La generalització necessària de la societat de la informació és subsidiària, en gran mesura, de la confiança que generi en els ciutadans la relació a través de mitjans electrònics.

El dret a comunicar-se amb les administracions públiques, a través de mitjans electrònics comporta una obligació correlativa de les mateixes, que ha de contemplar les condicions perquè la llibertat i la igualtat siguin reals i efectives, a través de tecnologies segures.

Per regular aquest accés dels ciutadans als serveis públics, es va crear l'Esquema Nacional de Seguretat, l'objecte del qual és l'establiment dels principis i els requisits d'una política de seguretat en la utilització de mitjans electrònics que permeti la protecció adequada de la informació.

La finalitat de l'Esquema Nacional de Seguretat és la creació de les condicions necessàries de confiança en l'ús dels mitjans electrònics, a través de mesures per garantir la seguretat dels sistemes, les dades, les comunicacions i els serveis electrònics, que permeti a els ciutadans i les administracions públiques, l'exercici de drets i el compliment de deures a través d'aquests mitjans.

L'Esquema Nacional de Seguretat persegueix fonamentar la confiança que els sistemes d'informació prestaran els seus serveis i custodiaran la informació d'acord amb les especificacions funcionals, sense interrupcions o modificacions fora de control, i sense que la informació pugui arribar al coneixement de persones no autoritzades .

Tant des de sectors privats com des de la mateixa administració pública, la seguretat de la informació planteja un repte que va més enllà de l'assegurament individual de cada sistema. Cada sistema ha de tenir clar el seu perímetre i els responsables de cada domini de seguretat s'han de coordinar efectivament per evitar «terres de ningú» i fractures que poguessin danyar la informació o els serveis prestats.

En aquest context s'entén per seguretat de les xarxes i de la informació, la capacitat de les xarxes o dels sistemes d'informació de resistir, amb un determinat nivell de confiança, els accidents o accions il·lícites o malintencionades que comprometin la disponibilitat, autenticitat, integritat i confidencialitat de les dades emmagatzemades o transmeses i dels serveis que aquestes xarxes i sistemes ofereixen o fan accessibles. Afegint-hi la traçabilitat de tals dades.

El primer document oficial regulador va ser el Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat a l'àmbit de l'Administració Electrònica

Amb posterioritat, es va redactar un segon Reial decret de modificació:

Reial decret 951/2015, de 23 doctubre, de modificació del Reial decret 3/2010, de 8 de gener, pel qual es regula lEsquema Nacional de Seguretat en làmbit de lAdministració electrònica.

El seu objectiu principal era i continua sent l'actualització de la normativa derivada del RD 3/2010, l'abast i el contingut del qual s'orienta a precisar, aprofundir i contribuir al millor compliment dels mandats normatius, clarifica el paper del Centre Criptològic Nacional i del CCN- CERT, explicita i relaciona les instruccions tècniques de seguretat, i la Declaració d'Aplicabilitat, actualitza l'Annex II referit a les mesures de seguretat i simplifica i concreta l'annex III, referit a l'auditoria de seguretat, modifica el Glossari de termes recollit al annex IV, modifica la redacció de la clàusula administrativa particular continguda a l'annex V i finalitza establint mitjançant disposició transitòria un termini de vint-i-quatre mesos comptats a partir de l'entrada en vigor per a l'adequació dels sistemes al que disposa la modificació.

A considerar, a títol d'exemple, que ja des del principi, es redacten articles com:

L'apartat 3 de l'article 15 queda redactat de la manera següent:

«3. Les administracions públiques exigiran, de manera objectiva i no discriminatòria, que les organitzacions que els prestin serveis de seguretat comptin amb professionals qualificats i amb uns nivells idonis de gestió i maduresa en els serveis prestats.»

Tres. Es modifica l'article 18, el títol del qual passa a ser «Adquisició de productes de seguretat i contractació de serveis de seguretat» i els seus apartats 1 i 4 queden redactats de la manera següent:

«1. En l'adquisició de productes de seguretat de les tecnologies de la informació i comunicacions que siguin emprats per les administracions públiques s'utilitzaran, de forma proporcionada a la categoria del sistema i nivell de seguretat determinats, aquells que tinguen certificada la funcionalitat de seguretat relacionada amb l'objecte de la seua adquisició, llevat dels casos en què les exigències de proporcionalitat quant als riscos assumits no ho justifiquin segons el parer del responsable de Seguretat.»

«4. Per a la contractació de serveis de seguretat cal atenir-se al que disposen els apartats anteriors i l'article 15.»

En altres paraules, doncs, que les administracions públiques disposen d'una eina per requerir als seus proveïdors de productes i serveis relatius a la seguretat de la informació, que estiguin certificats amb l'esquema ENS si la seva intenció és interaccionar amb aquestes administracions públiques.

