Red Seguridad 097

40 red seguridad segundo trimestre 2022 entrevista mediante “posturas de seguridad” evi- denciadas a través de un “diagnóstico de seguridad”. Las empresas proveedoras de solucio- nes y servicios a las entidades públi- cas están obligadas también a cumplir el ENS. ¿Cuáles son los principales requisitos que tendrán que cumplir las empresas privadas para poder trabajar con la Administración? Efectivamente, una de las mejoras intro- ducidas en el nuevo ENS ha sido la clari- ficación de su ámbito de aplicación, que no solo comprende las entidades de las administraciones públicas (como lo era en su primera versión de 2010), sino que extiende su cobertura a todo el sector público en su conjunto y, también, a las entidades del sector privado que prestan servicios competenciales a dichas enti- dades públicas. No hacerlo así supondría dejar abierta una enorme brecha de seguridad, pues- to que las entidades públicas se hacen ayudar de proveedores externos priva- dos para el mejor desempeño de sus funciones y competencias (pensemos, por ejemplo, en los proveedores de ser- vicios en la nube). Así pues, estas empresas privadas deberán demostrar, antes de prestar ser- vicios a las entidades públicas, que sus sistemas de información son seguros. Para ello deberán ser conformes con lo dispuesto en el ENS, en el nivel y catego- ría de seguridad que les haya sido seña- lado por la entidad pública contratante. Además de ello, el nuevo ENS extiende su ámbito de aplicación a la cadena de suministro de dichos proveedores, en la medida que lo determine un análisis de riesgos preceptivo. ¿Qué niveles de seguridad y certifica- ciones se les exigirá a los proveedores para ello? Las entidades públicas receptoras de servicios, como últimos responsables de la seguridad de sus actuaciones, deben recoger en sus pliegos de prescripciones de sus concursos públicos los niveles y la categoría de seguridad mínima exigi- ble a los sistemas de información de los prestadores que pretendan optar a pres- tar tales servicios. Como mencionaba anteriormente, el ENS introduce el concepto de “perfil de cumplimiento específico”, cuyo objetivo es racionalizar recursos. ¿En qué con- siste este término y cómo va a afectar a administraciones y empresas? Como he señalado antes, la aparición del “perfil de cumplimiento específico” es la respuesta que da el nuevo ENS a una realidad muy frecuente, en la que vemos sectores de actividad con sis- temas de información enormemente similares (y, por tanto, con análogas vul- nerabilidades) desarrollando actividades parecidas y sometidos a un escenario de riesgo común. Ha sido en estos colectivos de entida- des que comparten muchos elementos en donde hemos creído que podíamos hacer un esfuerzo mayor, definiendo para todas ellas un conjunto común de

RkJQdWJsaXNoZXIy MTI4MzQz