¿Cuál es el mayor riesgo de Ciberseguridad para mi empresa?
¿Sabías que en 2016 en España recibimos más de 4.000 ciberataques al día? Lo que nos posiciona como...
El desarrollo vertiginoso devenido de las nuevas Tecnologías de la Información y Comunicación, ha provocado que el actual escenario de la seguridad se haya transformado por completo durante el último siglo.
La imparable y veloz evolución de dichas tecnologías, ha incrementado también los riesgos a los cuales estamos expuestos todos los actores del ciberespacio.
Esta nueva realidad ha forzado al Sector Público a intervenir para garantizar el uso adecuado de las herramientas tecnológicas para satisfacer los principios de eficacia, eficiencia y seguridad que los servicios públicos demandan, en beneficio último de los ciudadanos y de los intereses nacionales.
Sin embargo no es solo el Sector Público, sino también otras organizaciones, como veremos más adelante, quienes deberán proteger a través de este Esquema Nacional de Seguridad sus sistemas de información.
El Esquema Nacional de Seguridad se trata de una Ley interna española actualmente regulado a través del Real Decreto 3/2010, de 8 de enero, por el que se establece el Esquema Nacional de Seguridad en el ámbito de la administración electrónica; regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
El Esquema Nacional de Seguridad persigue garantizar que las administraciones públicas y las organizaciones que estén obligadas a implantarlo, custodien la información que gestionan a través de sus sistemas de información, en el ejercicio de sus funciones, sin incidentes, interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.
De la implantación del Esquema Nacional de Seguridad destaca la visión integral de la seguridad, así como el énfasis en todas aquellas actividades que se pueden realizar para mejorar la seguridad de la información.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos fue la primera en establecer el Esquema Nacional de Seguridad en su artículo 42.
Con posterioridad se aprobó el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Después, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.
Tal y como describe Luis Jiménez, subdirector del Centro Criptológico Nacional, en estas actividades reguladas en la norma se destacan: “el acceso ilegal a un sistema de información, la interferencia ilegal en los sistemas de información, la interferencia ilegal en los datos, la interceptación ilegal de datos informáticos o el abuso de los dispositivos mediante la producción, distribución, obtención para su utilización, importación u otra forma de puesta a disposición o posesión de dispositivos para el uso indebido de los sistemas informáticos”. (TICBeat, (19/01/2018), Business Insider, https://www.businessinsider.es/esquema-nacional-seguridad-como-protege-185880)
Están obligadas a cumplir con el Esquema Nacional de Seguridad la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y las entidades de derecho público vinculadas o dependientes de las mismas (universidades, hospitales, órganos colegiados…).
Así mismo, también deben contemplar el cumplimiento del Esquema Nacional de Seguridad aquellas empresas en quienes las Administraciones Públicas tercericen la prestación de servicios que se presten a través de la utilización de medios electrónicos.
El Esquema Nacional de Seguridad se encuentra conformado por 10 capítulos, 4 disposiciones adicionales, 1 disposición transitoria, 1 disposición derogatoria, 3 disposiciones finales y 5 anexos.
Entre los elementos principales del Esquema Nacional de Seguridad se destacan los siguientes:
Por otro lado, las 75 medidas que se contemplan dentro del Esquema tienen la función de orientar el cumplimiento respecto a los principios básicos y requisitos mínimos. Estas se engloban dentro de tres principales marcos: organizativo, operacional y de protección.
El organizativo, donde se distinguen cuatro pilares fundamentales: política, normativa y procedimientos de seguridad, así como los procesos de autorización necesarios para garantizar la protección de la información.
Es en el marco operacional, donde se plantean 31 medidas para la planificación, el control de acceso, la monitorización de los sistemas o aquellas herramientas necesarias para garantizar la continuidad de todos los servicios públicos, pase lo que pase en caso de ataque.
Por último, dentro del marco de protección se recogen 40 medidas, que se centran en proteger activos concretos con planteamientos específicos que van desde las aplicaciones hasta las infraestructuras e instalaciones, pasando por la gestión del personal o las comunicaciones.
La implantación y adaptación del Esquema Nacional de Seguridad en una organización no es tarea fácil, se necesita de un proceso organizado y planificado por fases, guiado por profesionales con conocimiento especializado en materia de ciberseguridad para que se complete de una forma efectiva.
Por ello, si desea más información, presupuesto o asesoramiento a cerca de la implantación del Esquema Nacional de Seguridad en su organización, no dude en ponerse en contacto con nosotros sin ningún compromiso.
Delegada de Protección de Datos
¿Sabías que en 2016 en España recibimos más de 4.000 ciberataques al día? Lo que nos posiciona como...
De acuerdo con la consultora Accenture, la RPA (Robotic Process Automation) puede reducir los...
La EIPD es una herramienta consistente en la realización de un análisis de los potenciales riesgos...