Skip to content

Habemus Esquema Nacional de Seguridad. A cargo de Pablo García-Girón Pérez

AD 67/2022

Habemus Esquema Nacional de Seguridad

 

Resumen: El presente artículo tiene por objeto informar sobre las principales novedades que ha supuesto la entrada en vigor del nuevo Esquema Nacional de Seguridad, así como sobre el contexto que ha precedido a su elaboración. Concluiremos que esto implica la necesidad de afrontar una serie de retos en términos de ciberseguridad heredados por los tiempos que nos ha tocado vivir.

El apartado I., pretende establecer unas notas básicas sobre ese contexto que ha precedido a la elaboración del nuevo ENS. Como continuación, el apartado II., define las principales circunstancias que han provocado la necesidad de actualizar la norma.

En el apartado III., el autor pretende establecer algunos conceptos básicos para entender la cuestión, explicar qué es el Esquema Nacional de Seguridad, qué supone para las entidades del sector público, y por extensión para el sector privado, así como valorar qué son los sistemas de información, concepto fundamental para la norma.

En el apartado IV., el autor entra a valorar cuáles son las novedades más importantes, bajo su punto de vista, que ha supuesto la publicación del nuevo Esquema Nacional de Seguridad, poniendo un especial acento en lo que a la contratación de servicios en la nube puede suponerles a los proveedores del sector privado.

Finalmente, en el apartado V., se establecen unas conclusiones básicas del estudio que se ha llevado en a cabo en el presente artículo.

Abstract: The purpose of this article is to report on the main developments brought about by the entry into force of the spanish new National Security Scheme, as well as on the context that preceded its development. We will conclude that this implies the need to face a series of challenges in terms of cybersecurity inherited from the times in which we live.

Section I. aims to establish some basic notes on the context that preceded the drafting of the new ENS. Section II defines the main circumstances that have led to the need to update the standard.

In section III, the author aims to establish some basic concepts for understanding the issue, explaining what the National Security Scheme is, what it means for public sector entities and, by extension, for the private sector, as well as assessing what information systems are, a fundamental concept for the standard.

In section IV, the author assesses the most important new features, from his point of view, that the publication of the new National Security Scheme has entailed, placing special emphasis on what the contracting of cloud services may mean for private sector providers.

Finally, section V. draws some basic conclusions from the study carried out in this article.

Palabras clave: Seguridad de la información, Administración Pública, Sector Público, Esquema Nacional de Seguridad, ENS, Reglamento General de Protección de Datos, RGPD, Ciberseguridad, Ciberguerra, Ransomware., Sistemas de Información, ISO 27001, Servicios en Nube, Computación en la Nube.

Key Words: Information Security, Public Administration, Public Sector, National Security Scheme, ENS, GDPR, General Data Protection Regulation, Cybersecurity, Cyberwarfare, Ransomware, Information Systems, ISO 27001, Cloud Services, Cloud Computing.

Índice

I. Introducción. II. ¿Por qué un nuevo ENS?: motivos para una actualización. III. ¿Qué es el Esquema Nacional de Seguridad? Los sistemas de información de la Administración Pública en la era de la ciberguerra. IV. Novedades del ENS. A) Ámbito de aplicación. B) Cumplimiento a varias velocidades. C) Actualización de los principios y medidas de seguridad. D) Gestión de la notificación de incidentes de seguridad. E) Contratación de servicios en la nube. V. Conclusiones. VI. Referencias.

1.- Introducción

El pasado 4 de mayo vislumbramos la “fumata blanca” con el anuncio oficial de la publicación en el Boletín Oficial del Estado, como si de una plaza San Pedro virtual se tratara, del Real Decreto 311/2022 por el que se regula el nuevo Esquema Nacional de Seguridad (en adelante, ENS). Un cuerpo normativo compuesto por 41 artículos, 3 disposiciones adicionales, 1 disposición transitoria, 1 disposición derogatoria, 3 disposiciones finales y 4 anexos.

Estamos hablando, en total, de un conjunto de 90 páginas que trata de actualizar la gestión de la seguridad en la administración pública para enfrentar un mundo que ha cambiado mucho desde el año 2007 en que se promulgó la Ley de Acceso Electrónico (en adelante, LAE), para ser derogada posteriormente por la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, uno de los pilares de la normativa aplicable al sector público junto con la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que actuaba como nave nodriza de la normativa que tenemos entre manos. De esta forma, esas tres normas (las 39 y 40/2015, y el nuevo ENS) están llamadas a ser el nudo gordiano de la legislación digital de las Administraciones Públicas (en adelante, AAPP).

