La urgente necesidad de implantar el Esquema Nacional de Seguridad. ENS.

Hoy en día la seguridad informática tanto en Administraciones Públicas como en empresas privadas se antoja necesaria, y más aún, si se tiene en cuenta la velocidad con la que avanzan las tecnologías. Ya no se concibe ese cambio radical tecnológico y en permanente progreso sin la presencia de la ciberseguridad como factor esencial, tal y como lo han explicado los estudiosos. Y es que, nos encontramos inmersos en la economía del conocimiento o “la cuarta revolución industrial”, como así la han denominado los economistas.

Además, los ciberataques en las industrias son una amenaza cada vez más concreta en nuestro país por lo que se hace necesaria la presencia de profesionales que dominen las principales técnicas de protección frente a ataques y amenazas en sistemas operativos, redes, aplicaciones web, software de aplicación, y bases de datos de las industrias.

Así pues, para todas aquellas personas que desconozcan el ENS o Esquema Nacional de Seguridad, señalar que se trata de una normativa española que se centra en proveer de confianza a los mecanismos electrónicos de la Administración Pública del estado español. Esta norma que tiene una estructura de norma de Alto Nivel se integra en su totalidad con otras normas de sistemas de gestión como son los referenciales 9001:2015 y 14001:2015, entre otras. De esta manera se analizarán los posibles riesgos que existen para la empresa en cuestión y se tomarían medidas para controlar las posibles brechas en los sistemas implantados en las empresas. Mencionar que, a día de hoy, el ENS es una norma que es exigida para trabajar con las administraciones ya que va más allá del cumplimiento del Reglamento de Protección de Datos que entró en vigencia el 25 de mayo de 2018.

Además de las administraciones, las entidades obligadas a cumplir con esta norma son las empresas que ofrezcan algún servicio relacionado con la información, o que necesiten o utilicen datos de la administración. Para empresas del sector privado que no estén obligadas a cumplir con el esquema, el certificarse es una buena publicidad, y ayudará en futuras licitaciones.

Por lo tanto, el ENS se encarga de determinar una serie de principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Cabe mencionar que, son tres los bloques en los que se estructura el ENS para proteger los sistemas de las AAPP según su categoría.

Por un lado, se encuentra el marco organizativo, tratándose pues de un conjunto de medidas relacionadas con la organización de la seguridad. En este punto se definen las políticas de seguridad, las normativas de seguridad, los procedimientos de seguridad y los procesos de autorización.

Por otro lado, se encuentra el marco operacional, constituido por las medidas que hay que tomar para proteger la operación del sistema como conjunto de componentes para llevar a cabo un fin. En función de la categoría que tenga el sistema, se deben tomar unas medidas más profundas o más superficiales.

Y, por último, encontramos las medidas de protección. Este apartado se encarga de proteger los activos concretos, según el nivel de seguridad que aplique se deben aplicar unas medidas u otras.

El Centro Criptológico Nacional (CCN) es el organismo encargado de proveer de información sobre qué hay que hacer y cómo hay que hacerlo, para este fin pone a nuestra disposición una serie de guías que van a hacer de este proceso algo mucho más sencillo y estructurado. De entre todas las guías que ofrece el CCN la serie CCN-STIC 800 son las encargadas de definir los procesos del ENS.

Dentro de la web del CCN también se pueden encontrar guías para “securizar” cualquier tecnología que se pueda tener en una empresa u organismo público, desde dispositivos móviles, redes wifi, infraestructuras virtuales, sistemas operativos privativos y abiertos, etc. Todas estas guías pueden sernos de mucha utilidad para crear un entorno seguro y confiable dentro nuestra infraestructura TI.

Es importante destacar que, durante estos últimos años se ha podido comprobar la cantidad de empresas que han sufrido ciberataques y que toda su documentación no ha estado correctamente gestionada y volver a poner en funcionamiento toda su estructura ha sido bastante complicado.

Así pues, hay que subrayar que uno de los puntos fuertes que tiene la norma de Alto nivel es el tiempo que tarda en restablecer la actividad de una empresa posteriormente a un problema informático. Es justo en este punto cuando muchas de las empresas se dan cuenta de la importancia de dicha norma para las entidades.

 

Departamento de Ciberseguridad
Sulayr / ADADE Granada.