El CCN ha trabajado durante más de tres años en la elaboración de un nuevo Esquema Nacional de Seguridad (ENS), que vio la luz en mayo. ¿Hasta qué punto han cambiado las necesidades de ciberseguridad de las administraciones públicas a lo largo de ese tiempo?
Desde la originaria aparición del ENS, allá por 2010, e incluso desde su actualización de 2015, las cosas en materia de ciberseguridad han cambiado mucho. Pero los actores maliciosos (estados, delincuentes, hacktivistas, vándalos, lobos solitarios, etc.), a los que siguen moviendo los mismos o parecidos intereses (estratégicos, económicos, disruptivos, desestabilizadores, etc.), continúan constituyendo la esencia de nuestras preocupaciones. Sin embargo, lo que ha cambiado mucho han sido los métodos, técnicas y procedimientos de ataque, que se han vuelto más sofisticados y, por ende, más peligrosos.
Si a ello le unimos el incesante cambio en el panorama legislativo (nacional, europeo e internacional), así como la enorme evolución de la tecnología y las nuevas formas que tienen los atacantes de utilizarla para sus propósitos dañinos, nos encontramos claramente ante un nuevo escenario de lucha en el que nuestras armas de defensa (el ENS, esencialmente) se habían quedado anticuadas.
Por tanto, era imperativo volver a dotarnos, como ya hicimos en 2010 y 2015, de un modelo de defensa ante los ciberataques sólido y eficaz. Eso es lo que hemos intentado lograr con este nuevo ENS.
¿Cuáles son las principales novedades que incorpora el nuevo ENS?
Son muchas y todas ellas, en nuestra opinión, muy interesantes. Por citar las más importantes, destaca la clarificación de su ámbito de aplicación, la capacidad de ajustar los requisitos del ENS para una aplicación más eficaz y eficiente, así como la introducción del concepto de «perfil de cumplimiento específico», un conjunto de medidas de seguridad que resulten de aplicación a necesidades concretas de entidades de determinados sectores o colectivos, como por ejemplo las entidades locales.
Además de ello, se han revisado los principios, requisitos y medidas para facilitar la adaptación a las tendencias y necesidades de ciberseguridad. Todo ello se ha alineado con las nuevas regulaciones que emanan de la Unión Europea; específicamente, con el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018 sobre esa materia, la Cybersecurity Act, la Directiva NIS (la vigente y la que se aprobará próximamente) y las nuevas regulaciones DORA o eIDAS, entre otras.
¿En qué medida cambia el enfoque del nuevo ENS respecto al anterior y hasta qué punto mejorará dicho enfoque la ciberseguridad de la Administración?
Por todo lo que he comentado, no es difícil suponer que el enfoque de este nuevo ENS se ha hecho, sin perder la rigurosidad exigible, mucho más práctico, más abordable para todas las entidades de su ámbito de aplicación.
Conceptos como los perfiles de cumplimiento específico o la reestructuración de las medidas de seguridad, buscando la eficacia y la eficiencia, son claros ejemplos de ello. Le puedo asegurar que no ha sido fácil. Aunar rigurosidad metodológica y científica con usabilidad ha sido un reto que teníamos muy claro desde el principio y que, en mi opinión, hemos logrado.
«Aunar rigurosidad metodológica y científica con usabilidad era un reto que teníamos muy claro y que hemos logrado»
Durante las pasadas Jornadas STIC que organiza el CCN, usted mencionó que hasta ahora faltaba una gobernanza de la ciberseguridad de la Administración. ¿A través de qué medidas concretas establece el nuevo ENS esa gobernanza?
El mensaje que quería transmitir es que, para muchas organizaciones, el marco de gobernanza de la ciberseguridad institucional no estaba siendo una necesidad de primer orden. Durante estos últimos años hemos hecho muchos esfuerzos para evidenciar que, sin un marco de gobernanza sólido, sustentado en normativas y en un esquema organizativo adecuado y eficaz, resulta absolutamente imposible construir una ciberseguridad eficiente y duradera.
Afortunadamente, parece que nuestros desvelos no han sido en vano, y ya estamos viendo cómo, cada día, son más las instituciones de nuestro sector público que están construyendo un marco de gobernanza de la ciberseguridad para alcanzar aquellos objetivos. Desde el CCN seguimos animando y colaborando con muchas entidades para lograrlo, lo cual, unido a la adecuación al propio ENS, redunda en una menor incidencia e impacto de los ciberataques.
Uno de los motivos de la actualización del ENS ha sido la necesidad de facilitar una mejor respuesta, reducir las vulnerabilidades y promover la vigilancia continua. ¿Qué medidas y procesos propiciarán este objetivo en concreto?
Como es lógico suponer, el ENS no puede reducir las vulnerabilidades intrínsecas con las que salen al mercado los productos de software o hardware; por tanto, debemos concentrar nuestra atención en detectar en qué medida podemos alertar sobre deficiencias en seguridad que puedan propiciar, alentar o facilitar un ciberataque.
Para eso nace este nuevo ENS, para estar en las mejores condiciones que nos permitan detectar brechas en nuestros sistemas y, en consecuencia, adoptar las medidas más eficaces y eficientes. No debemos olvidar que el ENS no está solo, le acompañan una multiplicidad de herramientas que el CCN ha ido incrementando a lo largo de estos últimos años y que constituyen soportes imprescindibles para la mejor adecuación al Esquema. Herramientas como INES, AMPARO, CLARA, ANA, CLAUDIA, LUCIA, y un ya largo etcétera, constituyen elementos de primera magnitud para definir, controlar y proteger eso que hemos denominado «superficie de exposición» mediante «posturas de seguridad» evidenciadas a través de un «diagnóstico de seguridad».
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de esta entrevista.
¿Quieres leer el contenido completo?