Por tanto, una vez derogada la LAE, no tenía mucho sentido mantener por mucho tiempo en vigor un ENS que no miraba a los ojos de una sociedad digital cuyas amenazas se han sofisticado, proliferado y recrudecido. Especialmente con la generalización de ataques informáticos provenientes de otros Estados soberanos y, lo que es peor, la autoconsciencia que conduce a la normalización para el ciudadano de a pie de que esta situación está ocurriendo realmente, y no es sólo propio de entretenidas series de televisión basadas en argumentos conspiranoicos. Tal y como nos anunciaba Jonathan Nolan en “Persons of interest” con la sociedad vigilada del sistema Echelon, que acabó derivando en uno de los mayores escándalos políticos de los servicios de inteligencia norteamericanos, parece que “Mr Robot” ha sido superada en sólo unos años desde su cancelación. Una vez más, la realidad supera con creces a la ficción, en un mundo en que no serás nadie, si nadie te ha espiado.

 

II.- ¿Por qué un nuevo ENS?: motivos para una actualización

La derogación de la LAE no es el único motivo por el que surgía la necesidad de dotar a las AAPP de un nuevo cuerpo normativo que actualizase la situación en que se encontraban sus principios y requisitos de seguridad. Hay una serie de circunstancias que han propiciado la aparición de nuevos documentos normativos que, a su vez, han conducido a la necesidad de esa actualización:

  • Nuevas realidades tecnológicas: Si por algo se ha caracterizado la primera década de los “dosmiles” ha sido por el asentamiento de una serie de tecnologías auténticamente disruptivas que han cambiado la forma en que vivimos. Palabras como “nube”, “inteligencia artificial”, “blockchain” o “big data” se han generalizado en el vocabulario de ámbitos tanto profesionales como neófitos. Además, uno de los elementos más poderosos a la hora de observar la afluencia, e influencia también, de estas nuevas tecnologías, tanto a nivel nacional como comunitario, en materia de seguridad de la información, tiene que ver con la progresión que ha seguido el mundo interconectado. La digitalización de muchos aspectos de la sociedad, que ha conducido al enrutamiento de elementos cotidianos (televisores, teléfonos móviles, neveras, etc), no sólo del sector público sino también del privado, ha conducido a un proceso de interdependencia que, inevitablemente, multiplica los riesgos en seguridad informática. No sólo esto, tampoco podemos olvidar que nos encontramos en plena fase de despliegue y adaptación a la tecnología del 5G, lo que supone una serie de retos para las AAPP. Con respecto a esto, es importante mencionar también la publicación del Real Decreto-ley 7/2022 sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, lo que indica la importancia que este tipo de tecnología va a suponer para la en términos de ciberseguridad. Veremos más adelante que el propio ENS no es ajeno a la existencia de la próxima generación de velocidad e intercambio de información, de tal manera que se pronuncia explícitamente sobre ello.

 

  • Incremento de ciberataques[1]: La existencia de estos riesgos, junto con las amenazas tradicionales del mundo online que ya conocíamos, y las que han aparecido con motivo de la aplicación de las nuevas tecnologías, han supuesto un incremento en el número de ciberataques sufridos por empresas y AAPP como reflejo del incremento de esos riesgos que, a su vez, son motivados por la digitalización e interconexión social. Así, hemos observado en el último lustro cómo se han multiplicado los ataques de malware[2]. Uno de los más mediáticos que hemos conocido ha sido el ransomware, el cual ha afectado tanto al sector público como al privado[3] con consecuencias catastróficas para sus víctimas, quienes no parece que estuviesen tan preparadas en términos de disponibilidad de la información, algo que dábamos todos por hecho. Parece ser que contar con una buena estrategia de copias de seguridad en una Organización es tan sencillo como encontrar sangre de unicornio. En este sentido, recientemente se han cumplido 5 años del infame Wannacry, el considerado primer gran ataque de ransomware el cual afectó a la red interna de Telefónica comprometiendo datos y ficheros de la entidad. Posteriormente conocíamos que la multinacional de telecomunicaciones española no era la única afectada por este malware, habiéndose recibido ataques también en el Servicio Público de Empleo Estatal.

