Red Seguridad 091

Entidades locales, más ciberseguras gracias al CCN dad, conformidad y gestión continua de la seguridad. A continuación, se desarrollan los principales pasos a seguir dentro de cada uno de estos bloques: 1. Plan de Adecuación del Sistema Lo primero que se ha de hacer es identificar todos aquellos servicios que la entidad presta y que deberán cumplir con el ENS. Para ello, se rellena una Ficha de Servicios en la que se detalla la información que se trata y a través de qué sistemas, así como una valoración inicial del nivel de seguridad. Tras ello, se procede a la categorización de dichos sistemas, indicando si son de categoría básica, media o alta, en función del impacto que tendría un incidente de seguridad en los servicios analizados y la infor- mación tratada por cada uno de ellos. En base a esta información y tras realizar un análisis de riesgos, la enti- dad elabora dos documentos: una Declaración de Aplicabilidad , con las medidas de seguridad que se van a aplicar para cumplir con el ENS, y una Política de Seguridad , en la que define su compromiso respecto a la seguridad de los servicios proporcio- nados a la ciudadanía y la información que estos gestionan, describiendo los mecanismos que se han implementa- do y los responsables de velar por su cumplimiento. 2. Implantación de medidas Finalizada esta primera fase, llega el momento de definir e implementar las medidas de seguridad: es decir, cómo se va a minimizar la superfi- cie de exposición a ciberamenazas, así como qué medidas técnicas se van a utilizar, desde herramientas de vigilancia (por ejemplo, EMMA 3 , del CCN-CERT), bastionado de servido- L as entidades locales , al igual que el resto de administraciones públicas, tienen como objetivo crear las condi- ciones adecuadas para el desarrollo de nuevos servicios ligados a la evo- lución de la tecnología y promover e impulsar, de igual modo, su uso entre la ciudadanía y las empresas. Para ello, es esencial que lo hagan bajo un marco común de seguridad, el cual queda fijado en el Esquema Nacional de Seguridad (ENS). En este sentido, el Centro Criptológico Nacional (CCN), a tra- vés de su capacidad de respues- ta a incidentes de seguridad de la Información (CCN-CERT), colabora activamente con las entidades locales para proteger sus sistemas, de forma que puedan desempeñar de manera segura el ejercicio de sus compe- tencias de asistencia y cooperación económica y técnica. El apoyo que ofrece el CCN-CERT a estas entida- des, ya sean diputaciones, cabildos, consejos insulares u órganos compe- tentes equivalentes, así como ayun- tamientos de todas las dimensiones, se centra especialmente en conseguir que aquellas entidades locales con mayores dificultades se adecuen al ENS. La labor del CCN-CERT consiste, en esencia, en que las entidades apliquen las medidas necesarias para proteger sus sistemas e información, en cumplimiento de lo dispuesto en el Real Decreto 3/2010, de 8 de enero 1 , y sean capaces de superar las audi- torías relacionadas con esta materia. Hasta la fecha, el CCN ha desem- peñado una labor esencial en la pro- tección de los sistemas informáticos de numerosos gobiernos autonómi- cos, como es el caso del Cabildo de Tenerife, el Principado de Asturias, el Gobierno de Navarra o la Comunidad Autónoma de la Región de Murcia. Se ha puesto en marcha en las enti- dades locales un instrumento esen- cial para facilitar la adopción de las medidas oportunas que garanticen una defensa eficiente, así como la implantación de las herramientas o tecnologías más adecuadas para ello: los Centros Virtuales de Operaciones de Ciberseguridad (vSoC) 2 . Para implantar estos vSoC, el CCN-CERT sigue un modelo que, basado en la adecuación de las enti- dades al ENS, está integrado por cuatro grandes bloques de actuación: Plan de Adecuación del Sistema, implantación de medidas de seguri- 18 red seguridad cuarto trimestre 2020 Pablo López Jefe del Área de Normativa y Servicios de Ciberseguridad del CCN opinión servicios esenciales monográfico