El Esquema Nacional de Seguridad
En el contexto de la administración electrónica en España, el Esquema Nacional de Seguridad (ENS) se plantea como una regulación destinada a establecer la política de seguridad en el uso de medios electrónicos en el sector público o cuando se trabaja con la administración pública.
El cumplimiento del Esquema Nacional de Seguridad cuando se hace de manera satisfactoria asegura el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos. Este esquema se compone de principios fundamentales y requisitos mínimos que garantizan una protección efectiva de la información y garantizan, en última instancia, la seguridad digital de ciudadanos y trabajadores del sector público.
«el Esquema Nacional de Seguridad (ENS) se plantea como una regulación destinada a establecer la política de seguridad en el uso de medios electrónicos en el sector público»
Por qué ETIQMEDIA se ha certificado en el ENS
En ETIQMEDIA tenemos un alto nivel de exigencia a la hora de desarrollar nuestras soluciones y productos, por eso en el momento en el que se propuso obtener la Certificación en el Esquema Nacional de Seguridad aplicamos esos mismos estándares de exigencia a cumplimentar los requisitos de dicha certificación. Las razones detrás de este objetivo:
- Confianza y Seguridad: La certificación ENS garantiza que hemos establecido y cumplimos con los más altos estándares de seguridad para proteger los datos e información que gestionamos. Nuestros clientes pueden tener la certeza de que su información está segura con nosotros.
- Cumplimiento Normativo: Cumplimos con todas las regulaciones del Real Decreto 3/2010, lo que es esencial para colaborar eficazmente con entidades del sector público en España.
- Mejora Competitiva: Al estar certificados, destacamos en un mercado competitivo. Esta certificación no solo muestra nuestro compromiso con la seguridad, sino que también nos proporciona una ventaja significativa en procesos de licitación y contratación pública.
- Gestión de Riesgos Mejorada: La certificación implica que hemos evaluado y mitigado de manera efectiva los riesgos relacionados con la seguridad de la información, asegurando la integridad y disponibilidad de los datos que manejamos.
- Compromiso con la Excelencia: Este logro refleja nuestro compromiso continuo con la mejora y adaptación a las mejores prácticas en seguridad de la información.
El Esquema Nacional de Seguridad
Debido a nuestra naturaleza como empresa que gestiona datos de cliente, varios de los requerimientos planteados de privacidad y seguridad ya los cumplíamos, aun así se ha realizado un importante esfuerzo por parte del equipo ETIQMEDIA de cara a ceñirnos a la normativa de manera rigurosa.
Nuestra plataforma ha sido creada siguiendo las directrices establecidas por el Esquema Nacional de Seguridad (ENS) y el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. dichas directrices también se aplican durante el proceso de desarrollo garantizando la seguridad durante todas las fases del mismo. Algunas de las medidas tomadas por ETIQMEDIA han sido:
- Separación de Entornos. Los entornos de desarrollo, preproducción (o test) y producción están completamente separados. Cada uno tiene su propio conjunto de recursos y datos, asegurando que las actividades de desarrollo no afecten la estabilidad o la disponibilidad del entorno de producción.
- Aislamiento de Datos y Herramientas. No se utilizan herramientas de desarrollo ni datos de prueba en el entorno de producción para evitar cualquier contaminación o compromiso de los datos. Recíprocamente, los datos reales y los elementos productivos están estrictamente fuera de los entornos de desarrollo y prueba.
- Seguridad en los Repositorios de Código. Hemos aplicado medidas de seguridad en los repositorios de código fuente, incluyendo el control de acceso basado en roles, la encriptación de datos y la implementación de políticas de revisión y auditoría del código.
- Principio de Mínimo Privilegio. Durante el desarrollo, las aplicaciones se diseñan respetando el principio de mínimo privilegio. Esto significa que solo se conceden los privilegios indispensables para el funcionamiento de la aplicación, limitando el acceso a recursos críticos y reduciendo la superficie de ataque.
