Adecuación al Esquema Nacional de Seguridad del Ayuntamiento de CiudadX

Abstract

El proyecto documenta la adecuación al Esquema Nacional de Seguridad de un ayuntamiento ficticio (CiudadX), concretamente a la versión publicada en 2022 que ha supuesto la primera gran actualización de este desde su lanzamiento en 2010, tanto en controles de seguridad como en la estructura general, incluyendo los requisitos y principios básicos. El reciente impulso que ha recibido el esquema para aumentar su grado de implantación, sumados al alarmante número de entidades locales que están sufriendo ataques de ransomware, han hecho que CiudadX decida dar sus primeros pasos para securizar sus sistemas, y decide hacerlo bajo el marco de ENS, para, a medio plazo, certificar su conformidad. CiudadX tiene una población cercana a los 25.000 habitantes, por lo que, dado su tamaño, cuenta con variedad de servicios TIC necesarios para el gobierno de su información y el buen funcionamiento de la localidad. Este trabajo contempla el ciclo completo de implantación del Esquema Nacional de Seguridad siguiendo las guías oficiales del CCN-CERT, desde la definición de una política de seguridad, la identificación y valoración de sistemas, hasta las fases finales de seguimiento de métricas y mejora continua, así como la ejecución de tareas de adecuación a modo de ejemplo.

The project documents the adequation to the Esquema Nacional de Seguridad of a fictitious town hall (CiudadX), concretely to the version published in 2022, which has meant the first major update of the law since its launch in 2010, specially in security controls and in its general structure, including the requirements and basic principles. The recent boost that the law has received to enhance its implementation, plus the increasing number of town halls that are suffering ransomware attacks, have convinced CiudadX to take its first steps to secure its systems. It will be done by the ENS framework, to, in the medium term, certify its compliance. CiudadX has a population of close to 25,000 inhabitants, therefore, given its size, it has a variety of ICT services necessary for the government of its information and the proper functioning of the town. This work covers the complete implementation cycle of the ENS following the official guidelines of the CCN-CERT, since the definition of a security policy, the identification and assessment of systems, up to the final phases of monitorization metrics and continuous improvement, as well as the execution of some compliance tasks as an example.