En la sede del capítulo de Madrid de ISACA, antes conocida como Asociación Internacional de Auditoría y Control de Sistemas –organización que hoy agrupa a más de 165.000 profesionales de esta sector en 180 países diferentes–, se realizó el X aniversario del Esquema Nacional de Seguridad (ENS).
En el mismo participaron Miguel Ángel Amutio, director de la División de Planificación y Coordinación de Ciberseguridad de la Secretaría General de la Administración Digital; Guillermo Obispo San Román, jefe de Proyecto de Sistemas Informáticos en la Intervención General de la Administración del Estado; y el capitán de la Guardia Civil Luis Lavilla, entre otros.
El ENS es una pieza importante de la estrategia de transformación digital del sector público, y tiene por objeto establecer los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información que tratan dichas administraciones o entes públicos.
Para su implementación se han tenido en cuenta tres pilares fundamentales: El marco legal, que proporciona la seguridad jurídica; La cooperación y la gobernanza, que son esenciales; y los servicios que proporcionan en la práctica.
Estas tres claves fueron resaltadas por Miguel Ángel Amutio, quien destacó además que el legislador incluyó la ciberseguridad como “un principio de actuación de la Administración junto con el derecho que tenemos los ciudadanos a la seguridad y confidencialidad de nuestros datos en sus sistemas, ficheros y aplicaciones”
Desarrollo normativo e implementación del ENS
El mes de enero de 2010 marcaba un hito para la protección de los sistemas TI en España con la llegada del Esquema Nacional de Ciberseguridad (ENS), que se publicó el día 29 en el BOE.
En él se establecían los requisitos mínimos que, de acuerdo con el interés general, permitían una protección adecuada de la información, las comunicaciones y los servicios de las Administraciones Públicas, según el Centro Criptológico Nacional (CCN-Cert).
Asimismo, desde el organismo han estimado que el ENS se ha convertido en la principal herramienta de protección de los servicios públicos del país, ya que viene acompañado de 61 Guías CCN-STIC, 14 soluciones de ciberseguridad desarrolladas por el CCN y 4 Instrucciones Técnicas de Seguridad (ITS) sobre notificación de incidentes.
De ese marco legal también hay que citar la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, donde se recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
Ese año se modificó dicho Esquema desde el Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.
Éxitos y tareas pendientes
Según explicó Amutio, en otros países el marco de la protección y de los servicios del sector público sigue sin estar anclado en la legislación convenientemente. En España, sin embargo, se tenemos un marco a medida de las entidades públicas, con un Real Decreto de calado y con grandes objetivos.
Para este experto de la Administración, en estos 10 años cumplidos “hemos sido pioneros; posteriormente ha llegado toda la legislación de protección de infraestructuras críticas, el Reglamento de Identidad Electrónica y Servicios de Confianza, el RGPD, la directiva NIS, la Ley Orgánica…”.
En su opinión se ha logrado “adquirir un bagaje en cuatro planos; el del marco normativo; el desarrollo del plan de soporte a demanda de los profesionales; tenemos el plano de la conformidad, el Consejo de Certificación del ENS y el plano de monitorización, con datos de cómo está la ciberseguridad de las instituciones del Estado”.
Amutio reconoce que el trabajo ahora se centra en alinear el texto con el marco legal actual y el contexto estratégico, para facilitar la ciberseguridad en la administración, actualizarlo para responder a las tendencias en cuanto a vulnerabilidades y amenazas, e incorporar nociones como la vigilancia activa”.
Otro punto de trabajo es lo de “flexibilizar la aplicación normativa para facilitar su implementación sobre todo en administraciones locales y entidades en la nube. Los responsables de ENS quieren que esas precisiones en el texto estén codificadas, para que no sean cuestiones interpretables o ambiguas”.
SITEL, un sistema complejo de gestionar
Otro de los ponentes de esta jornada fue el capitán de la Guardia Civil responsable del Grupo de Interceptación de Comunicaciones del cuerpo, Luis Lavilla.
Éste explicó el funcionamiento del Sistema de Interceptación del Sistema de Telecomunicaciones (SITEL), que funciona desde el año 2004.
