Red Seguridad 097

52 red seguridad segundo trimestre 2022 opinión Ya tenemos nuevo Esquema Nacional de Seguridad (ENS). Tras varios meses con la noticia de un nuevo ENS revoloteando, se ha publicado en el Boletín Oficial del Estado el Real Decreto 311/2022, de 3 de mayo, por el que se regula el nuevo Esquema Nacional de Seguridad, tras la ligera revisión sufrida en 2015 de la redacción inicial de 2010. Han pasado más de 12 años desde aquel primer momento y, obviamente, la realidad ha cambiado sustancialmente; y no hable- mos de las tecnologías y de los riesgos de ciberseguridad. Ante este inminente cambio, desde Leet Security queremos analizar, identi- ficar y poner a disposición de las partes interesadas la información fundamental para abordar el uso y/o adecuación al nuevo ENS. Es decir, queremos facilitar las herramientas necesarias para que la transición sea lo más suave posible y, sobre todo, alineada con su estrategia. Adecuación Para la adecuación al ENS se ha esta- blecido un plazo de 24 meses para los sistemas preexistentes a la entrada en vigor del nuevo texto, hasta mayo de 2024. Este plazo supone que se podrán emitir todavía certificados respecto al anterior texto para sistemas preexisten- tes durante 24 meses. Y que la validez de los certificados respecto al “viejo” ENS no podrá exceder la fecha del 4 de mayo de 2024. Si se emite un certificado al año de publicación del nuevo ENS, aunque la validez estándar sería de dos años, en virtud de la disposición transitoria, solo tendría una validez de uno. Por tanto, re- comendamos: Llevar a cabo la auditoría de certifica- ción lo antes posible para consumir el menor plazo posible. Realizar un análisis gap respecto al nuevo ENS para preparar la renova- ción respecto a las nuevas medidas. Dada la concentración de auditorías de recertificación que se producirán conforme se acerque la fecha de mayo de 2024, es conveniente ade- lantar el proceso para evitar cuellos de botella. Principales cambios En cuanto a los cambios, y en base a la información publicada hasta el momen- to de escribir este texto, las diferencias principales del nuevo texto son un ali- neamiento con el marco legal actual y la incorporación de la figura de los per- files de cumplimiento (para institucio- nalizar algo que venía siendo utilizado de facto desde hace varios años). Los perfiles de cumplimiento “introducen la capacidad de ajustar los requisitos [...] a necesidades específicas, mediante la definición de un conjunto de medidas de seguridad que resulten de actividad a una entidad o sector de actividad concreta, y para una determinada cate- goría de seguridad”. Esta figura será relevante para aque- llas entidades que entren dentro de los tipos caracterizados para un perfil o para las administraciones públicas que sean usuarias de las tecnologías con un perfil propio. Por otra parte, las certificadoras ten- drán que tener en cuenta los perfiles asociados a los servicios en la nube en el caso que sus entidades auditadas los utilicen para cumplir con el ENS. Otra diferencia es la introducción de un nuevo elemento denominado “re- fuerzos” para recoger las medidas adi- cionales que se pueden aplicar según aumenta la categoría de los sistemas o para sistemas que tratan información confidencial (este tipo de sistemas se han incorporado ahora también al al- cance del ENS). Los refuerzos tienen como objetivo, en concreto, satisfacer tres necesidades. En primer lugar, clarificar la manera en la que se incrementa el nivel de exigen- cia de una medida (si corresponde) se- El nuevo ENS ya está aquí y así te afecta: un análisis de los cambios A ntonio R amos CEO y socio fundador de Leet Security