Líneas de Defensa – Cómo Implementarlas y Cumplir el ENS

por | ISO 27001 | 0 Comentarios

foto principal lineas de defensa ENS

Uno de los principios fundamentales del ENS es la existencia de líneas de defensa , recogido en el artículo 9 del real decreto.

Este artículo establece que la seguridad debe ser implementada mediante múltiples capas de protección, de manera que si falla una línea de defensa, otras pueden mitigar el impacto y mantener la integridad y confidencialidad de la información.

Bien, pero:

  • ¿cómo implementar líneas de defensa en una organización?
  • ¿Para qué procesos informáticos establecen líneas de defensa?
  • ¿Para qué medidas de seguridad contempladas en el Anexo II implementar líneas de defensa?

Estas son las preguntas que te voy a responder en este post.

Sin más introducción, empiezo a contártelo.

Contents

Existencia de líneas de defensa según ENS – Qué es y por qué es importante

El artículo 9 de la ENS especifica que la seguridad de los sistemas de información debe garantizarse mediante la existencia de líneas de defensa, de forma que si una línea falla, otra pueda mitigar el impacto.

Estas líneas de defensa deben estar constituidas por medidas de naturaleza organizativa, física y lógica.

Una clasificación utilizada en seguridad de la información es clasificar las líneas de defensa en tres tipologías.

Por lo tanto, en tu organización podrías implementar líneas de defensa :

  1. Preventivas : Medidas que buscan evitar la materialización de los riesgos, por ejemplo con políticas de seguridad, formación del personal y controles de acceso.
  2. Detectivas : Herramientas y procesos que permiten identificar incidentes de seguridad en tiempo real, como sistemas de detección de intrusiones y auditorías.
  3. Correctivas : Acciones que se toman para remediar los efectos de un incidente de seguridad, por ejemplo, planes de respuesta a incidentes y recuperación ante desastres.

Como podrás imaginar, implementar estas líneas de defensa de manera efectiva en tu organización requiere de un estudio de la situación actual, planificación, asignación de recursos (económicos y humanos) y un seguimiento posterior.

Cómo implementar las líneas de defensa y relacionarlas con las medidas de seguridad del ENS

En este apartado voy a responderte a las preguntas:

  • ¿Cómo implementar líneas de defensa en una organización?
  • ¿Con qué procesos informáticos establecen y relacionan líneas de defensa?
  • ¿Para qué medidas de seguridad contempladas en el Anexo II implementar líneas de defensa?

Para eso voy a describirte algunas de las seguridad de seguridad del Anexo II del ENS.

Y Además te voy a poner ejemplos concretos de situaciones y procesos en los que puedes implementar medidas de líneas de defensa.

Dado que las líneas de defensa a implementar dependerán de la situación de cada organización, me voy a centrar en este artículo en una serie de medidas del Anexo II del ENS y que sirven para cualquier organización.

Recuerda que estas líneas de defensa dependerán de la situación actual de tus sistemas de información.

Yo me voy a centrar en estas medidas de seguridad:

Líneas de defensa y medidas de seguridad ENS

Líneas de Defensa con la Medida op.pl.2 Arquitectura de Seguridad

La arquitectura de seguridad define el cómo se ha diseñado la estructura de tus sistemas de información.

Además también establece el cómo se gestionan en tu empresa los riesgos de seguridad a través de la arquitectura de seguridad de tus sistemas y redes.

Esta es una línea de defensa clave, ya que te ayudará a prevenir ataques y reducir las posibilidades de que tus sistemas de información se vean comprometidos.

 Cómo implementar líneas de defensa en la Arquitectura de Seguridad:

  • Segmentación de redes : Divide la infraestructura de red de tu organización en segmentos, para aislar los sistemas más críticos (por ejemplo, un segmento de red a la que sólo tendrán acceso a un departamento concreto).
  • Zonas desmilitarizadas (DMZ) : Configura una zona donde ubiques los servidores de acceso público (como servidores web, servidores DNS, servidores FTP) separados de la red interna.
  • Firewalls : Implementa firewalls para filtrar el tráfico que entra en tu organización entre diferentes segmentos de la red y evita así el acceso no autorizado.

Tipos de líneas de defensa utilizadas:

  • Preventiva: dado que la arquitectura correcta limita los puntos de entrada para los atacantes.
  • Correctiva: ya que en caso de ataque ya que la segmentación facilita la contención y mitigación en caso de un incidente.
  • Detectiva: si utilizas un sistema para monitorizar actividad sospechosa dentro de la arquitectura.