La misión de SITEL es facilitar, proteger y poner al servicio de las unidades de investigación y de la autoridad judicial los datos del servicio de interceptación de telecomunicaciones, cuyo secreto es un derecho fundamental de los ciudadanos.
“Nuestra visión era establecer un sistema seguro que proteja todos los sistemas de comunicación, incluso para que no se mezcle ni se use de manera general”.
El marco legal en el que se mueve este trabajo de interceptación de la Guardia Civil es la Ley de Enjuiciamiento Criminal que establece qué, quién y cómo se accede a la información y cuándo y cómo se informa o acceden a ella los jueces, las defensas, etc.
Otro marco legal que les afecta es la Ley Orgánica 15/99 de Protección de Datos, ya modificada con el RGPD y la LOPD-GDD.
La misma Agencia Española de Protección de Datos (AEPD) en el año 2010 procedió a realizar una auditoría de los sistemas SITEL, quien determinó que no afecta al derecho a la intimidad ni está sometido al derecho de acceso, rectificación, etc.
De hecho, el propio hecho de dictar una orden de interceptación ya se incluye dentro del sistema de secreto de Sumario.
También están sometidos a las rígidas limitaciones de la Ley General de Telecomunicaciones, la Ley de Conservación de Datos de las Comunicaciones y por el Real decreto 3/2010 del ENS y a una numerosa regulación administrativa de órdenes ministeriales, reglamentos e instrucciones técnicas que dan forma a la hora de comunicarnos con operadoras, jueces, etc.
“Nuestro trabajo es complejo y está condicionado”
Lavilla describió la complejidad del trabajo con el sistema de interceptación legal de las comunicaciones: “tiene grandes complejidades, puesto que no es un sistema de almacenamiento, ni de reparto, ni de recuperación de información; es todo eso y más. La normativa legal nos impone un marco cerrado y estricto de funcionamiento.”
Entre otros condicionantes, la propiedad de la información, que pertenece a los jueces y tribunales y no la Guardia Civil.
“Nosotros somos agentes facultados, pero tenemos a los agentes proveedores de tecnología que nos condicionan, al igual que otros ministerios y la propia norma ENS. Incluso, estamos condicionados por la opinión pública, tanto como sufridora, como beneficiaria del sistema”.
Gestión de las incidencias de seguridad
Por su parte, el Jefe de Proyecto de Sistemas Informáticos en la Intervención General de la Administración del Estado, Guillermo Obispo, activista en Protaapp (Asociación de empleados públicos que protege a la Administración Pública) explicó mediante una comparación con la pirámide alimenticia, cómo deben proceder los gestores de una organización con responsabilidades en datos y seguridad.
Según Obispo, quien más quien menos se ha “comido” una incidencia de seguridad. Se requiere hacer las cosas de manera equilibrada, como si fuera un menú. Hay 75 controles que el ENS tiene y hay que cumplir.
Como si fuera la pirámide alimenticia, lo primero serían los cereales y carbohidratos, es decir, hay que cuidarse y realizar la debida planificación, reunión de equipos y gestión de proyectos, y establecer una metodología.
En segundo lugar, Obispo puso en segundo nivel como base de actuación los “vegetales”, que trasladado al ENS serían el establecimiento de planes de formación y la concienciación, el cumplimiento normativo y complementar al Delegado de Protección de Datos (DPD).
El tercer paso serían las frutas, es decir, prevenir el envejecimiento: La investigación mediante nuevos desarrollos y tecnologías, con el apoyo desde el área de calidad.
En cuarto lugar, las proteínas que van directas al músculo, lo que ofrece la consultoría interna, la revisión de logs, revisión de navegación, los accesos, y las copias de seguridad. “Hay que dedicarle tiempo a esto”, insistió.
Obispo comparó la infraestructura, el parcheo, el inventario TI y la monitorización de actividades y activos (personas, etc.) con el quinto nivel; los lácteos que sirven para reforzar el esqueleto.
Y en sexto lugar puso los lípidos que engrasan un organismo, es decir, la actividad post-incidente, los informes periódicos, como el referido INES y otros que sirven para obtener información y conseguir coordinación.
Esta manera tan gráfica nos da una idea de cómo gestionar algo, a priori tan complejo, como las incidencias en seguridad.
NotiVeraz