 

  • Ciberguerra: Otra de las circunstancias que ha servido de campo de abono para que los legisladores, nacionales y comunitarios, hayan puesto todas las alertas en dotar a los Estados Miembros (en adelante, EEMM) de un paquete de normas sobre seguridad informática, se trata de la traslación que se ha producido de los conflictos bélicos tradicionales al ámbito del mundo online, esto es, lo que ha venido en llamarse “ciberguerra”. Estamos hablando de ataques informáticos coordinados entre países, como por ejemplo ha ocurrido en el reciente conflicto provocado por la invasión de Ucrania por parte de Rusia[4], donde los atacantes no son hacktivistas ni informáticos escondidos en los sótanos de sus casas, sino plantillas de funcionarios formados y contratados por los ministerios de defensa de estados soberanos.

 

  • Concienciación en la Administración: Un aspecto a tener muy en cuenta tiene que ver con lo relativo al grado de concienciación existente entre las AAPP sobre el tipo de información que están tratando, así como la necesidad de protegerla. En este sentido, por la propia idiosincrasia del sector público, es complicado recurrir a la estrategia del palo y la zanahoria que autoridades como la Agencia Española de Protección de Datos han desplegado sobre el sector privado, lo que merma la capacidad intimidatoria de los organismos auditores sobre este tipo de administrados. Es complicado explicarle a una AP que debe tener en cuenta la seguridad de la información que está tratando porque puede incurrir en un riesgo reputacional, por ejemplo, dado que su mercado, y sus consumidores, son uno de los más particulares que se pueden encontrar.

 

  • Actualización normativa: Desde el año 2015 en que se produjo la derogación de la LAE, hacía falta actualizar el ENS que había sido concebido, en origen, dentro del seno de dicha Ley. Asimismo, es coherente con lo establecido en el Capítulo VI de la norma, respecto de la necesidad de llevar a cabo actualizaciones del ENS para adecuarse a la evolución tecnológica.

 

  • Adecuación de la norma al nuevo contexto normativo que ha sido generado por la actualización de la Estrategia Nacional de Ciberseguridad y del Plan Nacional de Ciberseguridad. Además, esta actualización también se enmarca en la ejecución del Plan de Digitalización de las Administraciones Públicas 2021-2025 y el Plan de Recuperación, Transformación y Resiliencia, dos estrategias fundamentales para conseguir la digitalización de las AAPP.

En conclusión, parece claro que el contexto en el que debe jugar el Esquema Nacional de Seguridad había propiciado la necesidad de actualizar la norma para adaptarse a una serie situaciones que han cambiado mucho desde la concepción que teníamos sobre lo que era el mundo digital y las ciberamenazas allá por el año 2007.

 

III. ¿Qué es el Esquema Nacional de Seguridad? Los sistemas de información de la Administración Pública en la era de la ciberguerra

El ENS es la norma de la que se dotaron las AAPP para determinar la política de seguridad que debía regir en la utilización de los medios electrónicos por parte de las entidades que se encuentran afectadas por su ámbito de aplicación. La política de seguridad se concreta en un conjunto de principios básicos y requisitos mínimos de seguridad que tienen por objetivo garantizar la seguridad de la información tratada por sus sistemas de información. Esa garantía se concreta en una serie de dimensiones de seguridad, el DICAT (acrónico de Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad).

Tres años antes, en 2007, se había producido la publicación de la LAE, una norma que tenía por objeto modernizar las relaciones entre las administraciones públicas y los ciudadanos, fomentando que éstos últimos recurriesen a la Administración electrónica para gestionar sus trámites. Este objetivo, como es evidente, sólo podía conseguirse a través de un soporte legal que contemplase las medidas de seguridad que iban a proteger la información.

El ENS es una norma desarrollada, fundamentalmente, por el Centro Criptológico Nacional (CCN) en colaboración con las AAPP, quienes están representadas por el Grupo de trabajo del ENS, formado a tal efecto. Este grupo está compuesto por representantes de todo el sector público, donde podemos encontrar universidades públicas, industria del sector TIC, las propias AAPP, etc.

