Red Seguridad 102

red seguridad tercer trimestre 2023 39 salud 5.0 monográfico de las distintas administraciones públi- cas, cabe mencionar el framework que es de aplicación en la Administración Pública española, el Esquema Nacio- nal de Seguridad (ENS, Real Decreto 311/2022); en especial, frente a uno de los framework más conocidos dentro del mundo empresarial (principalmente en aquellas compañías que de algún modo operan en América del Norte): el NIST 5 CyberSecurity Framework (NIST CSF). En enero de 2010, el Gobierno es- pañol tomó la decisión de crear un Es- quema Nacional de (ciber)Seguridad que proporcionase al sector público un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta. Su ob- jetivo es impulsar la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas, además de facilitar la cooperación y proporcionar un conjunto de requisitos uniforme a la industria de manera que constituya también un refe- rente de buenas prácticas. Con una finalidad similar, el NIST CSF fue emitido por primera vez en 2014 por el Gobierno de los Estados Unidos con el fin de conseguir una mejora de la se- guridad cibernética en infraestructuras críticas, así como con la orientación de ayudar a las empresas de todos los ta- maños (tanto públicas como privadas) a comprender, gestionar y reducir los riesgos cibernéticos y proteger sus redes y datos, proporcionando un lenguaje co- mún y un resumen de las mejores prácti- cas en ciberseguridad. Ambos framework han realizado ac- tualizaciones desde su primera emisión (ENS en 2015 y NIST CSF en 2018), inclu- yendo las más recientes, con la intención de adaptar la ciberseguridad nacional de Estados Unidos (NIST CSF v2.0 6 ) y de España (ENS, Real Decreto 311/2022 7 ) a la constante actualización y creatividad de los ciberdelincuentes para encontrar nuevas vías de (ciber)ataque. La primera diferencia que podríamos señalar entre ambos marcos de referen- cia la encontramos con relación a su aplicabilidad: el NIST CSF es de aplica- ción recomendada, tanto para empresas públicas como privadas, mientras que el ENS es de obligado cumplimiento para los organismos públicos españoles y sus prestadores de servicios. Hasta la última versión de NIST CSF, aún en estado borrador, existía otra di- ferencia fundamental entre ambos fra- mework : el gobierno de la seguridad. Mientras que el ENS tiene en considera- ción desde su primera versión la impor- tancia de un buen gobierno de la ciber- seguridad para conseguir desarrollar un marco de control que permita reaccionar de manera rápida ante los rápidos avan- ces de los ciberdelincuentes, es en su última versión donde el NIST CSF toma consciencia de ello y lo incluye junto a sus cinco dominios (ahora seis) de cla- sificación de los objetivos de control a tener en cuenta. Recomendaciones Con el fin de facilitar la implantación de ambos framework , tanto el NIST como el Centro Criptológico Nacional 8 han publi- cado una serie de guías con recomen- daciones: guías CCN-STIC 800 para la adecuación al ENS y Special Publication para la implantación del NIST CSF (SP 800, SP 1800, SP 500). Las distintas administraciones públicas toman conciencia de la necesidad de protegerse frente a las amenazas digitales