Coincidiendo con el recrudecimiento de la polémica provocada por la infección masiva de móviles de líderes políticos de nuestro país mediante el malware Pegasus, el Consejo de Ministros ha aprobado un Real Decreto a través del cual se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica. De esa manera, se actualiza el que estaba vigente hasta el momento (aprobado en enero de 2010, y modificado posteriormente en 2015), y se da forma a lo contemplado dentro del paquete de actuaciones urgentes en materia de ciberseguridad que el Gobierno aprobó en mayo de 2021, después del grave ciberataque sufrido por el Servicio Público de Empleo Estatal (SEPE). El objetivo de estas era reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público, así como sobre las entidades que suministran tecnologías y servicios al mismo.

La creación del ENS estaba encaminada a establecer y proporcionar las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas de diversa índole que deben garantizar la protección de los sistemas, datos, comunicaciones y servicios electrónicos. Desde la entrada en vigor del Real Decreto 3/2010, del 8 de enero, el ENS es de obligado cumplimiento por parte de todas las Administraciones públicas, si bien todavía existen muchas organizaciones gubernamentales que siguen sin adecuarse a él.

Una situación que cambia con la actualización del ENS, pues no solo introduce cambios en las medidas de seguridad y nuevos controles, sino que también obliga a la adecuación a sus requisitos por parte las empresas privadas proveedoras a la Administración, centrándose, sobre todo, en aquellas que ofrezcan servicios donde haya intercambios de información.

Seguridad del servicio

El Real Decreto que da forma al Esquema Nacional de seguridad está estructurado en tres bloques: los principios básicos (artículos del 4 al 10), requisitos mínimos (artículos del 11 al 26) y un conjunto de 75 medidas categorizadas en tres marcos: el organizativo, el operacional y las medidas de protección.

El marco organizativo comprende un conjunto de medidas relacionadas con la organización global de la seguridad (políticas, normativas, procedimientos…).
El marco operacional propone una serie de procesos a implementar dentro del sistema de información: Análisis de riesgos, gestión de la capacidad, control de cambios, etc.
Las medidas de protección se centran en proteger los activos con medidas muy concretas, como etiquetado, criptografía, o cifrado.

Además, el ENS propone una clasificación para las organizaciones basada en tres niveles de madurez (básico, medio o alto) que mide las consecuencias que tiene un incidente de seguridad sobre las funciones de la organización, sus activos o los individuos afectados.

La categoría que se otorgue corresponderá, por lo tanto, al máximo nivel que tomen las dimensiones de seguridad de los servicios (concretamente, según el ENS hay cinco: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad) y los activos de información necesarias para su prestación. En otras palabras, si el nivel más alto de cualquier de las cinco dimensiones de los servicios o de los activos de información que maneja la empresa es medio, tendrá una categoría media.

Esa clasificación implica, asimismo, la aplicación de una clase concreta de auditoría o revisión del sistema. Por ejemplo, una organización con un nivel de madurez bajo no necesitará más que una autoevaluación para identificar el cumplimiento de los diferentes requisitos aplicables. En cambio, aquellas enmarcadas en categorías media y alta requerirán de una auditoría independiente, de carácter bianual, y realizada por personal cualificado e independiente, en la cual se verificará que el sistema implantado cumple con los requerimientos del Real Decreto recién aprobado en Consejo de Ministros.

La adaptación de una organización, pública o privada, a la normativa del Esquema Nacional de Seguridad no solamente lleva consigo la implantación de todas sus medidas y disposiciones, sino también su mantenimiento. Es por eso por lo que, en la mayoría de las situaciones, se hace necesaria la implantación de un Sistema de Gestión de Seguridad de la Información para el cumplimiento de todos los requisitos que establece el marco y gestionar todas las acciones a llevar a cabo de manera centralizada y eficiente.