¿Qué estás buscando?

Situación en España: el Esquema Nacional de Seguridad

El ENS nace en 2010 con el Real Decreto 3/2010, es decir, hace catorce años. En 2022 ve la luz el Real Decreto 311/2022 con una serie de mejoras y correcciones al anterior. El estado de del nivel de implantación es

• 319 organismos certificados en el ENS (sobre un total de 16.851 [1], aproximadamente el 2%).
• 874 empresas privadas certificadas.

Reflexiones

1. Sobre los marcos normativos

Debería existir un único estándar de ciberseguridad a nivel europeo porque realmente los consultores pasamos bastante tiempo con «mapeos» entre normas. Yo he vivido un proyecto con un alcance importante en ISO 27001 que manejaba datos de tarjetas de crédito y además tiene que cumplir ENS porque la empresa trabaja para la administración. El resultado es una hoja de cálculo de mapeo ISO 27001 – PCI – ENS de dimensiones considerables.

Es lógico pensar que no todas las organizaciones y no todas las casuísticas tienen que ser abordadas de la misma manera, pero no es menos cierto que las normativas y regulaciones que hay comparten un alto porcentaje de requisitos comunes.

Por ejemplo, la adecuación al ENS cuando ya se tiene una ISO 27001 requiere mucho menos esfuerzo que si no hay ningún estándar implantado.

Otro ejemplo es NIS2; ¿no se parece bastante a ISO 27001? NIS2, afortunadamente, ofrece una convincente novedad: las sanciones.

Personalmente creo que muchas organizaciones, independientemente de su actividad, tienen un alto porcentaje en común en cualquier estándar de seguridad que se implante.

La idea sería un único estándar con anexos especializados por sectores y controles o requisitos específicos para el sector concreto. Siempre he pensado que el ENS es una ISO 27001 con el alcance de «servicios electrónicos de la administración» o que PCI es una ISO 27001 aplicada a un alcance de organizaciones que «manejen datos de tarjetas de crédito». Es cuestión de priorizar impactos y valoraciones.

2. Sobre las verificaciones de cumplimiento

La auditoría periódica es esencial en el proceso de mejora continua. Todos los países tienen entidades nacionales de acreditación que supervisan las actividades de las entidades de certificación (y revisión de certificados). Lo cierto es que en el «mundillo» de la consultoría se tiene constancia que no todas las entidades de certificación son igual de exigentes ni todos los auditores igual de rigurosos.

¿No sería interesante un regulador europeo que normalice y supervise la actividad de entidades y auditores? Incluso sería una práctica sana intercambiar auditores de distintos países y distintas entidades de certificación.

A modo de resumen, son muy significativos los siguientes gráficos [2]:

La principal conclusión de estos gráficos es que, en poco más de 30 años, la UE ha aumentado de forma exponencial la producción de documentos relacionados con la seguridad de la información.

En el mundo hay 47.291 certificaciones ISO 27001 [3] de los cuales 1.582 son de empresas españolas.

Solo en España se considera que hay 3.255.276 empresas activas [4]. ¿Se puede considerar que estos datos son un éxito?

3. España

¿La ciberseguridad es distinta dependiendo de las regiones? ¿El cumplimiento normativo varía en función de la ubicación geográfica?

Parece evidente que los esfuerzos económicos y técnicos dedicados a ciberseguridad se dividan en función de criterios geográficos cuando estamos, cada vez más, en un mundo y una sociedad absolutamente globalizada.

Como ya se ha dicho, en nuestro país, hay unos 1.582 certificados ISO 27001 sobre un total de más de tres millones de empresas. También hemos mencionado que un 2% de organismos públicos tiene certificado ENS según el CCN.

Algo no funciona. No puede ser que todos los días tengamos noticias de violaciones de seguridad en empresas públicas y privadas y que no se haga un esfuerzo de unificación básico para ganar en resiliencia frente a incidentes.

