El incremento del número de datos a manejar y las interacciones a realizar diariamente a través de formatos digitales hace, a día de hoy, imprescindible la protección de los mismos. Algo especialmente importante en los entes públicos, pues la interacción a través de medios digitales con los diferentes organismos que componen las Administraciones públicas se ha visto incrementada tras la irrupción de la pandemia, con lo que el interés hacia los datos que circulan en esas relaciones también ha crecido por parte de los ciberdelincuentes.
Se puede decir que España se dio cuenta de dichos riesgos antes que otros países de nuestro entorno. Así, con el fin de establecer unos requisitos en las políticas de seguridad cuando se emplean medios electrónicos, y a fin de proteger la información, en el año 2007 se empezó a pensar en el desarrollo del Esquema Nacional de Seguridad (también conocido por sus siglas ENS), aunque no fue hasta 2010 cuando se hizo efectivo.
El ENS nació con el objetivo de crear las condiciones necesarias de confianza en el uso de medios electrónicos. Para ello, se instaba a incorporar medidas que garantizaran la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, de tal forma que se pudieran ejercer de forma segura tanto los derechos como el cumplimiento de las obligaciones de los ciudadanos con las Administraciones. Se trataba, en definitiva, de que los sistemas de información ofrecieran sus servicios y custodiaran el conjunto de los datos de acuerdo a unas especificaciones funcionales para, así, impedir que la información pudiera llegar a personas no autorizadas.
Desde ese primer esquema, se han realizado dos modificaciones: la primera, en el año 2015, y la segunda, el pasado 3 de mayo, cuando, en pleno escándalo Pegasus, el Consejo de Ministros aprobó un Real Decreto para regular el ENS. Con el mismo, se daba forma a lo contemplado dentro del paquete de actuaciones urgentes en materia de ciberseguridad que el Gobierno aprobó en mayo de 2021, tras el ataque sufrido por el Servicio Público de Empleo Estatal (SEPE). Ese paquete, que ahora se plasman en el nuevo ENS, tenía como objetivo reforzar las defensas frente a las ciberamenazas y ciberataques que se ciernen sobre el sector público, pero también sobre aquellos fabricantes, desarrolladores y proveedores de tecnología que trabajen con él.
Lo novedoso
Esta última actualización del ENS introduce cambios en las medidas de seguridad a adoptar, así como nuevos controles con el fin de proteger los datos y las interacciones digitales. Pero también, y esta es una de sus principales novedades, obliga a los proveedores de la Administración a adecuarse a unos requisitos más estrictos para potenciar aún más esa protección de la información.
El principal motivo de esta modificación es que los riesgos son cada vez mayores, y además las Administraciones, igual que las empresas y usuarios, se mueven en un mundo cada vez más cambiante. Por ello, las políticas de ciberseguridad del año 2015 han quedado totalmente desfasadas, y era urgente la actualización. Ahora, el nuevo Esquema Nacional de Seguridad se basa en tres pilares fundamentales: en primer lugar, se exige a las entidades un marco organizativo en el que se incluyan un conjunto de medidas relacionadas con la distribución global de la seguridad como políticas, normativas o procedimientos.
En segundo lugar, se establece un marco operacional en el que se proponen una serie de procesos que deberían implementarse dentro de los sistemas de información, entre los que se incluyen el análisis de riesgos, la gestión de la capacidad o el control de cambios.
Finalmente, el tercero de los pilares se centra en las medidas de protección que es necesario adoptar para proteger los activos. En este aspecto se detallan medidas muy concretas, y se incluyen algunas como el etiquetado, el uso de la criptografía o el cifrado de los datos y las comunicaciones.
Una de las características del nuevo ENS es que observa a la seguridad como un proceso integral, ya que no solo forman parte del mismo las comunicaciones o los sistemas de información, sino también los usuarios o los aspectos jurídicos y organizativos. Por eso, hace hincapié en establecer una estrategia de control y minimización de los riesgos. Estrategia que debería estar basada en la prevención, la detección y la respuesta para impedir que las amenazas no lleguen a materializarse, o que, en el caso de hacerlo, no afecten gravemente. En este apartado, se insta a que los sistemas de información cuenten con múltiples capas de seguridad para su protección, como puede ser el modelo de tres líneas de defensa.
Para lograr una seguridad más completa, este nuevo Esquema no se centra solo en medidas a adoptar, sino que también propone una clasificación para las organizaciones y organismos basada en tres niveles de madurez (básico, medio o alto). A través de ella, se miden las consecuencias que puede tener un incidente de seguridad sobre las funciones de la organización, sus activos o los individuos afectados.
El ENS establece las dimensiones de seguridad de los servicios en cinco categorías: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad: de tal forma, si el nivel más alto de cualquiera de las cinco dimensiones de los servicios, o bien de los activos de información que maneja la empresa, es medio, tendrá también una categoría media. Esa clasificación implica, asimismo, la aplicación de una clase concreta de auditoría o revisión del sistema, de tal forma que si, por ejemplo, una organización tiene un nivel de madurez bajo, no necesitará más que una autoevaluación para identificar el cumplimiento de los diferentes requisitos aplicables. En cambio, si el nivel es medio o alto, deberán realizar una auditoría independiente, de carácter bianual, y firmada por personal cualificado e independiente que verifique que el sistema implantado cumple con los requerimientos del Real Decreto.
Establecer una estrategia
Para cumplir con la normativa, tanto los organismos públicos como sus proveedores deberían implementar un Sistema de Gestión de Seguridad de la Información. El problema con el que se pueden encontrar muchas organizaciones es que, aunque el decreto se describe muy bien los diferentes controles que se deben implementar, y en qué consiste cada uno de ellos, en muchas ocasiones se trata de procesos complejos que hacen necesarios incorporar disposiciones adicionales que orienten la implantación de las medidas concretas. Además, la adaptación a la normativa lleva consigo no solo la implantación de todas las medidas y disposiciones, sino también su mantenimiento.
Por ese motivo, la incorporación al funcionamiento de una empresa u organismo de un Sistema de Gestión de Seguridad de la Información es esencial, ya que es el que se encarga de asegurar que se establezca un marco para gestionar todas las acciones obligatorias.