accesskey_mod_content

Deu anys de l'Esquema Nacional de Seguretat (ENS) al servei de la ciberseguretat del Sector Públic

08 gener 2020

Fruit d'un esforç col·lectiu liderat pel MPTFP-SGAD i el CNI-CCN, l'ENS ha suposat una fita en la ciberseguretat a Espanya i un referent per a altres països. En 2020 s'ha de mantenir tant l'esforç d'implantació de l'ENS, doncs la seva aplicació ajuda a una millor protecció enfront de les ciberamenazas, com de la seva adequació als reptes i tendències en ciberseguretat.

Tal dia com avui, fa deu anys, s'aprovava el Reial decret 3/2010, de 8 de gener, pel qual es regulava l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica. Vint-i-un dies després, el 29 de gener, es publicava en el Butlletí Oficial de l'Estat, BOE, establint els principis bàsics i els requisits mínims que, d'acord amb l'interès general, permetien una protecció adequada de la informació, les comunicacions i els serveis de les Administracions Públiques.

Posteriorment, en 2015, es va ampliar l'àmbit d'aplicació de l'a Esquema Nacional de Seguridad (ENS) tot el Sector Públic de la mà de la Llei 40/2015 i va ser modificat a través del RD 951/20105, de 23 d'octubre a la llum de l'experiència adquirida i del context normatiu comunitari, particularment del Reglament eIDAS . L'incloïa ENS de forma pionera, 75 mesures de seguretat d'obligat compliment per part del Sector Públic espanyol, tant en el marc organitzatiu, com a operacional i de protecció.

Una fortalesa que ha posicionat al nostre país com un referent en la Unió Europea i que és el resultat d'un esforç col·lectiu de les Administracions Públiques d'Espanya, amb la col·laboració del Sector Privat, que van contribuir activament a la seva elaboració i aplicació liderats pel Ministeri de Política Territorial i Funció Pública a través de la Secretaria General d'Administració Digital, SGAD , (en 2010 quan va ser aprovat, Ministeri de la Presidència) i el Centre Criptològic Nacional.

L'ENS s'ha convertit en la principal eina per enfortir la ciberseguretat en el Sector Públic i ha vingut acompanyat de 61 Guies CCN-STIC (Sèrie 800), 14 solucions de ciberseguretat desenvolupades pel CCN i 4 Instruccions Tècniques de Seguretat ( ITS ) publicades en el BOE sobre notificació d'incidents, Auditoria de la Seguretat en els Sistemes d'Informació, de conformitat amb el propi Esquema i de l'Informe de l'Estat de la Seguretat.

Precisament, per confeccionar aquest informe i poder establir un sistema de mesurament de la seguretat del Sector Públic, el CCN(Obre en nova finestra) va desenvolupar la solució INES (Informe Nacional de l'Estat de Seguretat) per facilitar d'una manera més ràpida i intuïtiu el seu nivell d'adequació al ENS . S'ha realitzat cinc edicions realitzades de l'informe INES i la sisena en curs. En 2019, 1006 entitats havien carregat les seves dades, enfront de les 799 d'un any abans. La valoració general que es desprèn de l'informe INES és que s'ha de mantenir l'esforç d'implantació de l'ENS, máxime quan es demostra que la seva aplicació ajuda a una millor protecció enfront de les ciberamenazas.

També en 2015 es van establir els criteris per aconseguir el compliment amb l'Esquema i la seva corresponent Declaració i Certificació de la Conformitat amb ENS el , de manera que la col·laboració de la SGAD i l'amb CCN l'Entitat Nacional d'Acreditació ( ENAC ) va donar lloc a l'esquema d'acreditació i certificació que ha permès que a la data hi hagi 8 entitats de certificació acreditades i al final de 2019 més de 160 entitats certificades (públiques i privades).

Finalment, i ja en 2018, es va crear el Consell de Certificació de l'Esquema Nacional de Seguretat ( CoCENS ), que el seu objectiu és ajudar a l'adequada implantació de l'i, ENS en conseqüència, a la millor i més garant prestació dels serveis públics.

ENS en revisió

En aquest moment d'aniversari cal realitzar una revisió de l'ENS en la qual, aprenent de l'experiència d'aquests deu anys, es pugui preparar l'Esquema per afrontar les noves amenaces; millorar les capacitats de vigilància i dissenyar respostes cada vegada més eficaces enfront dels atacs; per reduir la superfície d'exposició a vulnerabilitats i deficiències de configuració dels sistemes.

Per a això cal, primer, alinear l'ENS amb el marc legal i el context estratègic a la data de 2020 per facilitar la seguretat en l'administració digital; segon, introduir certa flexibilitat per facilitar l'aplicació de l'ENS a necessitats específiques de certs col·lectius d'entitats o tecnologies; i tercer, actualitzar l'ENS per facilitar la resposta a les tendències en ciberseguretat, reduir vulnerabilitats i promoure la defensa activa mitjançant la revisió, a la llum de l'estat de l'art, dels principis bàsics, els requisits mínims i les mesures de seguretat, incidint, en particular, en qüestions tals com el monitoratge dels sistemes, la vigilància amb eines de detecció d'amenaces avançades i correlació d'esdeveniments, i la disposició d'observatoris amb finalitats de cibervigilancia, aproximacions més específiques per a la notificació i gestió d'incidents, mesures per a la utilització de serveis en el núvol, i per ajudar a la protecció de dades personals segons l'indicat en la disposició addicional primera de la Llei Orgànica 3/2018.

  • Seguretat
  • Serveis electrònics