Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
La Administración del Principado de Asturias tiene un compromiso tangible con la seguridad de la información desde la publicación, hace 12 años, del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS). El 4 de mayo de 2022 se publicó el Real Decreto 311/2022, es la última actualización de la norma que regula el ENS. La finalidad de esta norma en el ámbito de la administración electrónica es crear las condiciones necesarias de confianza en el uso de los medios electrónicos a través de medidas para garantizar: la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, de manera que se favorezca un uso óptimo y seguro de los medios TIC esenciales que son la base de las administraciones electrónicas y del mejor ejercicio de derechos y cumplimiento de deberes que a todos y todas afectan.
El ENS persigue, en definitiva, implantar un escenario de confianza en el que los sistemas de información presten sus servicios y custodien los datos de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar a conocimiento de personas no autorizadas. Confianza, por tanto, en que equipos y redes tendrán capacidad para resistir los accidentes y acciones ilícitas o malintencionadas que comprometan las dimensiones de seguridad, disponibilidad, autenticidad, integridad, trazabilidad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
En ese escenario la seguridad no sólo atiende a la protección de cada sistema o al control desproporcionado de lo que cada uno hace, sino que exige un proceso de estudio y análisis que valore cada elemento como parte de un todo y donde se hace necesaria una máxima coordinación entre diferentes grupos, incluso con distintas perspectivas funcionales o técnicas, y una estandarización de los procedimientos que en cada caso apliquen. Es también primordial el seguimiento de unos criterios y controles que el Estado ha definido como esenciales. La seguridad es, porque así lo apunta el Esquema y porque lo aconseja la experiencia, algo transversal e integral donde no caben actuaciones puntuales o indocumentadas. Hay que recordar que la debilidad de un sistema la determina su punto más frágil y, a menudo, éste surge de la mala coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.
El camino recorrido durante estos años, reforzando la confianza de los ciudadanos en una administración electrónica segura y de calidad, ha permitido descubrir nuevas sinergias y necesidades en el ámbito de la seguridad de la información y, sobre todo y con un sentido más amplio, en la “ciberseguridad”, por tanto, era necesaria una remodelación sustancial de todo el ENS. Los objetivos más destacados que persigue esta actualización son:
Alinear el ENS con el marco normativo de referencia.
Ajustar los requisitos del ENS a necesidades peculiares de entidades públicas o privadas, entornos tecnológicos o dar respuesta a nuevas situaciones (son los denominados “perfiles específicos del ENS”).
Adaptar los principios básicos, requisitos mínimos y medidas de seguridad a los nuevos paradigmas y tendencias en el marco de la ciberseguridad.
Es relevante destacar la ampliación del ámbito de aplicación del ENS de mayo de 2022 al sector privado en tanto en cuanto sean, de algún modo, coparticipes en los servicios que presten o vayan a prestar a las administraciones tanto si dicha prestación es de servicio o de producto. El Decreto da un paso más allá recogiendo bajo su paraguas los sistemas que manejan información clasificada.
Los “perfiles específicos” se describen con el objetivo de favorecer el trabajo de adecuación al cumplimiento del ENS a entidades similares como, por ejemplo: ayuntamientos, universidades u organismos pagadores. O del mismo modo para que se pueda comprobar su cumplimiento en servicios tecnológicos concretos como pueden ser los servicios en la nube.
El vigente decreto del ENS describe cómo gestionar, controlar y mejorar la seguridad de la información en las organizaciones mediante 7 principios básicos, 15 requisitos mínimos y 73 medidas de seguridad.
Los principios básicos y requisitos mínimos del ENS son los fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. Las medidas de seguridad se aplicarán de acuerdo al nivel de seguridad requerido para cada sistema de información y de acuerdo a unos criterios establecidos, valorando las organizaciones el impacto de un incidente de seguridad sobre sus sistemas.
Para atender a los principios básicos y los requisitos mínimos, el Real Decreto 311/2022 del ENS (junto con determinadas instrucciones técnicas que son emitidas por el Estado español) regula y concreta toda una serie de actividades y medidas que han de cumplir las organizaciones y los sistemas de información.
Esta serie de medidas se organizan en tres marcos (organizativo, operacional y de protección) a su vez cada medida se puede desglosar en diferentes controles (véase ilustración al margen). La aplicación de estas medidas y controles se materializa o desarrolla de manera contextualizada en cada organización, recogiéndose todo ello en un documento básico que es la “Declaración de Aplicabilidad del Sistema de Información”. Cada sistema de información sujeto al ENS debe de tener su propia declaración de aplicabilidad de acuerdo al artículo 28 del Real Decreto Cumplimiento de los requisitos mínimos y del artículo 40 relativo a la categorización de los sistemas de información.
Es importante observar que el ENS va más allá de lo que son remediaciones técnicas e insiste en vertebrar la seguridad haciendo que forme parte de la esencia de la Administración, que las más altas instancias de la organización conozcan y respalden esas medidas; medidas que deben balancear las necesidades operativas de usuarios y trabajadores con la imposición de elementos restrictivos que buscan, sobre todo, dificultar las operaciones de intrusión y ataque externo que en alto número recibimos.
A tal respecto, señalar que el Principado de Asturias aprobó, en su momento, la “Política de seguridad de los sistemas de información en la Administración del Principado de Asturias” (PSI).
Acompañando a dicha política se publican las Normativas de Seguridad de la PSI. Estas normas, de forma análoga a lo contemplado por la PSI, son de obligado cumplimiento para todo el personal –sea cual sea su relación contractual con la Administración– con acceso a los sistemas de información de la Administración del Principado de Asturias.
Que haya una política de seguridad no equivale, ni mucho menos, a obtener el certificado de ENS, pero desde luego que sin ella toda auditoría tendría, inmediatamente, un resultado negativo.
Conocer la política, aplicar sus principios, atender la interpretación técnica que los especialistas en seguridad TIC hagan de sus artículos y normativas asociadas, es un valor esencial que da sentido al grueso de actividades que protegen nuestros sistemas y datos.
Para fortalecer la aplicación de la política y la implicación máxima, de cara a situar nuestra organización como una referencia nacional de la seguridad, se tiene como objetivo el mantenimiento de la certificación del ENS para la “Sede electrónica de la Administración del Principado de Asturias" (SEAPA) y la progresión en la certificación de otros sistemas. Como facilitador de esos objetivos estratégicos se determinó la creación del “Comité de Estrategia Digital y Seguridad y seguridad de la Información” (CEDISI) que se fundamenta en el Decreto 37/2018, de 18 de julio, de organización y desarrollo de los instrumentos de funcionamiento de las tecnologías de la información y las comunicaciones y de la seguridad de la información de la Administración del Principado de Asturias y su sector público (y su primera modificación Decreto 68/2020, de 17 de septiembre). El CEDISI es un órgano específico, de composición profesional y multidisciplinar que desarrollará sus funciones para toda la Administración general y organismos dependientes del Principado de Asturias. Da cumplimiento a la obligación de las Administraciones públicas de describir un marco de referencia para la organización de la seguridad de la información en su ámbito de competencia, de conformidad con lo establecido en el ENS. El CEDISI es el comité que gestiona y coordina la seguridad, responsabilizándose de alinear las actividades de la organización en materia de seguridad de la información.
El cumplimiento de todas las medidas a las que obliga el ENS implica un meditado plan de análisis y diseño técnico y organizativo que se plasma en un conjunto de actividades que se deben ejecutar y abordar de manera progresiva y controlada, implicando y afectando a miles de equipos, redes, aplicaciones o bases de datos, así como a los usuarios que hacen uso de esos elementos. Todo ello supone un reto de gran envergadura que comenzó con el análisis del estado de la Administración del Principado de Asturias en materia de cumplimiento de los requisitos establecidos por el ENS y persiste con las tareas de mejora continua mantenidas en el tiempo que exige la seguridad.