Garantizar unas condiciones de seguridad
Tanto las empresas públicas que prestan servicios a la ciudadanía, como las empresas privadas que colaboran en esos servicios, deben garantizar al ciudadano unas condiciones mínimas respecto a la seguridad.
Los servicios prestados y la información que éstos tratan están sometidos a amenazas, lo que implica riesgos de que se éstas se materialicen. Pueden provenir de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres. Por eso, es tan importante ajustarse al Esquema Nacional de Seguridad (ENS). Su objetivo principal es reforzar la protección de las Administraciones Públicas frente a las «ciberamenazas» que evolucionan a gran velocidad.
El ciudadano utiliza cada vez más los medios electrónicos en trámites con la Administración Pública y, en este sentido, es necesario que esta relación se realice en unas condiciones de seguridad y confianza. El ENS crea esas condiciones necesarias de confianza en el uso de los medios electrónicos y establece las medidas necesarias para preservar derechos fundamentales de los ciudadanos. Principalmente, garantiza los servicios soportados por los sistemas mediante seguridad gestionada y, por extensión, también la protección de la información incluyendo los datos de carácter personal. Recordemos que el derecho a la intimidad y a la protección de datos son Derechos fundamentales.
La legislación en materia de seguridad
De hecho, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizando la protección de los datos de carácter personal, y facilitando preferentemente la prestación conjunta de servicios a los interesados. El Esquema Nacional de Seguridad se recoge expresamente en el artículo 156 LRJSP.
Es muy importante remarcar la importancia del ENS ya que todos los proveedores de las Administraciones Públicas deben garantizar que sus tecnologías soluciones y servicios prestados al Sector Público cumplen íntegramente con los requisitos dispuestos por el Esquema Nacional de Seguridad. Con la protección adecuada se garantiza que los sistemas en el alcance del ENS funcionen de forma segura y controlada.
Medidas del ENS
Se puede enfocar la seguridad desde diferentes perspectivas, pero siempre en el sentido más amplio ya que se trata de una cuestión global. Si ponderamos determinados aspectos en detrimento de otros haremos buena aquella frase de -la cadena y el eslabón- que nos recuerda que la fortaleza de un sistema de seguridad es equivalente a la más débil de cualquiera de sus componentes.
El primer enfoque está basado en atender a cuestiones organizativas, legales y técnicas: Organizativas ya que hablamos de seguridad gestionada para que no solo perdure en el tiempo, sino que persiga la mejora continuada; legales para proporcionar la suficiente seguridad jurídica respecto a las diferentes partes interesadas que intervienen y con las que se relaciona el sistema; y técnicas para materializar los mecanismos oportunos de protección que nos brinda la tecnología.
El propio ENS tiene en cuenta estos mismos conceptos en las 75 medidas de seguridad determinadas en su Anexo II, aunque agrupados de distinta manera: marco organizativo, dónde se contemplan la política de seguridad, los roles y responsabilidades, las normas internas y los procedimientos relacionados con la gestión de la seguridad; Marco operacional, donde se planifica el sistema de gestión de la seguridad orientado al ENS, la gestión del riesgo, procedimientos de gestión de incidencias, de cambios, de la capacidad, control de acceso, control de los servicios externalizados, gestión de la continuidad según la categoría del sistema…; y Medidas de protección ya sea de las instalaciones, de las comunicaciones, de las propias aplicaciones incluyendo su desarrollo, de la información y de los servicios, sin olvidar las de gestión del personal.
Certificado de Conformidad
AUDERTIS realiza el servicio de certificación de conformidad con el ENS después de una minuciosa auditoria, según el anexo II del Real Decreto 3/2010 y modificaciones posteriores. Se basa en los requisitos de la norma ISO 17065:2012 y en las orientaciones de la Guía CCN-STIC 802 de Auditoría, revisada en abril de 2017, en la que hemos tenido el placer de colaborar.
El Certificado de Conformidad con las disposiciones del ENS no es únicamente una obligación legal; es un reconocimiento que posiciona a las organizaciones, ya sean pertenecientes al Sector Público o Privado, garantizando que cumplen las actuales exigencias en materia de seguridad. En relación a la certificación de conformidad del ENS para el Sector Privado y como afirmó en las pasadas Jornadas de Ciberseguridad Óscar Bou, socio de AUDERTIS, los proveedores de la Administración estarán certificados, o no lo serán.