Líneas de Defensa con la Medida op.pl.4 Dimensionamiento/Gestión de la Capacidad

El dimensionamiento y la gestión de la capacidad asegura que tus sistemas de información puedan manejar la carga de trabajo sin comprometer el rendimiento o la seguridad.

Esta medida está muy relacionada con la prevención de caídas o sobrecargas que puedan afectar el funcionamiento de los sistemas.

Cómo implementar líneas de defensa en el dimensionamiento de la capacidad :

  • Evaluación de carga : Analiza el número de usuarios, transacciones o procesos que tus sistemas de información deben soportar y dimensiona los recursos en consecuencia.
  • Escalabilidad : Asegúrate de que para la infraestructura que tienes, puedes aumentar su capacidad cuando lo necesites de forma rápida (por ejemplo, agregando servidores adicionales, ampliando espacio, memoria, etc.).
  • Monitoreo de recursos : Utiliza una herramienta para monitorear el uso de CPU, memoria y almacenamiento. Esto te ayudará a prevenir y prevenir sobrecargas.

Tipos de líneas de defensa utilizadas:

  • Preventiva: al evitar problemas de rendimiento que podrían ser aprovechados por los atacantes para afectar el sistema.
  • Detectiva: al monitorear el uso de recursos y detectar posibles abusos o accesos inusuales.
  • Correctiva: ya que la escalabilidad te permite que los recursos se ajusten rápidamente a tu situación actual.

Líneas de Defensa con la Medida op.acc. Control de Acceso

El control de acceso es fundamental para garantizar que solo los usuarios autorizados puedan acceder a tus sistemas de información.

Este es uno de los puntos de defensa más importantes, ya que evita accesos no autorizados a información crítica.

Cómo implementar líneas de defensa en el control de acceso:

  • Autenticación multifactor (MFA): Utiliza como mínimo un doble factor de autenticación (como un token de seguridad) para asegurar el acceso a tus sistemas de información.
  • Principio de mínimo privilegio: Otorga a los empleados solo los permisos necesarios para realizar su trabajo.
  • Revisión periódica de accesos: Audita y ajusta los permisos periódicamente, en especial si existen promociones de trabajadores, cambios de puestos de trabajo, etc.

Tipos de líneas de defensa utilizadas:

  • Preventiva: ya que la implementación de restricciones de acceso previene el acceso no autorizado.
  • Detectiva: en el momento de llevar a cabo auditorías de acceso, ya que te ayudan a identificar accesos indebidos.
  • Correctiva: ya que revocar los permisos incorrectos o innecesarios corrige los fallos de acceso.

Líneas de Defensa con la Medida op.exp.6 Protección Frente a Código Dañino

La protección contra código dañino, como malware o virus, es esencial para evitar que tus sistemas de información se vean comprometidos por software malicioso.

Cómo implementar líneas de defensa en la protección frente a código dañino:

  • Antivirus y antimalware: Instala y mantener actualizado software de protección contra malware.
  • Filtrado web: Bloquea la navegación web utilizando firewalls frente a sitios web maliciosos y descargas no seguras.
  • Educación del personal: Lleva a cabo programas de formación y concienciación a tus empleados, con el fin de que reconozcan correos electrónicos y enlaces sospechosos.

Tipos de líneas de defensa utilizadas:

  • Preventiva: ya que las soluciones antivirus previenen la infección de los sistemas.
  • Detectiva: con el análisis de tráfico y la revisión de registros ya que puedes así detectar actividad sospechosa.

Líneas de Defensa con la Medida op.exp.10 Protección de Claves Criptográficas

La protección de claves criptográficas es crucial para garantizar que los datos cifrados con los que trabaja tu organización estén protegidos contra accesos no autorizados.

Cómo implementar líneas de defensa en la protección de claves criptográficas:

  • Almacenamiento seguro de claves: Utiliza dispositivos de seguridad de hardware para almacenar claves criptográficas o servicios en la nube como Passwx
  • Control de acceso a claves: Limita el acceso a las claves solo a personal autorizado.

Tipos de líneas de defensa utilizadas:

  • Preventiva: con la protección física y lógica de las claves, ya que previene el acceso no autorizado.

