La digitalización es una realidad. Sea una empresa o un organismo público; sea una entidad internacional o autonómica, todas se han familiarizado con la oficina sin papeles, la migración al cloud, los certificados digitales…
Este nuevo contexto, además de traer nuevas maneras de trabajar y relacionarse con el usuario, ha devenido en nuevas amenazas: algunas vienen por el propio medio y están relacionadas con el phising, la suplantación de identidad, la ciberextorsión, etc; y, otras, por la actualidad que estamos viviendo hoy en día, como es el caso de la guerra de Rusia-Ucrania.
A todo esto, obviamente, se le suma la aparición de nuevas normativas, tanto a nivel europeo como nacional. Con el propósito de regular y asegurar el acceso, integridad, disponibilidad y veracidad de la información empleada en medios electrónicos relacionados con las Administraciones Públicas, se configura el Esquema Nacional de Seguridad (ENS).
¿Qué es el ENS?
Desde noviembre de 2017, las Administraciones Públicas españolas tienen la obligación de cumplir el Esquema Nacional de Seguridad. El ENS es la normativa que establece la política de seguridad que se debe aplicar sobre los medios electrónicos utilizados por la Administración Pública. El Esquema Nacional establece unas medidas de seguridad necesarias para garantizar la seguridad de la información.
Para conseguirlo, el ENS ha de cumplir una serie de principios básicos:
- Seguridad integral: la seguridad es transversal y las personas que intervienen en el proceso deben estar convencidas de su necesidad.
- Gestión de riesgos: para reducirlos hasta un nivel aceptable.
- Prevenir reaccionar y recuperar todo lo que haya sido amenazado. Contemplar medidas de prevención, detección y recuperación tras un ataque.
- Líneas de defensa: el sistema debe contar con varias capas de seguridad.
- Reevaluación periódica, actualizando las medidas de seguridad y auditando recursos y procesos.
- Función diferenciada: hay responsables de la información, responsable del servicio y responsable de la seguridad.
El ENS está recogido en el Real Decreto 3/2010 y surgió como resultado del trabajo coordinado entre el Ministerio de la Presidencia, posteriormente Ministerio de Política Territorial y Administración Pública, y con el apoyo del Centro Criptológico Nacional (CCN) y la participación de todas las Administraciones públicas, universidades públicas y órganos colegiados con competencias en administración electrónica.
La ciberseguridad en el sector TIC
El ENS se crea por la necesidad de establecer metodologías comunes relativas a la seguridad en la implantación y utilización de los medios electrónicos por las Administraciones Públicas. Así se crean las condiciones de confianza necesarias para que los ciudadanos usen estos medios para realizar sus deberes y hacer valer sus derechos.
Muchas entidades (públicas y privadas) están empezando a contar con profesionales especializados en ciberseguridad: técnicos que forman parte del equipo de desarrollo o bien consultoras que dan solución a los problemas de seguridad a los que se enfrentan otras empresas.
Los perfiles buscados van desde profesionales especializados en Gestión TIC, que de alguna manera sepan evaluar cómo puede afectar una brecha de seguridad al ciclo de vida del servicio; hasta programadores y analistas que puedan dar respuesta a problemas de seguridad en aplicaciones web o en tecnologías específicas como Spring o XML.