Actualment, bona part de les administracions públiques ja han adaptat o estan adaptant les seves estructures de seguretat de les dades a l'ENS, amb sistemes de seguretat que persegueixen una resposta segura i resilient a les possibles vulneracions derivades d'atacs al sistema. Una aposta orientada a la ciberseguretat.

Però és que, a més, en els concursos o licitacions públiques que elaboren, ja s'exigeix que les organitzacions que es vulguin presentar han d'acreditar sistemes de seguretat que compleixin l'ENS i que estiguin certificats per entitats acreditades per aquest organisme.

I és en aquest sentit que les organitzacions privades han d'atendre, en la mesura que els afecti o pugui afectar, els requisits de garantir (i certificar per organització independent tercera), el compliment d'aquests, mantenint i actualitzant de forma contínua els seus sistemes de seguretat de dades.

Actiu. Component o funcionalitat d'un sistema d'informació susceptible de ser atacat deliberadament o accidentalment amb conseqüències per a l'organització. Inclou: informació, dades, serveis, aplicacions (software), equips (hardware), comunicacions, recursos administratius, recursos físics i recursos humans.

Anàlisi de riscos. Utilització sistemàtica de la informació disponible per identificar perills i estimar-ne els riscos.

Auditoria de la seguretat. Revisió i examen independents dels registres i activitats del sistema per verificar la idoneïtat dels controls del sistema, cal assegurar que es compleixen la política de seguretat i els procediments operatius establerts, detectar les infraccions de la seguretat i recomanar modificacions apropiades dels controls , de la política i dels procediments.

Autenticitat. Propietat o característica consistent que una entitat és qui diu ser o bé que garanteix la font de què procedeixen les dades.

Categoria d'un sistema. És un nivell, dins l'escala Bàsica-Mitjana-Alta, amb què s'adjectiva un sistema per tal de seleccionar les mesures de seguretat necessàries per a aquest. La categoria del sistema recull la visió holística del conjunt d‟actius com un tot harmònic, orientat a la prestació d‟uns serveis.

Confidencialitat. Propietat o característica consistent que la informació ni es posa a disposició, ni es revela a individus, entitats o processos no autoritzats.

Disponibilitat. Propietat o característica dels actius consistent que les entitats o processos autoritzats hi tenen accés quan ho requereixen.

Gestió de riscos. Activitats coordinades per dirigir i controlar una organització pel que fa als riscos.

Incident de seguretat. Succés inesperat o no desitjat amb conseqüències en detriment de la seguretat del sistema dinformació.

Integritat. Propietat o característica consistent que l'actiu d'informació no s'ha alterat de manera no autoritzada.

Mesures de seguretat. Conjunt de disposicions encaminades a protegir-se dels riscos possibles sobre el sistema dinformació, per tal dassegurar els seus objectius de seguretat. Es poden tractar de mesures de prevenció, de dissuasió, de protecció, de detecció i reacció, o de recuperació.

Política de seguretat. Conjunt de directrius plasmades en document escrit, que regeixen la manera com una organització gestiona i protegeix la informació i els serveis que considera crítics.

Risc. Estimació del grau dexposició a que una amenaça es materialitzi sobre un o més actius causant danys o perjudicis a lorganització.

Seguretat de les xarxes i de la informació, és la capacitat de les xarxes o dels sistemes d'informació de resistir, amb un determinat nivell de confiança, els accidents o accions il·lícites o malintencionades que comprometin la disponibilitat, autenticitat, integritat i confidencialitat de les dades emmagatzemades o transmeses i dels serveis que aquestes xarxes i sistemes ofereixen o fan accessibles.

Sistema de gestió de la seguretat de la informació (SGSI). Sistema de gestió que, basat en l‟estudi dels riscos, s‟estableix per crear, implementar, fer funcionar, supervisar, revisar, mantenir i millorar la seguretat de la informació. El sistema de gestió inclou lestructura organitzativa, les polítiques, les activitats de planificació, les responsabilitats, les pràctiques, els procediments, els processos i els recursos.

Sistema d'informació. Conjunt organitzat de recursos perquè la informació es pugui recollir, emmagatzemar, processar o tractar, mantenir, fer servir, compartir, distribuir, posar a disposició, presentar o transmetre.

Traçabilitat. Propietat o característica consistent que les actuacions d'una entitat poden ser imputades exclusivament a aquesta entitat.

Vulnerabilitat. Una debilitat que pot ser aprofitada per una amenaça.

No es tracta d'un esquema senzill però que, amb suport especialitzat, es pot abordar en un espai de temps curt, sempre que l'estructura i la infraestructura dels actius, del personal i de la capacitat i recursos de l'organització privada que es vulgui certificar, s'alinein amb els requisits de seguretat requerits.

En propers posts ampliarem informació sobre l'ENS i la metodologia d'implantació, auditoria i certificació.

La nostra organització està preparada per assessorar tècnicament i organitzativament les organitzacions client que confiïn en la nostra experiència.

Per a més informació, contacteu aquí