El pasado martes 3 de mayo el Consejo de Ministros aprobó la actualización del Esquema Nacional de Seguridad (ENS). Se trata de un conjunto de medidas y políticas de seguridad para el ámbito de la Administración Pública, vinculado a los sistemas de información y medios electrónicos. Y ojo, esto también involucra a los proveedores que dan servicio a la Administración Pública.
En este documento se recogen los que se consideran los requisitos mínimos y los principios más básicos para proteger adecuadamente la información que se trata en este contexto.
Con esta actualización, contemplada en el Plan Nacional de Ciberseguridad, se sustituye lo que se estableció hace ya 12 años, en el 2010. Todos los cambios han entrado en vigor a través del Real Decreto 311/2022, en un momento especialmente sensible para el Gobierno, marcado por la polémica que ha generado el malware Pegasus.
¿Por qué se ha decidido actualizar el Esquema Nacional de Seguridad en 2022?
En primer lugar, por razones de adecuación a la normativa vigente. Esta actualización era necesaria para poder cumplir con el Real Decreto de Ciberseguridad 5G y también para responder al compromiso asumido por España en relación con las reformas que se han pactado en la Comisión Europea en este sentido.
Pero las motivaciones de esta actualización, que se pueden consultar en detalle aquí, van mucho más allá. Desde 2010 se han producido muchos avances en relación con los medios electrónicos que están a nuestro alcance, pero también se han incrementado sobremanera las ciberamenazas.
Introducir los cambios necesarios para crear un verdadero clima de confianza y seguridad se había vuelto, en estos momentos, imprescindible. Sobre todo, porque son numerosas las entidades privadas que colaboran de alguna manera con la Administración en la prestación de servicios o suministrando tecnologías.
En resumen, podemos decir que estas han sido las razones más importantes que han llevado al Gobierno a poner en marcha esta actualización del ENS:
- Incremento del número de ciberincidentes y ciberamenazas y de su intensidad.
- Avance tecnológico y generalización de la transformación digital.
- Evolución del marco legal.
- Mayor implantación del ENS.
- Conocimiento y experiencia heredados de la aplicación del anterior ENS.
- Más volumen de información, guías y servicios procedentes del Centro Criptológico Nacional (CCN-CERT).
Los objetivos del nuevo ENS
Entrando más de lleno en los objetivos específicos de la actualización del ENS, nos encontramos con estas tres líneas estratégicas:
1. Los perfiles de cumplimiento
Para conseguir una mejor y más eficiente adaptación al ENS, ahora se da la posibilidad de adaptar sus requisitos según cuales sean las necesidades específicas en cada momento. Así, por ejemplo, se pueden ajustar por tipos de entidades (universidades, organismos pagadores, entidades locales, etc.) o por ámbitos tecnológicos concretos, como los servicios en la nube.
Estos perfiles de cumplimiento específicos hacen posible suprimir o añadir determinadas medidas, subir o bajar el nivel de exigencia y proponer la introducción de medidas adicionales de vigilancia si fuera necesario.
2. El protocolo de actuación ante ciberincidentes
En este caso, se pretende articular una respuesta común ante los posibles incidentes de ciberseguridad que puedan producirse. Este protocolo consta de las siguientes acciones:
- Obligatoriedad de notificar al CCN-CERT cualquier incidente.
- Determinación técnica del nivel de riesgo por parte del CCN-CERT.
- Indicación de los pasos a seguir y las medidas a implementar tras el ciberincidente.
3. Nuevo sistema de codificación de los requisitos de las medidas de seguridad
Las medidas que se pongan en marcha, en cualquier caso, han de garantizar la seguridad de los sistemas de información implicados. Este nuevo ENS pretende incrementar esa garantía y facilitar su implantación y la auditoría posterior. Y busca hacerlo de una forma proporcionada, objetivo por el cual se han dividido los requisitos de estas medidas de seguridad en requisitos base y requisitos de refuerzo, que se pueden añadir a los básicos y combinarse entre sí como se requiera.
En la práctica: los principales cambios en el ENS y sus implicaciones
¿Cómo afecta todo esto a las entidades vinculadas digitalmente con la Administración? A las muchas empresas que se encuentran en esta situación les conviene conocer cómo en la práctica les van a afectar estos cambios en el ENS.
En principio, el nuevo real decreto y todas las modificaciones que contempla pueden parecer demasiados complejos de interpretar. Para contribuir a su comprensión, a continuación resumimos cuáles son los cambios más importantes y sus implicaciones:
- Introducción del concepto de vigilancia continua: dentro de los principios básicos del ENS, se ha evolucionado del método prevención-reacción-recuperación a uno más completo, consistente en las fases de prevención, detección, respuesta y conservación.
- Modificación de terminología: de la seguridad por defecto se pasa al mínimo privilegio. Esto implica otorgar a cada usuario los mínimos permisos de acceso necesarios para el desempeño de su labor, ni más ni menos.
- Se contemplan aún más los servicios en la nube: en el contexto del marco operacional, se tienen en cuenta estos servicios como una nueva familia diferenciada de medidas dentro del ENS 2022.
- Cambios relativos a las medidas de seguridad: de todas las medidas ya existentes en la anterior versión del ENS, 20 aumentan ligera o considerablemente su nivel de exigencia, 6 se han simplificado y 9 se han eliminado. Aparte, se han introducido 6 nuevas medidas, por ejemplo, la interconexión de sistemas o la vigilancia.
En definitiva, todos estos cambios buscan promover una vigilancia continua y unas medidas de seguridad y mecanismos de respuesta óptimos. Y el objetivo último no es otro que conseguir una mayor adecuación al marco jurídico, estratégico y tecnológico actual.
*Accede a las 7 infografías que resumen el nuevo Esquema Nacional de Seguridad.
