DESMITIFICANDO EL NUEVO ESQUEMA NACIONAL DE SEGURIDAD (ENS)
DESMITIFICANDO EL NUEVO ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Los episodios de ataques informáticos sufridos por el Servicio Público de Empleo Estatal o recientemente, por la Universidad autónoma de Barcelona han puesto de relieve la creciente presión de ciberataques sobre entidades del sector público, así como de sus proveedores de servicios tecnológicos y la necesidad de reforzar la capacidad de ciber resiliencia.
Bajo este entorno, el Ministerio de Asuntos Económicos y Transformación Digital ultima estos días, la elaboración del Reglamento por el que se regula el Esquema Nacional de Seguridad (ENS), puesto que se considera que el Real Decreto 3/2010 ha quedado significativamente obsoleto con el tiempo como para abordar una nueva modificación como la de 2015.
El presente proyecto es una de las medidas contenidas en el Acuerdo de Consejo de ministros sobre actuaciones urgentes en materia de ciberseguridad, de 25 de mayo de 2021. Se pretende actualizar el vigente RD 3/2010, de 8 de enero, para adaptarlo a la nueva realidad y al incremento de las ciberamenazas tanto cuantitativa como cualitativamente. El objetivo de esta reforma es garantizar una mejor respuesta ante los ciberataques, así como, mejorar la protección en el tratamiento de datos por el Sector Público y aquellas entidades del Sector Privado que colaboren con aquél, estableciendo unos principios básicos y unos requisitos mínimos de seguridad y medidas de protección que deberán llevarse a cabo.
A finales de junio del presente año, se publicó el borrador del proyecto del real decreto por el que se regula el Esquema Nacional de Seguridad (ENS), que sustituirá al RD 3/2010 que es el eje alrededor del cual se vertebra la seguridad en los entornos y sistemas de información de las administraciones públicas.
El borrador del proyecto del real decreto toma en consideración la evolución tecnológica en especial en relación con los riesgos y controles de los servicios en nube o teletrabajo y se centra en facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua.
Dentro de todas las novedades del Real Decreto desarrolladas en base a lo aprendido durante estos años sobre el desarrollo e implantación del ENS, se destacan las siguientes:
- Se define con mayor claridad qué organizaciones se encuentran bajo el ámbito de aplicación del ENS, reforzando la necesidad de cumplimiento del ENS por parte de las entidades del sector privado, y su cadena de suministro, cuando éstas presten servicios al sector público.
- Se introduce el concepto de "perfil de cumplimiento específico", que serán conjuntos de requisitos mínimos publicados por el Centro Criptológico Nacional a los que las organizaciones de un determinado colectivo se podrán acoger para cumplir con el ENS. El objetivo es permitir alcanzar la adecuación al ENS de un modo más eficaz y eficiente, especialmente para aquellas organizaciones más pequeñas o con menos recursos.
- Se añaden nuevas obligaciones para las organizaciones del sector privado que presten servicios a las entidades públicas como la de disponer de un punto de contacto de seguridad de interlocución con la entidad pública que le contratado un servicio o como la obligación de notificar al INCIBE-CERT los incidentes que afecten a organismos públicos de los que formen parte como cadena de suministro.
- Se fija que los Pliegos que publiquen las entidades del ámbito de aplicación del RD, contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el Esquema Nacional de Seguridad de los sistemas de información en los que se sustenten los servicios prestados por terceros.
- Por último, como pilar del nuevo RD está la actualización de las medidas de seguridad del Anexo II. Si bien el número de controles es prácticamente el mismo; uno menos 74 en lugar de 75, se introducen muchos cambios destinados a aumentar la exigencia de medidas de seguridad ya existentes, otros, enfocados a simplificar la implantación de requisitos u incorporación de nuevas medidas. Para todos los controles del Anexo II se han definido más requisitos, de manera que aclaran la interpretación de los controles existentes.
Evidentemente, el desarrollo del nuevo Real Decreto trae consigo muchas preguntas y dudas en relación con los certificados de cumplimientos ENS emitidos ¿Qué pasará con los certificados actuales o a punto de caducar? ¿Se tendrá que cumplir ya con los nuevos requerimientos del nuevo Real Decreto? Es uno de los aspectos que genera más debate, aunque se prevé un plazo de transición de dos años para la adaptación a los requisitos del nuevo ENS.
Desde BDO, como entidad acreditada por la Entidad nacional de acreditación (ENAC) para emitir certificados de conformidad de cumplimiento de los requerimientos del ENS, se recomienda igualmente a las organizaciones que trabajen ya en el análisis de implicaciones y cambios que este Real Decreto supone desde el momento de su entrada en vigor. La actualización de las medidas de seguridad del ENS viene a cubrir riesgos actuales de seguridad. La estrategia que seguir por las entidades no debería basarse en el impacto que tendrán estos controles sobre la certificación de cumplimiento ENS, sino en mitigar riesgos de seguridad no cubiertos e incrementar su nivel de madurez en ciberseguridad. No esperemos la próxima caducidad de nuestro certificado de cumplimiento para tomar ya en consideración todos aquellos requisitos nuevos incluidos en el Nuevo ENS.