El Esquema Nacional de Seguridad cumple diez años

  • NORMATIVAS

Esta semana se han cumplido diez años desde la aprobación del Real Decreto que regulaba el Esquema Nacional de Seguridad, por el que se establecían los principios básicos y los requisitos mínimos que permitían una protección adecuada de la información, las comunicaciones y los servicios de las Administraciones Públicas. Su ámbito de aplicación es hoy mayor y sigue evolucionando para adaptarse a las nuevas necesidades.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

El 8 de enero de 2010 se aprobó el Real Decreto 3/2010 que regulaba el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica. A través de él, se establecieron los principios básicos y los requisitos mínimos que, de acuerdo con el interés general, permitían una protección adecuada de la información, las comunicaciones y los servicios de las Administraciones Públicas. Más tarde, en 2015, su ámbito de aplicación se ha ampliado a todo el sector público, que tiene que cumplir con numerosas medas de seguridad.

Con motivo de su décimo aniversario, el Centro Criptológico Nacional (CCN) ha querido poner en valor su significado y ha subrayado que “ha supuesto un hito en la ciberseguridad en España y un referente para otros países”.

El ENS se ha convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público y ha venido acompañado de 61 Guías CCN-STIC, 14 soluciones de ciberseguridad desarrolladas por el CCN y 4 Instrucciones Técnicas de Seguridad (ITS) publicadas en el BOE sobre notificación de incidentes, Auditoría de la Seguridad en los Sistemas de Información, de conformidad con el propio Esquema y del Informe del Estado de la Seguridad.

Para confeccionar este informe y poder establecer un sistema de medición de la seguridad del Sector Público, el CCN desarrolló la solución INES (Informe Nacional del Estado de Seguridad) para facilitar de un modo más rápido e intuitivo su nivel de adecuación al ENS. Se ha realizado cinco ediciones realizadas del informe INES y la sexta en curso. En 2019, 1006 entidades habían cargado sus datos, frente a las 799 de un año antes. La valoración general que se desprende del informe INES es que se ha de mantener el esfuerzo de implantación del ENS, máxime cuando se demuestra que su aplicación ayuda a una mejor protección frente a las ciberamenazas.

Éstos son solo algunos de sus acciones en estos primeros diez años. En este momento de aniversario es preciso realizar una revisión del ENS en la que, “aprendiendo de la experiencia de estos diez años, se pueda preparar el Esquema para afrontar las nuevas amenazas; mejorar las capacidades de vigilancia y diseñar respuestas cada vez más eficaces frente a los ataques; para reducir la superficie de exposición a vulnerabilidades y deficiencias de configuración de los sistemas”, señala el CCN.

Para ello es preciso, primero, alinear el ENS con el marco legal y el contexto estratégico a la fecha de 2020 para facilitar la seguridad en la administración digital; segundo, introducir cierta flexibilidad para facilitar su aplicación a necesidades específicas de ciertos colectivos de entidades o tecnologías; y tercero, actualizarlo para dar respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la defensa activa mediante la revisión, a la luz del estado del arte, de los principios básicos, los requisitos mínimos y las medidas de seguridad, incidiendo, en particular, en cuestiones tales como la monitorización de los sistemas, la vigilancia con herramientas de detección de amenazas avanzadas y correlación de eventos, y la disposición de observatorios con fines de cibervigilancia, aproximaciones más específicas para la notificación y gestión de incidentes, medidas para la utilización de servicios en la nube, y para ayudar a la protección de datos personales.