En la era del ‘open data’ y la transparencia institucional, se hace imprescindible para la ciudadanía el impulso de un marco de confianza que garantice un entorno digital seguro en sus relaciones con el Sector Público. Esto supone que la tecnología utilizada para el tratamiento y el acceso a la información y las normas y procedimientos que la gestionan han de seguir los máximos estándares de seguridad.
Qué es el Esquema Nacional de Seguridad (ENS)
El Esquema Nacional de Seguridad es el marco legislativo que establece y desarrolla la política de seguridad en el uso de los medios electrónicos para que las organizaciones pertenecientes al Sector Público, y aquellas pertenecientes al Sector Privado en que se apoyen, ofrezcan y presten servicios seguros a la ciudadanía. Esta normativa establece las condiciones mínimas y necesarias para garantizar a los ciudadanos y a las Administraciones públicas el ejercicio de sus derechos y el cumplimiento de sus deberes.
El objetivo, pues, es crear las condiciones necesarias de confianza en la prestación de servicios a la ciudadanía que se apoyen en medios electrónicos. Se consigue a través de medidas para garantizar la seguridad de los sistemas cuando los servicios se prestan de manera digital.
La confianza digital como factor clave
Desde que en el año 2010 se aprobara el Real Decreto que regula el ENS las administraciones públicas y las empresas privadas se han sumergido en el entorno digital a una velocidad de vértigo. Cada vez las instituciones permiten realizar más trámites desde los entornos digitales. Esta gran ventaja no ha de estar, no obstante, reñida con la seguridad.
Por eso se hace imprescindible que se desarrolle un Esquema Nacional de Seguridad que establezca los requisitos mínimos para que no se vulneren los diferentes atributos de la seguridad lo que supone poner en riesgo la propia Administración pública y los datos de los ciudadanos por el uso de medios electrónicos.
La seguridad es un término abstracto, por lo que el ENS lo concreta en cinco atributos precisos: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad, permitiendo una mayor eficacia en la apreciación y posterior mitigación de los riesgos.
El Esquema, además, aporta un lenguaje común, homogeneiza los tratamientos de seguridad e introduce elementos comunes para guiar a las Administraciones, siendo un actor fundamental el Centro Criptológico Nacional (CCN) con su labor continuada de asesoramiento y supervisión global de la seguridad de quienes están obligados por la norma.
Certificación de conformidad con el ENS
Tal y como dispone la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, armonizada con el Real Decreto 3/2010 y modificaciones posteriores, todas las instituciones públicas y empresas privadas que presenten servicios a las administraciones públicas, están obligadas a garantizar a los ciudadanos que cumplen con los requisitos de seguridad exigibles en los diferentes servicios prestados a la ciudadanía que se apoyen, directa o indirectamente, en medios electrónicos.
Salvo organizaciones en las que sus sistemas estén categorizados como básicos, algo poco frecuente según se deduce de las estadísticas obtenidas a partir del Informe Nacional del Estado de la Seguridad (INES), aquellas que dispongan de sistemas de categoría media o alta están obligadas a disponer de un Certificado de Conformidad con las disposiciones del ENS.
La entidad de certificación AUDERTIS realiza auditorías de certificación a las instituciones públicas, y empresas privadas en que se apoyen sus servicios, que quieran cumplir con esta obligación y, al mismo tiempo, acreditar a la ciudadanía su radical compromiso con la seguridad y el rigor en el tratamiento de su información.
Para los ciudadanos realizar cualquier trámite con una institución certificada por AUDERTIS es la garantía de que sus datos y toda la información tramitada de forma digital será tratada con la máxima confidencialidad y con los mínimos riesgos en todo el proceso.
Es por ello que a partir de la citada Resolución de 13 de octubre, las organizaciones pertenecientes al Sector Público deberán exigir en sus pliegos de contratación que el proveedor perteneciente al Sector Privado que participará en la prestación de sus servicios esté también en posesión de la correspondiente Certificación de Conformidad con el ENS. Es la única forma de garantizar que la seguridad estará presente a lo largo de toda la cadena de valor de los diferentes servicios públicos.