En resumen, podríamos decir que el ENS lo que está persiguiendo es que exista un marco de seguridad reconocible que aporte confianza al ciudadano a la hora de recurrir a los medios electrónicos en su relación con las AAPP, es decir, el objetivo principal que tenía la LAE. Además, establece un “protocolo de comunicación”, en términos de seguridad, de tal manera que los distintos sistemas de información del sector público no sean ajenos entre sí, sino que tengan la capacidad de comunicarse entre sí en términos de inteligibilidad, lo que viene siendo, fomentar su interoperabilidad de cara a otras AAPP, pero también de cara al ciudadano.

Cuando observamos el antiguo ENS lo primero que llama la atención es su semejanza con una norma ISO de la serie 27000, es decir, la rama de la normativa ISO que se encarga de la seguridad de la información. Es este el espíritu que el legislador quiso aportar a la norma, de tal manera que las AAPP pudieran dotarse a sí mismas de un esquema de certificación en seguridad informática que pudiese estar a la altura de una norma tan reconocida internacionalmente como las ISO, aunque es cierto que no se produjo una equivalencia total entre ambas normativas, dado que la ISO 27001 de aquél entonces tenía unos pocos controles de más (por ejemplo en lo relativo a proveedores) que no encontraban una correlación directa con el ENS.

Este conjunto de medidas se articulaba alrededor de un concepto fundamental: los sistemas de información. En este sentido, los sistemas de información se definen por el nuevo ENS como cualquiera de los siguientes elementos:

  • Redes de comunicaciones electrónicas sobre las que las AAPP tengan capacidad de gestión.
  • Todo dispositivo, o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales.
  • Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los puntos anteriores, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de estos.

Es interesante observar cómo ha cambiado la definición de lo que se entendía por estos sistemas, elemento básico y central de esta normativa. En el antiguo ENS se establecía que un sistema de información era “el conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, poner a disposición, presentar o transmitir”. Esto suponía una definición mucho más amplia sobre lo que podía considerarse como integrado dentro del paraguas del sistema de información que, sin embargo, no tenía en cuenta el tercer elemento de la nueva definición, “los datos digitales” como entidad propia.

También es importante mencionar la relación que tiene el ENS con el RGPD, normativa básica en la legislación sobre tratamiento de datos de carácter personal. En este sentido, ambas normas son complementarias, dado que el RGPD también es de obligado cumplimiento para las AAPP, a pesar de que las consecuencias punitivas sean muy diferentes a las de una entidad del sector privado.

Respecto del contexto geopolítico que se ha encontrado el nuevo ENS, en los últimos meses, todos hemos sido testigos del conflicto armado que se ha producido con la invasión que Rusia ha llevado a cabo sobre el territorio soberano ucraniano, lo que ha conducido a una situación de inestabilidad generalizada en todos los ámbitos socioeconómicos. Pero esta situación no es novedosa para el mundo de la ciberdefensa, dado que Rusia ha llevado a cabo una guerra sumergida en el territorio online, a través de una red de atacantes informáticos, desde hace años. No es extraño que el propio presidente de los Estados Unidos[5] , Joe Biden, avisara a sus aliados sobre la necesidad de proteger sus “fronteras” digitales, pues los hackers rusos son ya viejos conocidos[6].

Por tanto, la actualidad nos ha sobrepasado respecto del reto que debe asumir el nuevo ENS de proveer a las AAPP de herramientas suficientes para ser capaces de asumir su función de servicio público en condiciones de seguridad en un mundo cuyas amenazas han cambiado de forma radical.

No sólo esto, los ciberatacantes no sólo se encuentran dentro de grupos hacktivistas o en el territorio de una potencia extranjera, sino también dentro de nuestras propias fronteras, tal y como hemos visto en los últimos días con el escándalo Pegasus[7] cuyas responsabilidades todavía se están dirimiendo a nivel político y, previsiblemente, judicial.

 

IV.-  Novedades del ENS

A continuación, procederé a explicar sucintamente cuáles han sido las principales novedades, o las que considero más relevantes, del nuevo ENS.

A) Ámbito de aplicación

En primer lugar, el nuevo ENS se aplica a todo el sector público y a los sistemas de información de las entidades del sector privado que presten servicios a este, tal y como se describe en el Capítulo 1 de la norma, artículo 2 del nuevo ENS (lo que realmente nos interesa se encuentra en el artículo 2.3). En este sentido, hay materias que, por su especial sensibilidad, se encuentran excluidas del ámbito de aplicación del ENS, como es el caso de la información clasificada.