Y es que el problema de los reglamentos, las leyes y las normativas es que, por lo general, no se toman en serio si no tienen las correspondientes sanciones por incumplimiento. En el ENS es imposible porque «sancionar» a las AAPP por incumplimiento no tiene mucha lógica teniendo en cuenta que la sanción la vamos a pagar los contribuyentes.

En el caso de ISO 27001 tampoco parece que una sanción sea aplicable porque apenas consta que se haya retirado alguna vez un certificado como para suponer que alguien pueda sancionar por incumplimientos.

Organismos relacionados con ciberseguridad en España

Los principales centros o instituciones estatales para la ciberseguridad en España son [5]:

• Secretaría de Estado de Seguridad
• Secretaría de Estado de Digitalización e Inteligencia Artificial
• Secretaría General de Administración Digital
• Consejo Nacional de Ciberseguridad (cuya composición está en el gráfico superior)
• Departamento de Seguridad Nacional
• Foro Nacional de Ciberseguridad
• Mando Conjunto del Ciberespacio
• Dirección General de Armamento y Material del Ministerio de Defensa
• Centro de Sistemas y Tecnologías de la Información y las Comunicaciones
• Centro Criptológico Nacional
• Instituto Nacional de Ciberseguridad (INCIBE)
• Oficina de Coordinación de Ciberseguridad
• Centro Nacional de Protección de Infraestructuras Críticas
• Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad
• Embajador en misión especial para las Amenazas Híbridas y la Ciberseguridad
• Red.es
• Observatorio Nacional de Tecnología y Sociedad
• Agencia Española de Protección de Datos

Los centros adscritos a la Policía o Guardia Civil son:

• Unidad Central de Ciberdelincuencia de la Policía Nacional
• Departamento de Delitos Telemáticos de la Guardia Civil
• Sección Central de Delitos en Tecnologías de la Información de la Ertzaintza

Los centros regionales dedicados a la ciberseguridad son:

• Agencia de Ciberseguridad de la Comunidad de Madrid
• Agència de Ciberseguretat de Catalunya
• Cyberzaintza: Agencia Vasca de Ciberseguridad
• Agencia de Ciberseguridad de Andalucía
• Agencia para la Digitalización y la Ciberseguridad de Valencia
• Agencia para la Modernización Tecnológica de Galicia
• Agencia Balear de Digitalización, Ciberseguridad y Telecomunicaciones
• Centro de Ciberseguridad del Ayuntamiento de Madrid (CCMAD)

4. ¿Qué nos depara el futuro?

No seré yo quien intente adivinarlo, prefiero expresar mis deseos:

• Marcos normativos a nivel de UE de obligado cumplimiento con régimen sancionador. En este sentido NIS2 es una esperanza.
• Como a anterior no parece muy probable, soñaría con el obligado cumplimiento de la legislación nacional. Aquí caben dos sueños:
  • Una revisión de MAGERIT porque ya tiene 12 años y es evidente que necesita un retoque.
  • Una revisión de PILAR (que debió hacerse hace mucho tiempo) para ser utilizada de forma gratuita en empresas privadas.

• Unificación de organismos y medios tecnológicos a nivel nacional.

Regulaciones y normativas

• El lector puede acceder a este documento (público) para hacerse una idea de reglamentos y directivas que afecta a ciberseguridad en la UE: https://www.interface-eu.org/publications/navigating-the-eu-cybersecurity-policy-ecosystem
• Además si utiliza el buscador de EUR-lex se puede también comprobar la gran cantidad de documentos, normas, leyes, reglamentos y directivas relacionadas con la palabra “ciber*”, “IT security”.
• No menos gráfica (y se queda en 2020) es esta infografía del CCN que nos dice cómo ha evolucionado el panorama de la ciberseguridad a nivel legislativo: https://blogs.ugr.es/seguridadinformatica/wp-content/uploads/sites/47/2022/05/EvolucionCiberseguridadLEgal.pdf

Rafael González Moro

Govertis, parte de Telefónica Tech