Red Seguridad 097

red seguridad segundo trimestre 2022 39 entrevista Por tanto, era imperativo volver a dotar- nos, como ya hicimos en 2010 y 2015, de un modelo de defensa ante los ciberata- ques sólido y eficaz. Eso es lo que hemos intentado lograr con este nuevo ENS. ¿Cuáles son las principales novedades que incorpora el nuevo ENS? Son muchas y todas ellas, en nuestra opinión, muy interesantes. Por citar las más importantes, destaca la clari- ficación de su ámbito de aplicación, la capacidad de ajustar los requisitos del ENS para una aplicación más eficaz y eficiente, así como la introducción del concepto de “perfil de cumplimiento específico”, un conjunto de medidas de seguridad que resulten de aplicación a necesidades concretas de entidades de determinados sectores o colectivos, como por ejemplo las entidades locales. Además de ello, se han revisado los principios, requisitos y medidas para facilitar la adaptación a las tendencias y necesidades de ciberseguridad. Todo ello se ha alineado con las nuevas regu- laciones que emanan de la Unión Euro- pea; específicamente, con el Reglamen- to General de Protección de Datos y la Ley Orgánica 3/2018 sobre esa materia, la Cybersecurity Act, la Directiva NIS (la vigente y la que se aprobará próxima- mente) y las nuevas regulaciones DORA o eIDAS, entre otras. ¿En qué medida cambia el enfoque del nuevo ENS respecto al anterior y hasta qué punto mejorará dicho enfoque la ciberseguridad de la Administración? Por todo lo que he comentado, no es difí- cil suponer que el enfoque de este nuevo ENS se ha hecho, sin perder la rigurosi- dad exigible, mucho más práctico, más abordable para todas las entidades de su ámbito de aplicación. Conceptos como los perfiles de cum- plimiento específico o la reestructu- ración de las medidas de seguridad, buscando la eficacia y la eficiencia, son claros ejemplos de ello. Le puedo asegurar que no ha sido fácil. Aunar ri- gurosidad metodológica y científica con usabilidad ha sido un reto que teníamos muy claro desde el principio y que, en mi opinión, hemos logrado. Durante las pasadas Jornadas STIC que organiza el CCN, usted mencionó que hasta ahora faltaba una gobernan- za de la ciberseguridad de la Admi- nistración. ¿A través de qué medidas concretas establece el nuevo ENS esa gobernanza? El mensaje que quería transmitir es que, para muchas organizaciones, el marco de gobernanza de la ciberseguridad institucional no estaba siendo una ne- cesidad de primer orden. Durante es- tos últimos años hemos hecho muchos esfuerzos para evidenciar que, sin un marco de gobernanza sólido, susten- tado en normativas y en un esquema organizativo adecuado y eficaz, resulta absolutamente imposible construir una ciberseguridad eficiente y duradera. Afortunadamente, parece que nues- tros desvelos no han sido en vano, y ya estamos viendo cómo, cada día, son más las instituciones de nuestro sector público que están construyendo un mar- co de gobernanza de la ciberseguridad para alcanzar aquellos objetivos. Desde el CCN seguimos animando y colaboran- do con muchas entidades para lograrlo, lo cual, unido a la adecuación al propio ENS, redunda en una menor incidencia e impacto de los ciberataques. Uno de los motivos de la actualización del ENS ha sido la necesidad de faci- litar una mejor respuesta, reducir las vulnerabilidades y promover la vigilan- cia continua. ¿Qué medidas y procesos propiciarán este objetivo en concreto? Como es lógico suponer, el ENS no puede reducir las vulnerabilidades in- trínsecas con las que salen al mercado los productos de software o hardware; por tanto, debemos concentrar nuestra atención en detectar en qué medida podemos alertar sobre deficiencias en seguridad que puedan propiciar, alentar o facilitar un ciberataque. Para eso nace este nuevo ENS, para estar en las mejores condiciones que nos permitan detectar brechas en nues- tros sistemas y, en consecuencia, adop- tar las medidas más eficaces y eficien- tes. No debemos olvidar que el ENS no está solo, le acompañan una multiplici- dad de herramientas que el CCN ha ido incrementando a lo largo de estos últi- mos años y que constituyen soportes im- prescindibles para la mejor adecuación al Esquema. Herramientas como INES, AMPARO, CLARA, ANA, CLAUDIA, LUCIA, y un ya largo etcétera, constituyen ele- mentos de primera magnitud para defi- nir, controlar y proteger eso que hemos denominado “superficie de exposición” “Aunar rigurosidad metodológica y científica con usabilidad era un reto que teníamos muy claro y que hemos logrado”