Esta es una de las principales novedades del nuevo ENS, ya que se ha conseguido que los proveedores de tecnología de las AAPP sean considerados como parte afectada por el ENS. Esto es un movimiento interesante para garantizar que estas empresas se encuentran en las mismas conficiones que las AAPP para proteger la información del ciudadano, pero también de cara a la regulación prevista en el RGPD respecto del principio de responsabilidad activa sobre los encargados de tratamiento, lo que no deja de tener sentido si tenemos en cuenta que el espíritu del ENS es el de dotar de una norma ISO 27001 a la AP, y la cuestión de la cadena de proveedores era uno de los aspectos que no estaban correlacionados entre ambas normativas. Obviamente, esto también supone que cualquier empresa que quiera licitar a un contrato público deberá cumplir con el ENS.

Con respecto a la normativa de protección de datos personales, el ámbito de aplicación que absorbe a los proveedores de servicios de las AAPP no es el único elemento que se ha movido en este sentido. También se reconocen obligaciones explícitas del RGPD, como la obligación de realizar análisis de riesgos cuando el sistema de información realice tratamientos de datos personales.

Asimismo, también se encuentran dentro del ámbito de aplicación de la norma aquellas entidades del sector público que lleven a cabo la instalación, despliegue y explotación de redes de nueva generación. Esto significa que el nuevo ENS se remite a la normativa sobre garantía de la seguridad de las comunicaciones electrónicas de nueva generación de cara a cubrir la seguridad sobre la posible instalación, despliegue o explotación de redes o servicios de 5G. No deja de ser una evidencia más de la necesidad que tenía la normativa de acercarse a una nueva realidad tecnológica.

 

B) Cumplimiento a varias velocidades

Se han introducido “perfiles de cumplimiento”, lo que supone la capacidad de desplegar herramientas para que las AAPP puedan modular las exigencias de cumplimiento del ENS a sus necesidades concretas, o a las necesidades de sus sistemas de información.

En este sentido el ENS[8] define el perfil de cumplimiento como el conjunto de medidas de seguridad, comprendidas o no en el Anexo II (…) que, como consecuencia del preceptivo análisis de riesgos, resulten de aplicación a una entidad o sector de actividad concreta y para una determinada categoría de seguridad, y que haya sido habilitado por el CCN.

La idea que ha tenido el legislador es la de recoger un conjunto de riesgos de los sistemas de información que son considerados como similares, para que las entidades titulares de estos sistemas puedan cumplir con el ENS con un conjunto de requisitos que les permitan diferenciarse de otros sistemas con un conjunto de riesgos diferentes, de tal manera que se permita “alcanzar una adaptación del ENS más eficaz y eficiente, racionalizando los recursos requeridos sin menoscabo de la protección perseguida y exigible[9]”.

 

C) Actualización de los principios y requisitos de seguridad

De los antiguos principios básicos de seguridad, el único que supone una novedad en el nuevo ENS es el relativo a la “vigilancia continua”, que no deja de ser una reformulación del antiguo principio de “prevención, reacción y recuperación” de tal forma que se intenta fomentar el esfuerzo en la detección de actividades extrañas por parte de los usuarios que accedan a los sistemas de información de las AAPP. Esto supone una medida de seguridad que cada vez es más aceptada en el campo de la seguridad de la información, de tal manera que se abandone el antiguo mantra de revisar exclusivamente los accesos de usuarios en horarios laborales ordinarios y se extienda esa monitorización hacia horarios no habituales.

Además, también se ha realizado una nueva redacción respecto del principio de “responsabilidades diferenciadas” para segregar los aspectos relativos al responsable de la seguridad, el responsable de la información y al responsable del sistema de tal manera que una persona no pueda ostentar varios roles bajo su paraguas. Al lector avispado no se le habrá escapado que este principio es idéntico al clásico principio de “segregación de funciones”, que contiene la normativa ISO.

El legislador también hace una labor de identificar nuevos escenarios de riesgo, por ejemplo, se habla de la captación de información a través de emisiones electromagnéticas, lo que supondría tener la capacidad de “ver” lo que está reproduciendo un monitor, en una habitación distinta de la que nos encontramos, mediante las “lecturas” del espectro radioeléctrico que está emitiendo ese equipo.