- Metodología de Desarrollo Seguro. Se sigue una metodología de desarrollo seguro reconocida que abarca todo el ciclo de vida del software. Esta metodología incluye prácticas de programación segura, control de asignación y liberación de memoria, y prevención de desbordamientos de memoria (overflows).
- Inspección de Código Fuente. La metodología de desarrollo implementada también facilita la inspección del código fuente, tanto de manera automática como manual, permitiendo identificar y rectificar vulnerabilidades antes de que el software sea desplegado en producción, y otros riesgos de seguridad comunes en el desarrollo de software.
- Consideración de Datos en las Pruebas. Los datos utilizados en las pruebas son seleccionados y manejados con cuidado para no incluir información sensible o real, utilizando datos de prueba representativos que no comprometan la privacidad o la seguridad.
- OWASP. Realizamos informes basados en las metodologías y herramientas proporcionadas por la Open Web Application Security Project (OWASP), una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. OWASP es reconocida por su trabajo en la identificación de las mejores prácticas de seguridad. Los 10 puntos de seguridad que los informes OWASP destacan son:
- Riesgos de Seguridad en el Diseño e Implementación Inseguros: Se centra en fallos de diseño y problemas de implementación que son comunes en muchas aplicaciones, sugiriendo una necesidad de políticas de seguridad más robustas y pruebas durante el ciclo de desarrollo.
- Inyección: Incluye fallos de seguridad como la inyección SQL, NoSQL, LDAP, y otros, donde un atacante puede inyectar código malicioso en un programa o consulta que manipula el comportamiento de la aplicación para acceder o manipular datos.
- Autenticación: Problemas relacionados con sistemas de autenticación mal implementados que pueden permitir a los atacantes comprometer contraseñas, claves, o tokens de sesión para asumir la identidad de otros usuarios.
- Acceso a Datos Sensibles: Exposición de datos sensibles como información financiera, de salud o personal, que pueden ser robados o modificados si no están adecuadamente protegidos.
- Configuración Insegura: Errores comunes en configuraciones de seguridad que dejan las aplicaciones expuestas a ataques porque las configuraciones seguras no son implementadas o mantenidas.
- Componentes Vulnerables: Uso de componentes con vulnerabilidades conocidas, incluyendo bibliotecas y frameworks, que podrían permitir a un atacante comprometer la aplicación y el sistema subyacente.
- Identificación y Autenticación: Fallas en mecanismos de identificación que permiten a atacantes explotar varios defectos como reutilización de contraseñas o defectos en flujos de autenticación y gestión de sesiones.
- Falta de Registro y Monitoreo Efectivo: Insuficiencia en los registros y el monitoreo que impide o dificulta la detección de ataques o incidentes de seguridad a tiempo.
- Seguridad de APIs: Seguridad inadecuada en el diseño y la implementación de APIs, permitiendo ataques que pueden resultar en la exposición de datos sensibles o compromiso del servicio.
- Seguridad en Servidor/Software: Exposición a vulnerabilidades en el servidor o el software que soporta las aplicaciones web, que no han sido corregidas o mitigadas.
Tecnología con garantías
Desde ETIQMEDIA estamos enormemente orgullosos de este logro, que nos permite dar otro paso adelante en nuestro objetivo de ser una mayor y mejor empresa creando herramientas más seguras para que nuestros clientes puedan gestionar, analizar y almacenar su contenido audiovisual sin ningún tipo de reserva.
Como empresa con un fuerte componente en el uso de la tecnología basada en IA y que siempre nos caracterizamos por estar a la vanguardia del mercado, sabemos que a veces los nuevos avances requieren una mayor confianza por parte de los usuarios que deciden utilizarlos. Por eso en ETIQMEDIA confiamos en que la obtención de este certificado será diferencial en cimentar, más si cabe, dicha confianza.