Togas.biz

La ciberseguridad se ha convertido en un aspecto fundamental, pero también en un riesgo creciente para las organizaciones a nivel mundial. Diariamente llegan noticias sobre ciberataques, cada vez más sofisticados, a compañías de cualquier geografía y cualquier sector. Y, en este contexto, las administraciones públicas en España no son una excepción: la creciente digitalización de los servicios y el aumento de la cantidad de datos que se manejan hacen que sea cada vez más importante implementar medidas de seguridad adecuadas para proteger la información y los sistemas.

A ello se añade que la pandemia de la COVID-19 generó nuevos retos para la ciberseguridad en el sector público debido al aumento del teletrabajo y la mayor exposición de los sistemas a posibles ataques. Según datos facilitados por Miguel Ángel Ballesteros, director del Departamento de Seguridad Nacional, durante una conferencia sobre ‘La cultura de Seguridad Nacional’, organizada por el Instituto de Cuestiones Internacionales y Política Exterior (INCIPE), la situación para el sector público es preocupante: las administraciones públicas sufrieron el pasado año 55.000 ciberataques, de los cuales 71 fueron críticos, aquellos que pueden llegar a “paralizar” la actividad y generar un, según sus propias palabras, “gravísimo” problema para los ciudadanos.

La situación para el sector público es preocupante: las administraciones públicas sufrieron el pasado año 55.000 ciberataques, de los cuales 71 fueron críticos

Qué es el Esquema Nacional de Seguridad (ENS)

Ante este panorama, existe el Esquema Nacional de Seguridad (ENS). Se trata del marco de referencia en materia de ciberseguridad en el sector público español, que establece los principios básicos y los requisitos mínimos que deben cumplir los sistemas de información de las administraciones públicas para garantizar la seguridad de la información que manejan y procesan. Y con el que todas las empresas que trabajan para la Administración Pública, ya sea de forma directa o indirecta, deben cumplir, especialmente en lo que se refiere a la protección de la información que manejan.

La primera versión del ENS fue aprobada el año 2010 (Real Decreto 3/2010). Desde entonces, el ENS ha sido objeto de varias actualizaciones y revisiones para adaptarlo a los nuevos retos y desafíos en materia de ciberseguridad, así como para asegurar que la Administración Pública dispone de un marco normativo actualizado y coherente con los estándares internacionales de seguridad.

En este sentido, mediante el Real Decreto 311/2022 en mayo de 2022 se aprobó la última actualización del ENS (denominada ENS 2022) como resultado de las siguientes motivaciones:

  • Evolución de la ciberamenaza: La ciberamenaza es un fenómeno en constante evolución, con ataques cada vez más sofisticados y complejos. Es necesario actualizar periódicamente los requisitos de seguridad para hacer frente a estas nuevas amenazas.
  • Cambios en el marco normativo: La regulación en materia de ciberseguridad ha experimentado cambios significativos en los últimos años, con la entrada en vigor de nuevas normativas como el Reglamento General de Protección de Datos (RGPD) o la Directiva NIS (Network and Information Security) de la Unión Europea.
  • Incorporación de nuevas tecnologías: La rápida evolución tecnológica está dando lugar a la aparición de nuevas tecnologías que pueden suponer nuevos riesgos en materia de seguridad.

La versión 2022 del ENS sustituye a la versión anterior del ENS, y es de obligado cumplimiento para todas las administraciones públicas y entidades vinculadas a ellas en España.

El ENS establece los principios básicos y los requisitos mínimos que deben cumplir los sistemas de información de las administraciones públicas para garantizar la seguridad de la información que manejan y procesan

¿Qué novedades planeta el ENS 2022?

La actualización del ENS trae consigo un cambio de visión, pasando de un modelo reactivo a un modelo en el que se dota de mayor importancia los mecanismos de prevención proactivos. Para ello, se introduce el principio de “Vigilancia Continua”, que consiste en evaluar permanentemente el estado de la seguridad para mejorar la detección temprana y proactiva de vulnerabilidades de ciberseguridad.

En línea con este nuevo principio, se destacan las siguientes novedades introducidas en el ENS 2022 respecto de la anterior versión:

  • Introducción de la gestión de la seguridad en la cadena de suministros (proveedores y terceras partes).
  • Fortalecimiento de los requisitos para la gestión de identidades y accesos, incluyendo la revisión periódica de los privilegios concedidos a los usuarios y la implementación de autenticación multifactor.
  • Ampliación de las medidas de seguridad en el ámbito de la gestión de servicios en la nube, incluyendo la necesidad de llevar a cabo revisiones periódicas de los proveedores de servicios en la nube
  • Inclusión de nuevas medidas para la gestión de la seguridad en el teletrabajo, como la necesidad de contar con políticas específicas de teletrabajo y la necesidad de llevar a cabo controles adicionales en dispositivos personales utilizados en el teletrabajo
  • Inclusión de la necesidad de notificación de incidentes de seguridad en un plazo de 72 horas para aquellos incidentes que tengan un impacto significativo. Es importante destacar que esta obligación de notificación se extiende tanto a las administraciones públicas como a los prestadores de servicios que trabajen para ellas, y que estén sujetos al cumplimiento del ENS.