La incorporación del uso de nuevas tecnologías a nuestra forma de vida es ya una realidad que nos permite disponer de un mecanismo sencillo y flexible para realizar todo tipo de operaciones desde cualquier punto del planeta con conexión a Internet. Ya todos compramos entradas para un concierto, utilizamos la banca electrónica, hacemos las compras de navidad o incluso hacemos nuestro pedido al supermercado a través de oficinas que están disponibles las 24 horas del día.
Era solo cuestión de tiempo que esta demanda de servicios electrónicos se hiciera extensible a los servicios ofrecidos por las administraciones públicas. Fruto de esta demanda nace la ya derogada Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos, que reconoce el derecho de los ciudadanos a relacionarse con las administraciones públicas de forma electrónica y la obligación de estas administraciones públicas de garantizar este derecho.
Pero con estas posibilidades ofrecidas por las tecnologías de la información y la comunicación nacen también nuevas formas de delincuencia y, por tanto, nuevas necesidades de seguridad.
No nos querremos imaginar lo que ocurriría si la administración pública sufriera una violación de seguridad como la que sufrió la cadena de hoteles Marriot dejando al descubierto información personal y financiera de 500 millones de clientes desde el año 2014 hasta que se percataron de lo que estaba sucediendo el 19 de noviembre de 2018.
Una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, pasaporte, información de la cuenta bancaria, fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva, preferencias de comunicación y número de tarjeta bancaria que harían tambalearse a cualquier administración pública.
Los nuevos ciberdelincuentes ya no atracan diligencias armados con rifles y ocultos tras un pañuelo, sino que asaltan los sistemas que almacenan, gestionan y comunican nuestros datos armados con un ordenador desde el sofá de su casa. Por esto, 10 capítulos, 4 disposiciones adicionales, 1 disposición transitoria, 1 disposición derogatoria, 3 disposiciones finales y 4 anexos después, nace el Esquema Nacional de Seguridad con el fin de evitar escenarios tan catastróficos como el de la cadena Marriot.
O como dice el articulo 38 de la citada Ley 11/2007 “la seguridad de las sedes y registros electrónicos, así como la del acceso electrónico de los ciudadanos a los servicios públicos, se regirán por lo establecido en el Esquema Nacional de Seguridad”.
El ENS genera las condiciones necesarias para que se puedan utilizar medios electrónicos en la comunicación de la administración pública con los ciudadanos y a la inversa, siempre con las garantías necesarias. Por tanto, se trata de garantizar a los ciudadanos que su información será custodiada y utilizada adecuadamente, creando un sistema de gestión de la seguridad de su información de plenas garantías. O como recoge el Real Decreto 951/2015 “los ciudadanos confían en que los servicios públicos disponibles por el medio electrónico se presten en unas condiciones de seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de la administración”.
El Esquema Nacional de Seguridad, regulado por el Real Decreto 3/2010 de 8 de enero, da cumplimiento a lo previsto en el articulo 42 de la Ley 11/2007 estableciendo la política de seguridad en la utilización de medios electrónicos y resulta un marco, obligatorio para las administraciones públicas, para la protección de la información y su gestión a través de los medios electrónicos y para todos aquellos proveedores de servicios de tecnologías de información y comunicación de la administración pública.
El ENS resulta aplicable a la Administración General del Estado, a las Administraciones de la Comunidades Autónomas, a las entidades que integran la Administración Local y a las entidades de derecho público vinculadas o dependientes de las mismas y afecta a sus proveedores de servicios de tecnologías de la información, que deberán contar con una gestión y un nivel de madurez de seguridad equivalente al que tenga implantado la entidad a la que prestan servicios.
Así las universidades, las autoridades portuarias y aeroportuarias, los institutos de desarrollo económico, los servicios de salud, ayuntamientos, comunidades autónomas, el gobierno central y las entidades de derecho privado vinculadas o dependientes de las administraciones públicas deben tener adecuados sus sistemas a los requisitos establecidos en el Esquema Nacional de Seguridad y a las novedades incorporadas por el Real Decreto 951/2015 desde el 5 de noviembre de 2017.
Además, aquellas organizaciones con sistemas de información categorizada como media o alta, deben tener certificados dichos sistemas a través de entidades acreditadas por ENAC.
Un sistema de gestión de seguridad de la información, el Esquema Nacional de Seguridad específicamente para la administración pública, es siempre el medio más eficaz para minimizar los riesgos asegurando que se identifican y valoran los activos de una organización y su impacto, y que se adoptan los controles y procedimientos más eficaces.
Fuente: David Fernandez (Project Management Officer, Intedya)