El Esquema Nacional de Seguridad frente a las ciberamenazas

En el ámbito de la Administración Electrónica española el Esquema Nacional de Seguridad (ENS), regulado mediante el Real Decreto 3/2010 tiene por finalidad la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas. Está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información. Debe ser aplicado por las Administraciones públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.

Paralelo a la extensión y generalización del uso de las tecnologías se está produciendo un crecimiento de la ciberdelincuencia y los ciberataques. Malware a medida, ataques a los dispositivos móviles, a los servicios en la nuebe y a las infraestrucutras críticas, vulnerabilidades en el internet de las cosas, robos de datos y sofisticadas estrategias de ciberespionaje, son algunas de las ciberamenazas a las que nos enfrentamos. Estas ciberamenazas se han convertido en un potente instrumento de agresión contra las entidades públicas y los ciudadanos en sus relaciones con las mismas.

Para hacer frente a esta nueva realidad se ha actualizado el Esquema Nacional de Seguridad mediante el Real Decreto 951/2015 publicado el pasado 4 de noviembre. Esta norma tiene por objeto reforzar la protección de las Administraciones Públicas frente a las ciberamenazas mediante la adecuación a la rápida evolución de las tecnologías, todo ello teniendo en consideración la experiencia adquirida en la implementación del esquema nacional de seguridad desde 2010. Además, permite adecuar la actual normativa al contexto regulatorio internacional y europeo, en particular a lo previsto en un Reglamento comunitario de 2014 en lo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. En definitiva, se trata de dotar al Esquema Nacional de Seguridad de los mecanismos necesarios que mejoren la respuesta en materia de seguridad de los sistemas tecnológicos.

Este nuevo Real Decreto, modifica la normativa de protección contra las ciberamenazas reforzando los servicios de confianza y la protección para las transacciones electrónicas. Los sistemas deberán adecuarse a lo dispuesto en esta modificación en un plazo de veinticuatro meses.

Entre las medidas adicionales incorporadas al el Esquema Nacional de Seguridad se puede destacar:

• La introducción de la gestión continuada de la seguridad en los servicios disponibles, por medios electrónicos veinticuatro horas al día.
• Especifica la necesidad de utilizar productos que tengan certificada la funcionalidad de seguridad que se corresponda con la categoría y nivel de seguridad del sistema afectado.
• La inclusión de procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información precisando el concepto de incidente de seguridad.
• Necesidad de notificar al Centro Criptológico Nacional y al CCN-CERT aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.
• Explicita y relaciona las instrucciones técnicas de seguridad, que serán de obligado cumplimiento por las Administraciones Públicas y que regularán el estado de seguridad, la auditoría de seguridad, la gestión de incidentes, la criptología, la interconexión y los requisitos de seguridad en entornos externalizados, entre otras.