Prevención de ciberataques y nuevo Esquema Nacional de Seguridad
28 Jun

Prevención de ciberataques y nuevo Esquema Nacional de Seguridad

0 Comentarios

"Casa con dos puertas, mala es de guardar". Así definía Pedro Calderón de la Barca una realidad atemporal: la entrada y robo en casa o en empresa ajena sin consentimiento del titular.

Imaginemos, por lo tanto, si hay tantas puertas en la casa o en la empresa como mails corporativos tiene cada empleado o familiar. Hablamos de una realidad diaria que ocupa y preocupa. Nos referimos, por lo tanto, a la seguridad de la información y prevención de ciberataques.

El pasado día 3 de mayo, se publicó el Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad (ENS). Esta norma deroga el anterior ENS de 2010.

A su vez, el pasado 29 de marzo se publicó el Real Decreto-ley 7/2022, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación. Dos normativas, con sólo un mes de diferencia entre ambas, denotan la relevancia legal y operativa que este ámbito tiene para la seguridad nacional, es decir, para nuestra seguridad.

Centremos el contexto actual. Los ciberataques constituyen la segunda amenaza real para España, junto con la pandemia, según el último informe del Departamento de Seguridad Nacional.

En este sentido, como riesgo nacional y corporativo diario, la ciberseguridad debe considerarse siempre como inversión estratégica incuestionable. Por lo tanto, debe incluirse en la primera línea de defensa en la elaboración de los mapas de riesgos en los modelos de cumplimiento normativo o corporate compliance.

Hablamos, por lo tanto, de tres mecanismos claves: líneas de defensa (ISO 37301); sistemas integrados de gestión (prevención del blanqueo de capitales con la ISO 37001, prevención de riesgos laborales y la ISO 45001, y protección de datos y seguridad de la información e ISO 27001); y el estado de información no financiera. Aquí se incluye, además, el control general diario y las medidas adoptadas en el uso de tecnologías de la información. Es de aplicación, por lo tanto, la Ley Seguridad Servicios de la Información y el Reglamento Unión Europea n. 881 de 17 de abril de 2019.

He querido enfocar los cambios del nuevo ENS hacia la repercusión práctica para una empresa, origen de todo crecimiento nacional.

El artículo 2.3 establece la aplicación del ENS a empresas del sector privado en los siguientes casos. En primer lugar, cuando exista una relación contractual y presten servicios o provean soluciones a las entidades del sector público. En segundo término, cuando los pliegos de prescripciones administrativas o técnicas de los contratos…contemplen la necesidad de cumplir requisitos necesarios para asegurar la conformidad con el ENS. Por último, cuando se exija en los procedimientos de contratación pública la presentación de las correspondientes declaraciones o certificaciones de conformidad con el ENS.

A su vez, estas empresas privadas aprobarán una política de seguridad, por el órgano con mayor decisión ejecutiva, con los requisitos del artículo 12 del nuevo ENS.

A continuación, el Real Decreto aborda los principios que deben actuar desde la fase básica: seguridad como proceso integral. Gestión de la seguridad basada en los riesgos. Prevención, detección, respuesta y conservación. Existencia de líneas de defensa. Vigilancia continua. Reevaluación periódica. Diferenciación de responsabilidades.

Este último principio individualiza las funciones, por fin, en un elenco de ocupaciones de cada uno de los responsables de la cadena de seguridad: responsable de la información (establece cuáles son los requisitos de seguridad de la información); responsable del servicio (establece requisitos de la prestación del servicio en cuestión); el responsable de la seguridad (decide qué medidas se deben tomar respecto a accidentes o incidentes, así como el Plan de Contingencia. A su vez, debe supervisar la aplicación y mantenimiento de la estrategia acordada. Firma la Declaración de Aplicabilidad (artículo 6 del Real Decreto 43/2021 de 26 de enero) y toma la determinación de la categoría del sistema empleado; y el responsable del sistema de información(se encarga de implantar cada una de las soluciones previamente trazadas por el responsable de seguridad. A su vez, debe dar seguimiento diario a las pautas establecidas).

Establecidos los responsables y sus responsabilidades, pasamos a los básicos: el qué (requisitos en la fase básica) y el cuándo (plazos de aplicabilidad del ENS). Requisitos en la fase Inicial/fase básica: gestión y registro de incidentes; detección de intrusiones; protección de la confidencialidad; gestión de la capacidad; productos certificados.

Finalmente, plazos de aplicación: certificaciones y sistemas previos, 24 meses a contar desde la entrada en vigor. Para los sistemas nuevos, todos deberán establecerse conforme al nuevo Esquema Nacional de Seguridad. La fecha límite es el 4 de mayo de 2024. Aún así, se establece un período de gracia de tres mees por causas no imputables a la organización afectada.

En definitiva, la seguridad del siglo XXI se llama, también, ciberseguridad. Defender conlleva invertir. Invertir y, a su vez, planificar. Creer para crecer.

Fuente: cincodias.elpais.com

Autor: Pedro Fdez-Villamea Alemán