EL NUEVO ESQUEMA NACIONAL DE SEGURIDAD
Ya disponemos del nuevo Esquema Nacional de Seguridad, según se recoge en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Lo primero que tendríamos que cuestionarnos es si realmente es necesario este nuevo ENS, y la respuesta sin duda es que sí: en esta última década se han intensificado de forma exponencial las ciberamenazas y lo hemos visto de una forma evidente durante la pandemia, hasta el punto que es frecuente leer noticias de entidades públicas y privadas que han sido víctimas de algún ataque, como lo ha sido algunos políticos con el ataque de pegasus. También es innegable la transformación digital que hemos tenido durante estos años, con la aparición de tecnologías como IoT, Big Data, Cloud Computing o Smart Cities, por citar algunas, y como consecuencia de las anteriores, la evolución que ha sufrido la ciberseguridad, que ya iba siendo necesario reflejar a nivel legislativo
No obstante, siendo justos, el ENS ha intentado evolucionar en estos últimos años, ya sea mediante la publicación del Real Decreto 951/2015, del 23 de octubre, de modificación del Real Decreto 3/2010, o bien mediante la publicación continua e incesante de las guías de la serie 800 del Centro Criptológico Nacional. De hecho, ha sido tal la evolución de las guías, que el propio texto del ENS, se había quedado retrasado respecto de ellas.
También se había quedado desfasado haciendo referencia expresa a normativa que ha sido renovada; por ejemplo, hace referencia a la ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, o a la ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal.
Y una vez justificada la necesidad, tendríamos que revisar los cambios que introduce la propuesta del nuevo texto. En este sentido, el nuevo ENS, no pretende ser un cambio disruptivo, de hecho, tiene un cierto carácter continuista pero actualizado. Y esta actualización se centra en algunos pilares fundamentales:
- Alinear el ENS con el nuevo marco normativo de referencia.
- Introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas, determinados colectivos o determinados ámbitos tecnológicos.
- Actualizar los principios básicos, los requisitos mínimos y las medidas de seguridad.
- Perfeccionar el capítulo de “Prevención, detección y respuesta a incidentes de seguridad”.
- Y en general, clarificar, precisar, homogeneizar, simplificar y actualizar diferentes aspectos.
Como aspectos reseñables, es interesante que define los “perfiles de cumplimiento”, ajustando los requerimientos del ENS a situaciones concretas, algo que ya se había introducido a través de las guías del CCN, como son por ejemplo, las guías 883, que definen los perfiles de cumplimiento de ayuntamientos de diferentes tamaños, y que fueron publicadas en mayo de 2020.
También es interesante el planteamiento del cumplimiento de las medidas de seguridad definidas en el Anexo II del ENS, con los denominados “Refuerzos”, que son los controles de seguridad, sólo que se introduce la posibilidad de elegir en algunas medidas de seguridad, qué controles se cumple y cuales no.
Con estos dos últimos cambios, hay una cosa segura: no habrá un Esquema Nacional de Seguridad igual para todos, sino que el mismo se amoldará a la situación del Organismo, y el Organismo dispondrá de potestad en la elección de cómo implantar las medidas de seguridad que le son de aplicación.
Otros aspectos destacables serían la vigilancia continua y reevaluación periódica, que constata que cumplir con el Esquema Nacional de Seguridad supone realmente la implantación de un sistema de gestión de seguridad de la información, sometido a la mejora continua, en constante vigilancia de las amenazas y riesgos de la organización, de manera que pone énfasis en que el ENS no es un producto, sino un proyecto a largo plazo.
Al igual que otras normativas, el nuevo ENS también incluye la profesionalización de los roles que van a velar por la seguridad de la información, al igual que en el Reglamento Europeo de Protección de Datos introduce la figura del Delegado de Protección de Datos. Es decir, se exige la formación, cualificación y dedicación de estos roles.
Aunque de una primera lectura podría deducirse que se han reducido las medidas de seguridad del Anexo II, lo cierto es que se han restructurado las que habían, unificándolas y aparecen de hecho medidas de seguridad ligadas a servicios en la nube, a la protección de cadena de suministro, vigilancia, a la seguridad de dispositivos conectado a la red, etc.
Por supuesto, en su disposición transitoria única, indica que se dispondrán de 24 meses para adecuar los sistemas de información preexistentes a esta nueva normativa.
De manera que habrá que actualizar nuestro Esquema Nacional de seguridad, teniendo en cuenta que gran parte del trabajo realizado por las organizaciones que ya se habían adecuado anteriormente al RD 3/2010, va a poder reutilizar este trabajo, e incorporar estos cambios dentro de su proceso de mejora continua.
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
