Tal día como hoy, hace diez años, se aprobaba el Real Decreto 3/2010, de 8 de enero, por el que se regulaba el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Veintiún días después, el 29 de enero, se publicaba en el Boletín Oficial del Estado, BOE, estableciendo los principios básicos y los requisitos mínimos que, de acuerdo con el interés general, permitían una protección adecuada de la información, las comunicaciones y los servicios de las Administraciones Públicas.
Posteriormente, en 2015, se amplió el ámbito de aplicación del Esquema Nacional de Seguridad (ENS) a todo el Sector Público de la mano de la Ley 40/2015 y fue modificado a través del RD 951/20105, de 23 de octubre a la luz de la experiencia adquirida y del contexto normativo comunitario, particularmente del Reglamento eIDAS. El ENS incluía de forma pionera, 75 medidas de seguridad de obligado cumplimiento por parte del Sector Público español, tanto en el marco organizativo, como operacional y de protección.
Una fortaleza que ha posicionado a nuestro país como un referente en la Unión Europea y que es el resultado de un esfuerzo colectivo de las Administraciones Públicas de España, con la colaboración del Sector Privado, que contribuyeron activamente a su elaboración y aplicación liderados por el Ministerio de Política Territorial y Función Pública a través de la Secretaría General de Administración Digital, SGAD, (en 2010 cuando fue aprobado, Ministerio de la Presidencia) y el Centro Criptológico Nacional.
El ENS se ha convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público y ha venido acompañado de 61 Guías CCN-STIC (Serie 800), 14 soluciones de ciberseguridad desarrolladas por el CCN y 4 Instrucciones Técnicas de Seguridad (ITS) publicadas en el BOE sobre notificación de incidentes, Auditoría de la Seguridad en los Sistemas de Información, de conformidad con el propio Esquema y del Informe del Estado de la Seguridad.
Precisamente, para confeccionar este informe y poder establecer un sistema de medición de la seguridad del Sector Público, el CCN desarrolló la solución INES (Informe Nacional del Estado de Seguridad) para facilitar de un modo más rápido e intuitivo su nivel de adecuación al ENS. Se ha realizado cinco ediciones realizadas del informe INES y la sexta en curso. En 2019, 1006 entidades habían cargado sus datos, frente a las 799 de un año antes. La valoración general que se desprende del informe INES es que se ha de mantener el esfuerzo de implantación del ENS, máxime cuando se demuestra que su aplicación ayuda a una mejor protección frente a las ciberamenazas.
También en 2015 se establecieron los criterios para alcanzar el cumplimiento con el Esquema y su correspondiente Declaración y Certificación de la Conformidad con el ENS, de forma que la colaboración de la SGAD y el CCN con la Entidad Nacional de Acreditación (ENAC) dio lugar al esquema de acreditación y certificación que ha permitido que a la fecha haya 8 entidades de certificación acreditadas y al término de 2019 más de 160 entidades certificadas (públicas y privadas).
Por último, y ya en 2018, se creó el Consejo de Certificación del Esquema Nacional de Seguridad (CoCENS), cuyo objetivo es ayudar a la adecuada implantación del ENS y, en consecuencia, a la mejor y más garante prestación de los servicios públicos.
ENS en revisión
En este momento de aniversario es preciso realizar una revisión del ENS en la que, aprendiendo de la experiencia de estos diez años, se pueda preparar el Esquema para afrontar las nuevas amenazas; mejorar las capacidades de vigilancia y diseñar respuestas cada vez más eficaces frente a los ataques; para reducir la superficie de exposición a vulnerabilidades y deficiencias de configuración de los sistemas.
Para ello es preciso, primero, alinear el ENS con el marco legal y el contexto estratégico a la fecha de 2020 para facilitar la seguridad en la administración digital; segundo, introducir cierta flexibilidad para facilitar la aplicación del ENS a necesidades específicas de ciertos colectivos de entidades o tecnologías; y tercero, actualizar el ENS para facilitar la respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la defensa activa mediante la revisión, a la luz del estado del arte, de los principios básicos, los requisitos mínimos y las medidas de seguridad, incidiendo, en particular, en cuestiones tales como la monitorización de los sistemas, la vigilancia con herramientas de detección de amenazas avanzadas y correlación de eventos, y la disposición de observatorios con fines de cibervigilancia, aproximaciones más específicas para la notificación y gestión de incidentes, medidas para la utilización de servicios en la nube, y para ayudar a la protección de datos personales según lo indicado en la disposición adicional primera de la Ley Orgánica 3/2018.