01 feberero 2016 - La Estrategia de Seguridad Nacional de 2013, aprobada por el Consejo de Ministros, establece como objetivo para la Ciberseguridad Nacional (g)arantizar un uso seguro de las redes y los sistemas de información a través del fortalecimiento de nuestras capacidades de prevención, detección y respuesta a los ciberataques.
El citado objetivo, desarrollado en mayor profundidad en la Estrategia de Ciberseguridad Nacional, establece entre sus líneas de acción garantizar la implantación del Esquema Nacional de Seguridad y la seguridad de los sistemas de información y las redes de comunicaciones e infraestructuras comunes a todas las Administraciones Públicas. Asimismo, la Ley de Régimen Jurídico del Sector Público, se refiere a la seguridad como un elemento clave para la interacción de las Administraciones Públicas por el medio electrónico.
En este contexto, el Consejo de Ministros aprobó en octubre el Real Decreto que modifica el del 8 de enero de 2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica cumpliendo así parte de los objetivos fijados por el gobierno para la Ciberseguridad Nacional.
El objeto de la norma es reforzar la protección de las Administraciones Públicas frente a las "ciberamenazas" mediante la adecuación a la rápida evolución de las tecnologías, todo ello teniendo en consideración la experiencia adquirida en la implantación del esquema nacional de seguridad desde 2010. Además, permite adecuar la actual normativa al contexto regulatorio internacional y europeo, en particular a lo previsto en un Reglamento comunitario de 2014 en lo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. En definitiva, se trata de dotar al Esquema Nacional de Seguridad de los mecanismos necesarios que mejoren la respuesta en materia de seguridad de los sistemas tecnológicos.
Para ello, se han introducido en el Esquema Nacional de Seguridad, entre otras, las siguientes medidas adicionales:
- La gestión continuada de la seguridad en los servicios disponibles, por medios electrónicos veinticuatro horas al día.
- Los procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información precisando el concepto de incidente de seguridad.
- Especifica la necesidad de utilizar productos que tengan certificada la funcionalidad de seguridad que se corresponda con la categoría y nivel de seguridad del sistema afectado.
- Clarifica el papel del Centro Criptológico Nacional y del CCN-CERT, especificando que será necesaria la notificación a ellos de aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.
- Explicita y relaciona las instrucciones técnicas de seguridad, que serán de obligado cumplimiento por las Administraciones Públicas y que regularán el estado de seguridad, la auditoría de seguridad, la gestión de incidentes, la criptología, la interconexión y los requisitos de seguridad en entornos externalizados, entre otras.
Fuente: Ministerio de Hacienda y Administraciones Públicas.
