Real Decretu 311/2022, de 3 de mayu, pol que se regula l’Esquema Nacional de Seguranza

L’Alministración del Principáu d’Asturies tien un compromisu claru cola seguranza de la información de magar se publicó, va 12 años, el Real Decretu 3/2010, de 8 de xineru, pol que se regula l’Esquema Nacional de Seguranza (d’equí p’alantre, ENS). El 4 de mayu del 2022 publicóse’l Real Decretu 311/2022, la última actualización de la norma que regula l’ENS. La finalidá d’esta norma n’ámbitu de l’alministración electrónica ye crear les condiciones precises d’enfotu nel usu de los medios electrónicos al traviés de midíes pa garantizar: la seguranza de los sistemes, los datos, les comunicaciones y los servicios electrónicos, de manera que se favoreza un usu óptimu y seguru de los medios TIC esenciales que son la base de les alministraciones electróniques y del meyor exerciciu de derechos y cumplimientu de deberes qu’a toos y toes afecten.

L’ENS persigue, en definitiva, implantar un escenariu d’enfotu onde los sistemes d’información dean los sos servicios y custodien los datos d’alcuerdu coles sos especificaciones funcionales, ensin interrupciones o modificaciones fuera de control y ensin que la información pueda llegar a conocimientu de persones non autorizaes. Enfotu, polo tanto, en qu’equipos y redes van tener capacidá pa resistir los accidentes y acciones illícites o malintencionaes que comprometen les dimensiones de seguranza, disponibilidá, autenticidá, integridá, trazabilidá y confidencialidá de los datos almacenaos o tresmitíos y de los servicios qu’estes redes y sistemes ufierten o faen accesibles.

Nesi escenariu la seguranza nun atiende namás a la protección de cada sistema o al control escomanáu de lo que caún fai, sinón qu’esixe un procesu d’estudiu y análisis que valore cada elementu como parte d’un tou y onde ye menester una coordinación máxima ente dellos grupos, inclusive con perspectives funcionales o técniques estremaes, y una estandarización de los procedimientos qu’en cada casu apliquen. Ye tamién primordial el siguimientu d’unos criterios y controles que l’Estáu definió como esenciales. La seguranza ye, porque asina lo apunta l’Esquema y porque lo aconseya la esperiencia, dalgo tresversal y integral onde nun caben actuaciones puntuales o indocumentaes. Hai que recordar que la debilidá d’un sistema determínala’l puntu más fráxil y, davezu, ésti surde de la mala coordinación ente midíes amañoses individualmente pero ensamblaes deficientemente.

El camín percorríu a lo llargo d’estos años, reforciando l’enfotu de los ciudadanos nuna alministración electrónica segura y de calidá, dexó descubrir sinerxes y necesidaes nueves n’ámbitu de la seguranza de la información y, sobre manera y con un sentíu más ampliu, na “ciberseguranza”; polo tanto, yera menester una remodelación sustancial de tol ENS. Los oxetivos más destacaos que busca esta actualización son:

• Alliniar l’ENS col marcu normativu de referencia.
• Axustar los requisitos del ENS a necesidaes peculiares d’entidaes públiques o privaes, entornos tecnolóxicos o dar respuesta a situaciones nueves (son los llamaos “perfiles específicos del ENS”).
• Adaptar los principios básicos, requisitos mínimos y midíes de seguranza a los paradigmes y tendencies nueves nel marcu de la ciberseguranza.

Ye relevante destacar l’ampliación del ámbitu d’aplicación del ENS de mayu del 2022 al sector priváu una y bones seyan, de dalguna manera, copartícipes nos servicios que dean o vaigan dar a les alministraciones tanto si esta prestación ye de serviciu o de productu. El Decretu da un pasu acullá recoyendo baxo’l so paragües los sistemes que manexen información clasificada.

Los “perfiles específicos” descríbense cola mira de favorecer el trabayu d’adecuación al cumplimientu del ENS a entidaes asemeyaes como, por exemplu: Conceyos, universidaes o organismos pagadores. O, de la mesma manera, pa que pueda comprobase’l so cumplimientu en servicios tecnolóxicos concretos como pueden ser los servicios na nube.

El decretu vixente del ENS describe cómo xestionar, controlar y ameyorar la seguranza de la información nes organizaciones al traviés de 7 principios básicos, 15 requisitos mínimos y 73 midíes de seguranza.

 

 

Los principios básicos y requisitos mínimos del ENS son los fundamentos qu’han rexir toa acción empobinada a asegurar la información y los servicios. Les midíes de seguranza han aplicase d’alcuerdu al nivel de seguranza riquíu pa cada sistema d’información y d’alcuerdu a unos criterios establecíos, valorando les organizaciones l’impactu d’un incidente de seguranza sobre los sos sistemes.

P’atender a los principios básicos y los requisitos mínimos, el Real Decretu 311/2022 del ENS (amás de determinaes instrucciones técniques qu’emite l’Estáu español) regula y concreta toa una partida d’actividaes y midíes qu’han cumplir les organizaciones y los sistemes d’información.

Esta partida de midíes organícense en trés marcos (organizativu, operacional y de protección) y al empar cada midida pue detallase en dellos controles (véase ilustración al marxe). L’aplicación d’estes midíes y controles materialízase o desenvuélvese de manera contestualizada en cada organización, recoyéndose too esto nun documentu básicu que ye la “Declaración d’Aplicabilidá del Sistema d’Información”. Cada sistema d’información suxetu al ENS ha tener la so propia declaración d’aplicabilidá d’alcuerdu col artículu 28 del Real Decretu Cumplimientu de los requisitos mínimos y del artículu 40 relativu a la categorización de los sistemes d’información.

Ye importante observar que l’ENS va acullá de lo que son remediaciones técniques y insiste en vertebrar la seguranza faciendo que forme parte de la esencia de l’Alministración, que les instancies más altes de la organización conozan y sofiten eses midíes; midíes qu’han balanciar les necesidaes operatives d’usuarios y trabayadores cola imposición d’elementos restrictivos que busquen, sobre manera, dificultar les operaciones d’intrusión y ataque esternu que nun númberu altu recibimos.

Al respective d’esto, hai que señalar que’l Principáu d’Asturies aprobó, nel so momentu, la “Política de seguranza de los sistemes d’información na Alministración del Principáu d’Asturies” (PSI).

Acompañando a esta política publíquense les Normatives de Seguranza de la PSI. Estes normes, de forma análoga a lo qu’establez la PSI, son de cumplimientu obligáu pa tol personal –seya la que seya la so rellación contractual cola Alministración– con accesu a los sistemes d’información de l’Alministración del Principáu d’Asturies.

Conocer la política, aplicar los sos principios, atender la interpretación técnica que los especialistes en seguranza TIC faigan de los sos artículos y normatives asociaes, ye un valor esencial que-y da sentíu a munches de les actividaes que protexen los nuestros sistemes y datos.

Pa fortalecer l’aplicación de la política y la implicación máxima, cola mira de poner la nuestra organización como una referencia nacional de la seguranza, tiense como oxetivu’l caltenimientu de la certificación del ENS pa la “Sede electrónica de l’Alministración del Principáu d’Asturies" (SEAPA) y la progresión na certificación d’otros sistemes. Como facilitador d’esos oxetivos estratéxicos determinóse la creación del “Comité d’Estratexa Dixital y Seguranza de la Información” (CEDISI) que se fundamenta nel Decretu 37/2018, de 18 de xunetu, d’organización y desenvolvimientu de los instrumentos de funcionamientu de les tecnoloxíes de la información y les comunicaciones y de la seguranza de la información de l’Alministración del Principáu d’Asturies y el so sector públicu (y la so primer modificación Decretu 68/2020, de 17 de setiembre). El CEDISI ye un órganu específicu, de composición profesional y multidisciplinar que va desenvolver les sos funciones pa tola Alministración xeneral y organismos dependientes del Principáu d’Asturies. Da cumplimientu a la obligación de les Alministraciones públiques de describir un marcu de referencia pa la organización de la seguranza de la información nel so ámbitu de competencia, d’alcuerdu colo dispuesto nel ENS. El CEDISI ye’l comité que xestiona y coordina la seguranza, responsabilizándose d’alliniar les actividaes de la organización en materia de seguranza de la información.

El cumplimientu de toles midíes a les qu’obliga l’ENS implica un plan meditáu d’análisis y diseñu técnicu y organizativu que se reflexa nun conxuntu d’actividaes qu’han executase y abordase de manera progresiva y controlada, implicando y afectando a miles d’equipos, redes, aplicaciones o bases de datos, amás d’a los usuarios qu’usen esos elementos. Too esto supón un retu de gran envergadura qu’empezó col análisis del estáu de l’Alministración del Principáu d’Asturies en materia de cumplimientu de los requisitos establecíos pol ENS y persiste coles xeres d’ameyoramientu de contino calteníes nel tiempu qu’esixe la seguranza.