Respecto de la revisión de la seguridad, es novedosa la previsión que el nuevo ENS hace respecto de la intervención de la Comisión Sectorial de la Administración Electrónica como el órgano competente para recopilar la información necesaria sobre las variables de la ciberseguridad en las AAPP. Con esta información se elaborará un informe de la seguridad cuyos resultados serán utilizados por las autoridades competentes para definir las medidas necesarias tendentes a garantizar la seguridad de la información.

Sobre los requisitos de seguridad, se añaden algunos artículos al Capítulo III como el de mínimo privilegio (artículo 20) y el de integridad y actualización del sistema (artículo 21). Así, en el primer caso se consagra el principio de mínimo privilegio de acceso a la hora de diseñar y configurar los sistemas de información, de tal manera que el usuario deba justificar los privilegios de acceso que necesita con motivo de la gestión de sus funciones diarias en el ejercicio de su trabajo. El segundo implica que la inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema deberá requerir una autorización formal previa.

Por último, aparecen nuevos capítulos en el Anexo II de medidas de seguridad, como el dedicado a los servicios en la nube.

 

D) Gestión de la notificación de incidentes de seguridad

Se profundiza en el proceso de notificación de incidentes introduciendo el uso de la Plataforma de Notificación y Seguimiento de Ciberincidentes (con motivo de las implicaciones que contempla el Real Decreto 43/2021 que desarrolla el RDL 12/2018). En este sentido, el artículo 33 sobre capacidad de respuesta a incidentes de seguridad establece que las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información afectados.

Es interesante contemplar cómo se utiliza el término “impacto significativo”, lo que supone que no será necesario notificar cualquier tipo de incidente de seguridad. Además, el artículo hace una mención al RDL 12/2018, estableciendo la notificación al CCN como regla general, sin perjuicio de lo que pueda establecer la otra norma. Por tanto, habrá que estar atentos a ambas disposiciones a la hora de gestionar la notificación del incidente.

Respecto de las organizaciones del sector privado que presten servicios a entidades públicas, el canal de comunicación será el CERT de INCIBE, quien, posteriormente, lo pondrá en conocimiento del CERT adscrito al CCN.

 

E) Contratación de servicios en nube

Posiblemente, la revolución tecnológica más relevante, o con un impacto más transversal que ha tenido lugar desde la irrupción de la web 2.0, haya sido la proliferación de soluciones de trabajo en nube, el cloud computing.

Se trata de una solución que permite al usuario tener una disponibilidad sobre su información y recursos casi absoluta, generando economías de escala al encontrarse externalizando todo el servicio de hardware, alojamiento e incluso software. En este sentido, no sólo el sector privado se ha visto revolucionado por la llegada de esta tecnología, sino que cada vez son más los proyectos que llegan a las AAPP para gestionar trabajo administrativo, o incluso prestaciones sociales, apoyándose en soluciones de nube.

Tal es la importancia y generalización de estos servicios que el nuevo ENS recoge una mención al mismo en el artículo 30.4, dentro de lo que corresponde a los perfiles de cumplimiento. Así, el apartado 4 explica que será competencia del CCN-STIC le elaboración de instrucciones técnicas de seguridad o, en su caso, guías de seguridad, donde se establezcan las condiciones a las que deberán acogerse las AAPP al utilizar este tipo de servicios.

Además, se elabora un nuevo apartado 4.5 sobre Servicios en la nube, donde destacan los siguientes aspectos:

  • Cuando se utilicen servicios en la nube suministrados por terceros, los sistemas de información que los soportan deberán ser conformes con el ENS o cumplir con medidas desarrolladas por el CCN en sus guías. En este sentido, se incluye un contenido mínimo:
    • Auditoría de pruebas de penetración: contempla expresamente la necesidad de realizar pruebas de hacking ético.
    • Transparencia: con respecto a las condiciones y responsabilidades del proveedor, lo que deviene en un mayor control por parte del cliente. Esto deriva de la teoría que la Agencia Española de Protección de Datos ha venido elaborando en sus guías sobre servicios en la nube, donde establece que a mayor transparencia en el servicio, menor pérdida de control sobre sus datos tiene el responsable del tratamiento.
    • Cifrado y gestión de claves: es un tema muy relevante por cuanto incide en la confidencialidad de los datos subidos a la nube, así como en la posibilidad de que se realicen cesiones y transferencias internacionales no autorizadas sobre los datos. Básicamente, la cuestión gira entorno a la posibilidad de que el proveedor posea las claves de descifrado de los datos, situación que hay que evitar y señalar como tal en el contrato o pliegos de contratación del servicio.
    • Jurisdicción de los datos.

