El sector público también se blinda ante los ciberataques

Qué es el Esquema Nacional de Seguridad (ENS)

Ante este panorama, existe el Esquema Nacional de Seguridad (ENS). Se trata del marco de referencia en materia de ciberseguridad en el sector público español, que establece los principios básicos y los requisitos mínimos que deben cumplir los sistemas de información de las administraciones públicas para garantizar la seguridad de la información que manejan y procesan. Y con el que todas las empresas que trabajan para la Administración Pública, ya sea de forma directa o indirecta, deben cumplir, especialmente en lo que se refiere a la protección de la información que manejan.

La primera versión del ENS fue aprobada el año 2010 (Real Decreto 3/2010). Desde entonces, el ENS ha sido objeto de varias actualizaciones y revisiones para adaptarlo a los nuevos retos y desafíos en materia de ciberseguridad, así como para asegurar que la Administración Pública dispone de un marco normativo actualizado y coherente con los estándares internacionales de seguridad.

En este sentido, mediante el Real Decreto 311/2022 en mayo de 2022 se aprobó la última actualización del ENS (denominada ENS 2022) como resultado de las siguientes motivaciones:

• Evolución de la ciberamenaza: La ciberamenaza es un fenómeno en constante evolución, con ataques cada vez más sofisticados y complejos. Es necesario actualizar periódicamente los requisitos de seguridad para hacer frente a estas nuevas amenazas.
• Cambios en el marco normativo: La regulación en materia de ciberseguridad ha experimentado cambios significativos en los últimos años, con la entrada en vigor de nuevas normativas como el Reglamento General de Protección de Datos (RGPD) o la Directiva NIS (Network and Information Security) de la Unión Europea.
• Incorporación de nuevas tecnologías: La rápida evolución tecnológica está dando lugar a la aparición de nuevas tecnologías que pueden suponer nuevos riesgos en materia de seguridad.

La versión 2022 del ENS sustituye a la versión anterior del ENS, y es de obligado cumplimiento para todas las administraciones públicas y entidades vinculadas a ellas en España.

¿Qué novedades planeta el ENS 2022?

La actualización del ENS trae consigo un cambio de visión, pasando de un modelo reactivo a un modelo en el que se dota de mayor importancia los mecanismos de prevención proactivos. Para ello, se introduce el principio de “Vigilancia Continua”, que consiste en evaluar permanentemente el estado de la seguridad para mejorar la detección temprana y proactiva de vulnerabilidades de ciberseguridad.

En línea con este nuevo principio, se destacan las siguientes novedades introducidas en el ENS 2022 respecto de la anterior versión:

• Introducción de la gestión de la seguridad en la cadena de suministros (proveedores y terceras partes).
• Fortalecimiento de los requisitos para la gestión de identidades y accesos, incluyendo la revisión periódica de los privilegios concedidos a los usuarios y la implementación de autenticación multifactor.
• Ampliación de las medidas de seguridad en el ámbito de la gestión de servicios en la nube, incluyendo la necesidad de llevar a cabo revisiones periódicas de los proveedores de servicios en la nube
• Inclusión de nuevas medidas para la gestión de la seguridad en el teletrabajo, como la necesidad de contar con políticas específicas de teletrabajo y la necesidad de llevar a cabo controles adicionales en dispositivos personales utilizados en el teletrabajo
• Inclusión de la necesidad de notificación de incidentes de seguridad en un plazo de 72 horas para aquellos incidentes que tengan un impacto significativo. Es importante destacar que esta obligación de notificación se extiende tanto a las administraciones públicas como a los prestadores de servicios que trabajen para ellas, y que estén sujetos al cumplimiento del ENS.

Modelos similares al ENS en otros países

Existen esquemas de seguridad similares al ENS en otros países, aunque pueden tener diferentes nombres y enfoques según la legislación y los contextos nacionales.

• Esquema Nacional de Seguridad de Portugal (ENES): se creó en 2014 y establece los requisitos de seguridad que deben cumplir las entidades del sector público portugués que gestionan información clasificada o sensible.
• Esquema Nacional de Seguridad de Italia (SNS): fue introducido en 2013 y establece las medidas de seguridad que deben aplicar las autoridades públicas y otras entidades que tratan información sensible en Italia.
• Esquema Nacional de Seguridad de Francia (ENS): establecido en 2011, este esquema se aplica a las entidades del sector público francés que manejan información clasificada o sensible.
• Esquema Nacional de Seguridad de Alemania (BSI): es el marco de referencia para la seguridad de la información en el sector público alemán. Establece los requisitos de seguridad que deben cumplir las entidades públicas y privadas que prestan servicios al sector público.
• Esquema Nacional de Seguridad de Dinamarca (NSIS): se introdujo en 2016 y establece los requisitos de seguridad que deben cumplir las entidades del sector público danés que gestionan información sensible.

Estos esquemas son ejemplos de cómo diferentes países y organizaciones abordan la seguridad de la información en el sector público. Aunque pueden tener diferencias en cuanto a enfoque y alcance, su objetivo principal es garantizar la seguridad y protección de los sistemas de información utilizados por la Administración Pública.

Retos para las administraciones y organizaciones en la adecuación al ENS 2022

La adecuación al ENS 2022 plantea varios retos a las organizaciones del sector público y a los prestadores de servicios que trabajan para ellas. Entre los principales retos destacan los siguientes:

• Adaptación a los nuevos requisitos: La nueva versión del ENS introduce una serie de novedades y cambios. Es clave que las organizaciones analicen estos cambios, identifiquen el impacto que pueda tener y busquen soluciones que se adecuen a su situación actual y contexto.
• Identificación y gestión de riesgos: La gestión de riesgos es un aspecto fundamental en el cumplimiento del ENS, por lo que es necesario que las organizaciones sean capaces de identificar y evaluar los riesgos asociados a su infraestructura y sistemas de información, y establecer medidas de mitigación y control para reducir su impacto.
• Recursos y presupuesto: La implementación y mantenimiento del ENS, al igual que otras certificaciones en la materia, requiere de recursos humanos y presupuesto adecuados, por lo que es importante que las organizaciones cuenten con los medios necesarios para llevar a cabo las acciones requeridas en materia de seguridad de la información.
• Coordinación y colaboración: El cumplimiento del ENS implica la coordinación y colaboración entre diferentes áreas y departamentos de la organización, así como con otros prestadores de servicios y organismos del sector público, por lo que es necesario establecer mecanismos de comunicación y coordinación efectivos.

Para afrontar estos retos, el CCN (Centro Criptológico Nacional, el organismo responsable de la ciberseguridad en el sector público) ofrece a las administraciones y organizaciones una serie de guías y recursos para ayudar a entender los requisitos de adecuación al ENS y a implementar las medidas necesarias.

La siguiente figura muestra las principales guías y recursos facilitados por el CCN:

La adecuación al ENS 2022 supone un reto importante para las organizaciones del sector público y para los prestadores de servicios que trabajan para ellas, pero también representa una oportunidad para mejorar la gestión de la seguridad de la información y garantizar una mayor protección de los datos y sistemas críticos.