accesskey_mod_content

Dez anos do Esquema Nacional de Seguridade (ENS) ao servizo da ciberseguridade do Sector Público

08 xaneiro 2020

Froito dun esforzo colectivo liderado polo MPTFP-SGAD e o CNI-CCN, o ENS supuxo un fito na ciberseguridade en España e un referente para outros países. En 2020 hase de manter tanto o esforzo de implantación do ENS, pois a súa aplicación axuda a unha mellor protección fronte ás ciberamenazas, como da súa adecuación aos retos e tendencias en ciberseguridade.

Tal día como hoxe, fai dez anos, aprobábase o Real Decreto 3/2010, de 8 de xaneiro, polo que se regulaba o Esquema Nacional de Seguridade no ámbito da Administración Electrónica. Vinte e un días despois, o 29 de xaneiro, publicábase no Boletín Oficial do Estado, BOE, establecendo os principios básicos e os requisitos mínimos que, de acordo co interese xeral, permitían unha protección adecuada da información, as comunicacións e os servizos das Administracións Públicas.

Posteriormente, en 2015, ampliouse o ámbito de aplicación do Esquema Nacional de Seguridade (ENS) a todo o Sector Público da man da Lei 40/2015 e foi modificado a través do RD 951/20105, de 23 de outubro á luz da experiencia adquirida e do contexto normativo comunitario, particularmente do Regulamento eIDAS. O ENS incluía de forma pioneira, 75 medidas de seguridade de obrigado cumprimento por parte do Sector Público español, tanto no marco organizativo, como operacional e de protección.

Unha fortaleza que situou ao noso país como un referente na Unión Europea e que é o resultado dun esforzo colectivo das Administracións Públicas de España, coa colaboración do Sector Privado, que contribuíron activamente á súa elaboración e aplicación liderados polo Ministerio de Política Territorial e Función Pública a través da Secretaría Xeral de Administración Dixital, SGAD, (en 2010 cando foi aprobado, Ministerio da Presidencia) e o Centro Criptolóxico Nacional.

O ENS converteuse na principal ferramenta para fortalecer a ciberseguridade no Sector Público e veu acompañado de 61 Guías CCN-STIC (Serie 800), 14 solucións de ciberseguridade desenvolvidas polo CCN e 4 Instrucións Técnicas de Seguridade (ITS) publicadas no BOE sobre notificación de incidentes, Auditoría da Seguridade nos Sistemas de Información, de conformidade co propio Esquema e do Informe do Estado da Seguridade.

Precisamente, para confeccionar este informe e poder establecer un sistema de medición da seguridade do Sector Público, o CCN(Abre en nova xanela) desenvolveu a solución INES (Informe Nacional do Estado de Seguridade) para facilitar dun modo máis rápido e intuitivo o seu nivel de adecuación ao ENS. Realizouse cinco edicións realizadas do informe INES e a sexta en curso. En 2019, 1006 entidades cargaran os seus datos, fronte ás 799 dun ano antes. A valoración xeral que se desprende do informe INES é que se ha de manter o esforzo de implantación do ENS, máxime cando se demostra que a súa aplicación axuda a unha mellor protección fronte ás ciberamenazas.

Tamén en 2015 establecéronse os criterios para alcanzar o cumprimento co Esquema e a súa correspondente Declaración e Certificación da Conformidade co ENS, de forma que a colaboración da SGAD e o CCN coa Entidade Nacional de Acreditación (ENAC) deu lugar ao esquema de acreditación e certificación que permitiu que á data haxa 8 entidades de certificación acreditadas e ao termo de 2019 máis de 160 entidades certificadas (públicas e privadas).

Por último, e xa en 2018, creouse o Consello de Certificación do Esquema Nacional de Seguridade (CoCENS), cuxo obxectivo é axudar á adecuada implantación do ENS e, en consecuencia, á mellor e máis garante prestación dos servizos públicos.

ENS en revisión

Neste momento de aniversario é preciso realizar unha revisión do ENS na que, aprendendo da experiencia deste dez anos, póidase preparar o Esquema para afrontar as novas ameazas; mellorar as capacidades de vixilancia e deseñar respostas cada vez máis eficaces fronte aos ataques; para reducir a superficie de exposición a vulnerabilidades e deficiencias de configuración dos sistemas.

Para iso é preciso, primeiro, aliñar o ENS co marco legal e o contexto estratéxico á data de 2020 para facilitar a seguridade na administración dixital; segundo, introducir certa flexibilidade para facilitar a aplicación do ENS a necesidades específicas de certos colectivos de entidades ou tecnoloxías; e terceiro, actualizar o ENS para facilitar a resposta ás tendencias en ciberseguridade, reducir vulnerabilidades e promover a defensa activa mediante a revisión, á luz da estado da arte, dos principios básicos, os requisitos mínimos e as medidas de seguridade, incidindo, en particular, en cuestións tales como a monitorización dos sistemas, a vixilancia con ferramentas de detección de ameazas avanzadas e correlación de eventos, e a disposición de observatorios con fins de cibervigilancia, aproximacións máis específicas para a notificación e xestión de incidentes, medidas para a utilización de servizos na nube, e para axudar á protección de datos persoais segundo o indicado na disposición adicional primeira da Lei Orgánica 3/2018.

  • Seguridade
  • Servizos electrónicos
Punto de Acceso Xeral
 
Punto de Acceso Xeral