 

  • Cuando se utilicen servicios en la nube suministrados por terceros, el ENS establece la necesidad de conllevar una certificación bajo metodología reconocida por el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de Información. Esto implica que los proveedores de servicios en nube que quieran optar por una posición ante la AP, deberán aportar este tipo de certificaciones de seguridad sobre sus sistemas.

V.- Conclusiones

De acuerdo con lo analizado en el artículo, parece que es posible extraer las siguientes conclusiones:

  • Se hacía imperioso actualizar el antiguo ENS a una nueva realidad marcada por un refinamiento en amenazas de ciberseguridad que, a día de hoy, van dirigidas directamente contra las AAPP con el objetivo de afectar a los servicios públicos de la nación.
  • Vivimos en la era de la ciberguerra, un tiempo donde los países dan formación a su personal militar para tener equipos de hackers que lancen ataques coordinados contra objetivos civiles y militares de otros países. El nuevo ENS debe poder hacer frente a estas amenazas. Parece que ha profundizado en algunos aspectos, como el de la seguridad en la nube, pero la sensación general es que todavía queda mucho camino por andar. En este proceso tendrá una enorme relevancia el CCN y sus guías de seguridad.
  • A partir de ahora, las empresas del sector privado que quieran suministrar servicios a las AAPP deberán ponerse las pilas a la hora de demostrar que cumplen con el nuevo ENS. Será requisito esencial para poder licitar en un concurso público, con lo que, es probable, veremos una nueva fiebre por la certificación en servicios ENS que sustituirá, o se solapará, a la fiebre por la certificación en el RGPD.

Pablo García-Girón Pérez

8 de junio de 2022


VI.- Referencias

Recursos Legales:

  • Reglamento General de Protección de Datos. Reglamento 2016/679 del PE y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (…).
  • Real Decreto 3/2010 de 8 de enero por el que se regula el Esquema Nacional de Seguridad (derogado por Nuevo ENS).
  • Nuevo ENS. Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Ley 11/2007 de 22 de junio de acceso electrónico de los ciudadanos a los Servicios Públicos (derogada por Ley 29/2015).

Recursos electrónicos:


[1] Es interesante leer el informe sobre seguridad nacional del año 2021 elaborado por Ministerio de Presidencia en su página 93 y ss, sobre la ciberseguridad. Se puede consultar en este enlace: https://www.dsn.gob.es/es/file/7562/download?token=73A8ZI0q

[2] Es interesante el artículo que Cinco Días publicaba a 31 de marzo de 2021 sobre la cuestión: Los ciberataques en España crecen un 125%. La pyme la gran perjudicada | Pyme | Cinco Días (elpais.com)

[3] Así es como lo recogía Europa Press en su noticia de febrero 2022 cuando comenta que España se encuentra en la lista top 10 países más afectados por ataques de ransomware: España, el octavo país más atacado por ‘ransomware’ en la segunda mitad de 2021 (europapress.es)

[4] Puede consultarse el artículo de La Vanguardia, al respecto Ciberguerra: la otra conflagración (lavanguardia.com)

[5] Consultar la noticia de la BBC Rusia y Ucrania: los 3 ciberataques rusos que más teme Occidente – BBC News Mundo

[6] O al menos lo son para el Centro Nacional de Inteligencia (CNI) tal y como lo publicó el periódico en su noticia de 30 de marzo de 2022 El CNI alerta de ciberataques masivos rusos contra España (elperiodico.com)

[7] Puede consultarse la noticia de Newtral en este enlace https://www.newtral.es/esquema-nacional-de-seguridad/20220505/

[8] Ver el Anexo IV Glosario del nuevo ENS.

[9] Apartado II de la Exposición de motivos del nuevo ENS.

 


Pablo garcia giron perez
Pablo García-Girón Pérez 

Pablo García-Girón Pérez 

Licenciado en Derecho por la UAM y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información por la UC3M, ha desarrollado su carrera en el ámbito de la consultoría en nuevas tecnologías. 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.

Deja un comentario

A %d blogueros les gusta esto: