseñas necesario para superar las auditorías exigidas por los organismos públicos españoles te invitamos a completar el siguiente formulario con el que podrás probar el producto sin compromiso alguno.