Entrevistamos a Lucía, Lead Avisor Técnico Sector Público de Govertis, con ocasión de la celebración del tercer Insight Club DPD AEC 2021.

Lucía Arias: "El ENS persigue reforzar los sistemas de información a fin de generar la confianza en el ciudadano en el uso de la e-Administración"

Entrevista
thumbnail_LAG

Entrevista

1.- Hola Lucía, para empezar y pensando en todos aquellos de nuestros lectores que no conozcan en qué consiste el Esquema Nacional de Seguridad (ENS) y su ámbito de aplicación ¿podría decirnos en qué consiste y cuál es su importancia?

Buenas! El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, posteriormente modificado por el real Decreto 951/2015 (Esquema Nacional de Seguridad o ENS) regula una de las piezas fundamentales que vertebran lo que se llamar en la Administración Electrónica: la seguridad de los sistemas de información del Sector Público.

Seguridad entendida como el conjunto de principios básicos y requisitos mínimos requeridos para una protección adecuada de la información tratada y los servicios prestados por las entidades públicas de su ámbito de aplicación.

Así pues, lo que pretende el ENS es reforzar los sistemas de información a fin de generar la confianza en el ciudadano en el uso de la administración electrónica, y para ello, asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de sus sistemas de información.

2.- ¿Qué relación tiene el ENS con el RGPD?

Tienen una relación estrecha, y de hecho, en el Sector Público, no se puede entender la una sin la otra.

De esta manera, la disposición adicional primera de la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales indica:

2.Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

De igual modo, el propio ENS referencia al cumplimiento de la normativa vigente en materia de privacidad, por ejemplo el art. 27 del ENS:

2. Cuando un sistema al que afecte el presente real decreto maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad.

3.- Revisado el listado de organismos del Sector Público que se ha certificado, ¿es un buen momento para establecer un nuevo Esquema Nacional de Seguridad?

El actual ENS data del 2010, que en otras materias podría ser considerada como una legislación “reciente”, pero en el campo de la ciberseguridad, esta década que ha pasado ha sido determinante en la evolución de los tres pilares principales: transformación digital, intensificación de las amenazas y la propia evolución de la ciberseguridad.

En estos últimos años, han aparecido en escena nuevas tecnologías como IoT, Machine Learning, Cloud Computing o Big data, que no se contemplaban en el texto original, y que por lo tanto, el ENS no prevee medidas de seguridad relacionada con dicha tecnología.

De igual modo, la pandemia ha sido un catalizador de las ciberamenazas, hasta el punto que ha llegado a ser habitual las noticias de prensa de organismos tanto públicos como privados que han sido víctimas de ataques.

Todo esto, ha provocado una especialización en la ciberseguridad, que más pronto que tarde debía verse reflejado a nivel legislativo.

4.- ¿Qué tendría que ver el uso de estas tecnologías con el nuevo borrador del ENS?

Es inevitable aplicar estas nuevas tecnologías en la e-Admin y ponerlas a disposición de los ciudadanos, para redundar en una mejor y más eficiente administración electrónica. Pero de igual manera, no podemos obviar que el despliegue de esta tecnología supone un uso ingente de información del ciudadano que hay que proteger y garantizar su seguridad en todo el ciclo de vida de la información y durante todas las fases del servicio.

Esto lo podemos visualizar muy bien con el ejemplo de las “smart cities o ciudades inteligentes”, como una solución que integra diferentes tecnologías y desde el cual se gestionan diferentes servicios. Todos ellos, recogen información (de carácter personal o no) que debe ser protegida, ya que sin ese extra de seguridad, la ciudad será cualquier cosa, menos “smart”.

5-. ¿Podría indicarnos cuáles son las principales novedades en el ENS que figuran en el borrador recientemente publicado?

Las principales líneas de actuación de este borrador consisten en la alineación del ENS con el nuevo marco normativo de referencia (hemos podido observar, como por ejemplo, hace referencia a la ley Orgánica 15/1999) y con el contexto estratégico existente para facilitar la seguridad en la Administración Digital, la introducción de la capacidad de ajustar los requisitos del ENS a necesidades específicas, determinados colectivos o determinados ámbitos tecnológicos, mediante lo que se han denominado “Perfiles de cumplimiento”, y por último, facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir las vulnerabilidades y promover la vigilancia continua, mediante la actualización de los principios básicos, los requisitos mínimos y las medidas de seguridad.

6.- La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, fue la primera en establecer el Esquema Nacional de Seguridad. ¿En qué mejorará el nuevo ENS con respecto a la situación anterior? ¿Se ha evolucionado mucho desde el 2007?

Comparando el borrador actual del ENS con la primera referencia que hacía la Ley 11/2007 la evolución es tremenda, pero no olvidemos que ha sido objeto de modificaciones anteriores (la última del RD 951/2015).

Este nuevo borrador clarifica, precisa, homogeiniza, simplifica o actualiza diferentes aspectos, que hasta la fecha, únicamente podíamos resolver o interpretar a partir de las guías del Centro Criptológico Nacional, en concreto las guías de la serie 800 (https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html).

A través de estas guías, la evolución ha sido progresiva, hasta el punto que el propio texto del Real Decreto 3/2010, se había quedado obsoleto con respecto a la información de estas guías y de las instrucciones técnicas.

Además, una de las cuestiones que destacaría en cuanto a los cambios que propone en el anexo II donde se describen las medidas de seguridad, es la necesaria unión entre una adecuación normativa (hay que documentar la seguridad de la información) y su integración con herramientas de seguridad corporativa (herramientas de monitorización, segregación de redes, etc.)

7.- Uno de los errores más comunes es asociar el cumplimiento del ENS al sector público, ¿modifica este borrador del ENS el ámbito de aplicación?

En este sentido el borrador del ENS se remite al art. 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y por lo tanto no modifica el ámbito objetivo de aplicación, si bien lo clarifica, a fin de que sector público y privado sean conscientes de lo que les es exigible y para extender su aplicación a los sistemas que manejan información clasificada.

Asímismo, y en vista del despliegue de nuevas tecnologías, aparece un nuevo conjunto de medidas de seguridad en el marco operacional, relacionada con la protección de servicios en la nube [op.nub] y protección de la cadena de suministro [op.ext.3].

8.- Y para terminar, pensando en nuestro público lector compuesto principalmente por profesionales del mundo del Derecho ¿qué consejos, como experta en la materia, les daría para minimizar el impacto de la adecuación a este marco normativo cuando finalmente se apruebe?

Como el nuevo borrador, en sí mismo, no supone una modificación disruptiva en cuanto al marco normativo actual, cumplir con los requisitos del ENS actual sería un buen punto de partida.

Por otro lado, el art.16, referente a la Profesionalidad, indica:

La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento”.

Esto implica que de forma necesaria necesitamos incorporar perfiles técnicos profesionales para una correcta adecuación, mantenimiento y mejora continua de nuestros sistemas de información.