Líneas de Defensa con la Medida op.ext.3: Protección de la Cadena de Suministro

La protección de la cadena de suministro asegura que tus proveedores, y terceros subcontratados por éstos, con los que tu organización interactúa sigan las mismas prácticas de seguridad.

Cómo implementar líneas de defensa en la protección de la cadena de suministro:

  • Evaluación de proveedores: Realiza auditorías de seguridad a los proveedores que gestionan datos sensibles (lo que se conoce como auditorías de segunda parte).
  • Contratos de seguridad: Incluye cláusulas de seguridad en los acuerdos con tus proveedores, permitiendo o no la subcontratación por parte de éstos.
  • Monitoreo de terceros: Supervisa las actividades de los proveedores críticos dentro de tus sistemas de información.

Tipos de líneas de defensa utilizadas:

  • Preventiva: ya que una buena selección y evaluación de proveedores reduce el riesgo de incidentes de seguridad. Además, las cláusulas que permitan o no permitan la subcontratación también te llevarán a establecer medidas preventivas.
  • Detectiva: con la supervisión, dado que serás capaz de identificar vulnerabilidades.

Líneas de Defensa con la Medida op.nub.1 Protección de Servicios en la Nube

El crecimiento de servicios y plataformas en la nube ha sido brutal en los últimos años.

Gartner escribió un artículo interesante sobre las plataformas en la nube, su crecimiento y su futuro. Te lo dejo aquí por si te interesa leerlo:

artículo Gartner plataformas en la nube

Los datos almacenados en la nube pueden estar expuestos a riesgos, por lo que proteger estos entornos es fundamental para cualquier organización.

Cómo implementar líneas de defensa en la protección de servicios en la nube:

  • Cifrado de datos en la nube: Toda la información que almacenas en servicios en la nube debe estar cifrada tanto en reposo como en tránsito. Puedes usar servicios como mailCrip para el envío de información mediante correo electrónico y Passwx para el almacenamiento de contraseñas y archivos cifrados.
  • Control de acceso basado en roles: Define permisos para controlar quién puede acceder a los servicios de la nube y qué datos puede ver.
  • Evaluación y auditoría de proveedores de nube: Verifica que los proveedores de servicios en la nube cumplan con los requisitos de seguridad y privacidad antes de firmar acuerdos (por ejemplo, estar certificado con ISO 27001, con el Esquema Nacional de Seguridad, otras certificaciones, etc)

Tipos de líneas de defensa utilizadas:

  • Preventiva: ya que el cifrado y el control de acceso limitan el acceso no autorizado.

Líneas de Defensa con la Medida op.mon.1 Detección de Intrusión

La detección de intrusión es esencial para que puedas identificar ataques y comportamientos anómalos en tiempo real.

La implementación de sistemas de detección te permitirá responder rápidamente a incidentes de seguridad y mitigar posibles daños.

Cómo implementar líneas de defensa en la detección de intrusión:

  • Sistemas de detección de intrusiones (IDS): Utiliza herramientas para monitorear el tráfico de red y los eventos del sistema para identificar patrones inusuales.
  • Alertas automáticas: Configura el sistema IDS para que envíe alertas automáticas cuando se detecten actividades sospechosas en la red de tu organización y tus sistemas de información.
  • Análisis de registros: Realiza revisiones periódicas de los logs generados por sistemas críticos para detectar posibles incidentes de seguridad.

Tipos de líneas de defensa utilizadas:

  • Preventiva: ya que los sistemas de detección permiten bloquear los intentos de intrusión antes de que puedan afectar a la infraestructura.
  • Detectiva: ya que las alertas y el monitoreo continuo asegura que cualquier intrusión se detecte en tiempo real.

Bueno, como puedes ver el concepto de líneas de defensa se puede aplicar a múltiples procesos y situaciones en tu organización.

Lo importante es conocer el estado de seguridad de tus sistemas de información que podrías llevar a cabo al contratar una auditoría de ciberseguridad por ejemplo.

Espero haberte ayudado con este artículo. Si necesitas ayuda para el cumplimiento del ENS, nosotros podemos ayudarte.

Fecha: 20 mayo 2025

Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022

Fuente imagen principal: Freepik

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ive Consultores te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Iván Torres como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: gestión de los comentarios que realizas en este blog.

Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud.

Derechos de acceso: podrás rectificar, limitar y suprimir los datos en ivan.torres@iveconsultores.com así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: la encontrars en mi página web: http://www.iveconsultores.com, así como consultar mi política de privacidad.