Blog Técnico. Modificación del Esquema Nacional de Seguridad

CÉSAR HERRERO POMBO | Noviembre 2015

En el BOE de hoy, 4 de noviembre de 2015, se ha publicado el RD 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

La norma explica en su Preámbulo que la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (derogada) estableció el Esquema Nacional de Seguridad que fue aprobado mediante RD 3/2010, de 8 de enero y que define la política de seguridad en la utilización de medios electrónicos.

Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público recoge el Esquema Nacional de Seguridad en su artículo 156 y la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, lo recoge en su artículo 13.

Sin embargo, las ciberamenazas se han convertido en un potente instrumento de agresión contra las entidades públicas y los ciudadanos en sus relaciones con las mismas, por lo que es necesario reforzar las garantías de seguridad de los sistemas de información y las redes de comunicaciones e infraestructuras comunes a todas las Administraciones Públicas, lo que justifica la actualización del ENS, cuyos rasgos principales son:

  • Clarificar el papel del Centro Criptológico Nacional y del CCN-CERT.
  • Explicar y relacionar las instrucciones técnicas de seguridad y la Declaración de Aplicabilidad.
  • Actualizar el Anexo II referido a las medidas de seguridad.
  • Simplificar el anexo III, referido a la auditoría de seguridad.
  • Modificar el Glosario de términos del anexo IV.
  • Modifica la redacción de la cláusula administrativa particular contenida en el anexo V (para contratos de software de las AAPP).
  • Establecer un plazo de 24 meses para la adecuación de los sistemas a lo dispuesto en la modificación.

Hay que recordar que, de acuerdo con el art. 11 del ENS, todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, aplicando los siguientes requisitos mínimos:

a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos.
h) Seguridad por defecto.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de actividad.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad

Es llamativa la modificación del punto 4.2.5 del Anexo II que en cuanto a las medidas de seguridad de autenticación, queda redactado de la siguiente forma:

Los mecanismos de autenticación frente al sistema se adecuarán al nivel del sistema atendiendo a las consideraciones que siguen, pudiendo usarse los siguientes factores de autenticación:
- "algo que se sabe": contraseñas o claves concertadas.
- "algo que se tiene": componentes lógicos (tales como certificados software) o dispositivos físicos (en expresión inglesa, tokens).
- "algo que se es": elementos biométricos.

 

CÉSAR HERRERO POMBO
Secretario Municipal | Ayuntamiento de Tavernes de la Valldigna