Desde Ceci B. Demille a  Alfred Hitchcock, pasando por  Michael Haneke, muchos han sido varios los directores que han rodado una segunda versión de una película anterior e incluso han vuelto a rodar sus propias películas. La llegada del sonoro, del color, de los distintos formatos, de historias filmadas fuera de los EEUU y de las que Hollywood quiere tratar de nuevo desde sus posibilidades de producción… son algunas de las razones para rehacer o retocar un trabajo previo intentando mejorarlo.

Los miembros del grupo de elaboración del Esquema Nacional de Seguridad (ENS) han considerado que era el momento (en realidad lo decidieron hace más de un año) para hacer una nueva versión de dicho Esquema. Las motivaciones las encontramos en cuestiones tales como: la intensificación de las ciberamenazas y ciberincidentes, en el avance de las tecnologías y la transformación, en la evolución del marco legal (por ejemplo con la LOPDyGDD y el RD 12/2018, entre otras leyes), la extensión de la implantación del ENS o la identificación de nuevas necesidades y carencias del anterior ENS.

En mi opinión, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad trae como principal novedad, la obligación de su cumplimiento por parte de las empresas privadas que sean proveedoras de productos y servicios de Tecnologías de la Información y las Comunicaciones o que hagan uso de estas tecnologías para proveer el producto/servicio (con un objeto principal que no sea TIC) contratado por una entidad pública.

En realidad, esa obligación ya existía, pero es verdad que no se recogía expresamente con anterioridad en el ENS en rango de ley, sino en una circular; si bien, en la disposición adicional primera de la LOPDyGDD  se recoge para los encargados de tratamiento de datos de carácter personal.

Cambios destacable respecto al nuevo Esquema Nacional de Seguridad

Los Cambios destacable respecto al nuevo Esquema Nacional de Seguridad son los siguientes:

  • En el artículo 2 “Ámbito de aplicación” (anterior artículo 3), se incluye la aplicabilidad del RD al sector privado cuando presten servicios al sector público. Esto también se extiende a la propia cadena de suministro. Se podrá exigir a la empresa proveedora las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS para asegurar su conformidad.
  • Se incluye en el artículo 3 una mención especial a los Sistemas que traten datos personales, incluyendo la necesidad de realizar los respectivos encargos de tratamiento y análisis de riesgos.
  • En el artículo 5 donde se incluyen los “Principios básicos”, se actualiza de tal manera:
    • El punto c) del antiguo ENS indicaba Prevención, reacción y recuperación, y en el nuevo ENS se actualiza con Prevención, detección, respuesta y conservación
    • Se incluye el punto 5e) de Vigilancia Continua, haciendo mención a una detección de actividades y comportamientos anómalos de forma permanente, incluyendo de la detección y análisis de vulnerabilidades.
    • Se incluye el punto 5g) Diferenciación de Responsabilidades, que indica:
      • Se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.
      • La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.
      • La política de seguridad de la organización detallará las atribuciones de cada responsable
    • En el artículo 13 sobre “Organización e implantación del proceso de seguridad) (antiguo artículo 12), se detallan las responsabilidades de cada uno de los roles, debiendo ser contenidas en la Política de Seguridad:
      • El responsable de la información determinará los requisitos de la información tratada.
      • El responsable del servicio determinará los requisitos de los servicios prestados.
      • El responsable de la seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
      • El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
    • Además, se incluye la necesidad de identificar una persona de contacto para los servicios externalizados, que será designado por el Responsable de Seguridad de la organización contratada. Recibirá el nombre de POC de Seguridad.
    • El artículo 24 sobre “Registro de actividad” (anterior artículo 23), incluye la necesidad de que cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada actividad.
    • Se incluye un nuevo artículo 24 sobre “Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras”, donde resume que para ciertos sectores de actividades concretos o determinadas entidades, se podrán implantar perfiles de cumplimiento específicos con aquellas medidas de seguridad recogidas en el preceptivo análisis de riesgos.

Por ejemplo, para el cumplimiento del ENS en material ferroviario (trenes) al estar bajo el ámbito de aplicación de diferentes obligaciones y legislaciones, junto con un contexto muy específico de certificación de seguridad en la circulación y de operación; un operador ferroviario podría realizar y solicitar medidas de seguridad específicas para ese escenario.

  • En la Disposición adicional tercera, como novedad, se referencia el principio de no causar un perjuicio significativo al medioambiente, con lo dispuesto en el Plan de Recuperación, Transformación y Resiliencia (PRTR) y en el Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021.
  • Respecto al Anexo II de Medidas de Seguridad, como resumen:
    • El nuevo ENS diferencia entre los mecanismos de acceso para personal interno (usuarios organización) y personal externo.
    • Incluye dos nuevas medidas de seguridad:
      • ext.3 Protección de la cadena de suministro, en consonancia con el artículo 2.
      • ext.4 Interconexión de sistemas, donde se recogen las medidas de seguridad a implantar en el caso de intercambio de información.
    • Se incluye nuevo control dedicado a la protección de los servicios en la Nube op.nub.1

El resto se mantiene tal cual, no han cambiado la forma de valorar el sistema ni la categorización del mismo (ALTO, MEDIO, BAJO).

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi .