Casi 10 años de Esquema Nacional de Seguridad y nos preguntamos, ¿Cuál es el estado de las administraciones públicas españolas en cuanto a seguridad se refiere?
El pasado 18 de junio de 2019, se celebró en el Auditorio de la Fábrica Nacional de la Moneda y Timbre el “I Encuentro del Esquema Nacional de Seguridad” organizado por el Centro Criptológico Nacional (CCN), el cual tuvo por objetivo hacer un balance del desarrollo e implantación del ENS, a la fecha y, sobre todo, de los nuevos retos que se plantean a partir de ahora.
En este evento se dieron encuentro más de 350 profesionales del ámbito de la seguridad, tanto del sector público como privado, todos interesados en conocer la evolución de la normativa y su implantación.
El evento inició con las palabras de Javier Candau, Jefe del Departamento de Ciberseguridad del CCN, y de Miguel Ángel Amutio, Director de la División de Planificación y Coordinación de Ciberseguridad de la Secretaría General de Administración Digital.
En su discurso ambos indicaron que la implantación del Esquema Nacional de Seguridad en las administraciones públicas ha incrementado, y prueba de ello es que España ocupa la quinta posición en el ranking Europeo y la séptima posición a nivel mundial del Global Cibersecurity Index 2018.
Adicionalmente se expusieron las principales novedades del ENS, haciendo hincapié en:
- La Mejora del alineamiento y claridad para facilitar la seguridad en la Administración Digital. Haciendo uso de referencias actualizadas del marco legal, un ámbito de aplicación expresado de forma clara y actual, así como otras mejoras de redacción con el objetivo de simplificar la información.
- Más flexibilidad para facilitar la aplicación del ENS a necesidades específicas, mediante la introducción de un mecanismo de perfiles para poder flexibilizar la aplicación de las medidas de seguridad.
- Tener un enfoque actualizado para facilitar la respuesta a tendencias y necesidades de seguridad, revisando los principios básicos, requisitos mínimos, medidas de seguridad y los anexos.
Todo lo relacionado con la ciberseguridad avanza exponencialmente, ¿Qué pasa con las actualizaciones del Esquema Nacional de Seguridad y las medidas para su implementación?
Carlos Galán, asesor del CCN, expuso los puntos del ENS que serán actualizados.
Hizo gran hincapié, en el bajo nivel de madurez en la administración pública en general y explicó conceptos generales tales como la elaboración de la categorización necesaria para la declaración de aplicabilidad, la realización del plan de adecuación y el análisis de riesgos.
Durante la ponencia se describieron diversos escenarios no contemplados por el actual ENS que dificultan la adecuación al mismo, y se presentaron, como solución viable, los denominados Perfiles de Cumplimiento validados por el CCN.
Estos Perfiles de Cumplimiento validados implican un conjunto de medidas de seguridad, la implementación concreta y detallada de cada medida y la aceptación del riesgo residual obtenido tras la implementación de la misma.
De esta manera, se consigue facilitar la adecuación al ENS por medio de un perfil de cumplimiento específico, que permite reducir o aumentar el nivel incremental de una medida, suprimir o incluir la aplicación de la misma, o bien proponer una medida compensatoria. De esta forma la adecuación al ENS es factible, dados los recursos humanos y económicos disponibles en la entidad.
Casos especiales de certificación:
David López, de Cibergob, presentó un caso de éxito en la adecuación al ENS, ejemplificando que el éxito de la adecuación inicia con una correcta definición del alcance de la certificación. Es completamente diferente la certificación de entornos SAS, on premise que aquella para desarrollos propios. En caso de certificar un servicio donde el proveedor ya está certificado por el ENS, únicamente será necesario desarrollar las medidas organizativas, reduciéndose notablemente la dificultad.
De igual modo se remarcó durante la ponencia que las medidas de certificar un servicio no han de ser las mismas sobre otros servicios, por lo que resulta más fácil hacerlo de forma progresiva y certificar primero un servicio y posteriormente certificar los otros.
Otros aspectos de actualidad:
En este evento se expusieron otros temas a tener en cuenta relacionados con la actualidad de la ciberseguridad como pueden ser:
- Protocolos los procedimientos a seguir para detectar y prevenir posibles campañas de desinformación, explicados por el ponente Javier Lesaca, de School of International and Public Affairs of Columbia University.
- La certificación de profesionales en el campo de la criptografía y protección de la información, de la mano de Raúl Siles y Alfonso Muñoz del CriptoCert.
- El Jefe de Departamento de Productos y Tecnologías del CCN presentó el trabajo realizado por este organismo para establecer los requisitos funcionales de seguridad, que permiten el desarrollo de productos de seguridad TIC y su inclusión en el catálogo de Productos para Seguridad de las TI. En consecuencia, las administraciones tienen la posibilidad de adquirir productos con mayores garantías de seguridad para su despliegue.
- Por su parte, Pablo López, Jefe del Área de Normativa y Servicios de Ciberseguridad del CCN explicó el nuevo modelo de gestión de incidentes: los centros de operaciones de seguridad virtuales (vSOC).
- El evento finalizó con una mesa redonda que contó con la participación de empresas privadas del sector en conjunto con el CCN, donde se debatió acerca de la cooperación público-privada en materia de ciberseguridad.
En definitiva, durante el año 2020 se producirá el lanzamiento de una nueva actualización del ENS para facilitar la adaptación de los sectores público y privado al entorno cambiante de la ciberseguridad.
