Principales cambios en el Esquema Nacional de Seguridad para una Administración Pública más segura

Coincidiendo con el recrudecimiento de la polémica provocada por la infección masiva de móviles de líderes políticos de nuestro país mediante el malware Pegasus, el Consejo de Ministros ha aprobado un Real Decreto a través del cual se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica. Se actualiza el que estaba vigente -aprobado en enero de 2010, y modificado en 2015-, y se da forma a lo contemplado dentro del paquete de actuaciones urgentes en materia de ciberseguridad que el Gobierno aprobó en mayo de 2021, después del grave ciberataque sufrido por el Servicio Público de Empleo Estatal (SEPE). El objetivo de estas era reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público, así como sobre las entidades que suministran tecnologías y servicios al mismo.

La creación del ENS estaba encaminada a establecer y proporcionar las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas de diversa índole que deben garantizar la protección de los sistemas, datos, comunicaciones y servicios electrónicos. Desde la entrada en vigor del Real Decreto 3/2010, del 8 de enero, el ENS es de obligado cumplimiento por parte de todas las Administraciones Públicas, si bien existen organizaciones gubernamentales que aún no están adecuadas.

La situación cambia con la actualización del ENS, ya que introduce cambios en las medidas de seguridad y nuevos controles, pero también obliga a la adecuación a sus requisitos por parte las empresas privadas proveedoras a la Administración, centrándose, sobre todo, en aquellas que ofrezcan servicios donde haya intercambios de información.

Seguridad del servicio

El Real Decreto que da forma al Esquema Nacional de Seguridad está estructurado en tres bloques: los principios básicos (artículos 4-10), requisitos mínimos (artículos 11- 26) y un conjunto de 75 medidas categorizadas en tres marcos: el organizativo, el operacional y las medidas de protección.

- El marco organizativo comprende un conjunto de medidas relacionadas con la organización global de la seguridad (políticas, normativas, procedimientos…).
- El marco operacional propone una serie de procesos a implementar dentro del sistema de información: Análisis de riesgos, gestión de la capacidad, control de cambios, etc.
- Las medidas de protección se centran en proteger los activos con medidas muy concretas, como etiquetado, criptografía, o cifrado.

Además, el ENS propone una clasificación para las organizaciones basada en tres niveles de madurez -básico, medio o alto- que mide las consecuencias que tiene un incidente de seguridad sobre las funciones de la organización, sus activos o los individuos afectados.

La categoría que se otorgue corresponderá al máximo nivel que tomen las dimensiones de seguridad de los servicios -según el ENS, cinco: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad-, y los activos de información necesarias para su prestación. Es decir, si el nivel más alto de cualquier de las cinco dimensiones de los servicios o de los activos de información que maneja la empresa es medio, tendrá una categoría media.

Esa clasificación implica, asimismo, la aplicación de una clase concreta de auditoría o revisión del sistema. Por ejemplo, una organización con un nivel de madurez bajo no necesitará más que una autoevaluación para identificar el cumplimiento de los diferentes requisitos aplicables. En cambio, aquellas enmarcadas en categorías media y alta requerirán de una auditoría independiente, de carácter bianual, y realizada por personal cualificado e independiente, en la cual se verificará que el sistema implantado cumple con los requerimientos del Real Decreto recién aprobado en Consejo de Ministros.

La adaptación de una organización, pública o privada, a la normativa del Esquema Nacional de Seguridad implica la implantación de todas sus medidas y disposiciones, pero también su mantenimiento. Por ello, en la mayoría de las situaciones, se hace necesaria la implantación de un Sistema de Gestión de Seguridad de la Información como el propuesto por GlobalSuite Solutions para el cumplimiento de todos los requisitos que establece el marco y gestionar todas las acciones a llevar a cabo de manera centralizada y eficiente.