Esquema Nacional de Seguridad: ¿Cómo pueden las startups tecnológicas cumplirlo para tratar información pública?

Esquema Nacional de Seguridad: ¿Cómo pueden las startups tecnológicas cumplirlo para tratar información pública? Desde 2021 especialmente la Administración Pública se encuentra embarcada en un proceso de digitalización extenso incorporando distintos programas y herramientas para la mejora de la atención a los ciudadanos. En esta labor, el marco de digitalización 2021-2015 prevé una mejora de las operaciones inteligencias, del gobierno del dato, de las infraestructuras digitales y el aumento de la ciberseguridad. [1]

En este desarrollo, en el otro lado juegan también un papel clave, entre otros actores, las startups tecnológicas que desarrollan sistemas y programas de servicios electrónicos o digitales para el sector público o los proveedores de servicios outsourcing que están permitiendo que este proceso de transformación digital alcance niveles de calidad máximos.

Ahora bien, un aumento de la digitalización conlleva también un potencial aumento de los riesgos de ciberseguridad y de seguridad de la información. Es por ello, que en 2022 se aprobó el RD 311/2022, que regula el Esquema Nacional de Seguridad (ENS), un conjunto de principios y requisitos para garantizar la seguridad de la información en las administraciones públicas y empresas que prestan servicios electrónicos.

Pero ¿en qué afecta esto a las startups tecnológicos o proveedores de servicios digitales?

¿Qué es el Esquema Nacional de Seguridad?

El ENS es un conjunto de requisitos inspirados en las Normas ISO 27000, establecidos para garantizar la seguridad de la información en el ámbito de las administraciones públicas y que, fue creado con el propósito de proteger los datos y sistemas de información frente a amenazas y ataques cibernéticos, así como de fomentar la confianza en el uso de los servicios electrónicos.

El ENS establece medidas de seguridad técnicas y organizativas para garantizar la confidencialidad, integridad, disponibilidad y autenticidad de la información y define responsabilidades y obligaciones para las entidades que deben cumplirlo.

¿Quién debe cumplir el ENS?

Tal y como se desprende del artículo 2 RD 311/2022, este ENS no sólo es aplicable a administraciones públicas, sino también a:

a.    Los sistemas de tratan información clasificada, sin perjuicio de lo dispuesto en la Ley 9/1968, de 5 de abril, de Secretos Oficiales y otra normativa especial.

b.    Los sistemas de información de las entidades del sector privado, cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.

En otras palabras, cualquier empresa que participe en contratos con las administraciones públicas debe cumplir con el ENS si su trabajo implica el manejo de información pública. Por tanto, deberán cumplir empresas privadas que prestan servicios a las administraciones públicas, como, por ejemplo:

1.     Proveedores de servicios electrónicos como servicios de almacenamiento en la nube, correo electrónico y plataformas de gestión documental a las administraciones públicas. Estas empresas deben implementar las medidas establecidas por el ENS en aras a proteger los datos de carácter personal y la información que manejan en nombre de las administraciones públicas.

2.     Proveedores de servicios digitales como empresas que manejan grandes cantidades de datos personales y transacciones en línea; en las que es clave proteger la información de sus usuarios. Las medidas definidas en el ENS para este tipo de proveedores permiten aumentar la protección de la confidencialidad, integridad y disponibilidad de los datos que manejan.

3.     Empresas de mantenimiento y soporte técnico que gestionan la infraestructura tecnológica de las administraciones públicas.

4. Proveedores de servicios de outsourcing que manejan funciones administrativas y tecnológicas externalizadas por las administraciones públicas.

5. Empresas de consultoría que asesoran a las administraciones en temas de seguridad de la información también deben cumplir el ENS.

¿Qué requisitos deben cumplirse para el ENS?

El ENS exige el cumplimiento mínimo de los siguientes requisitos:

1.      Organización e implantación del proceso de seguridad.

2.      Análisis y gestión de los riesgos.

3.      Gestión de personal.

4.      Profesionalidad.

5.      Autorización y control de los accesos.

6.      Protección de las instalaciones.

7.      Adquisición de productos de seguridad y contratación de servicios de seguridad.

8.      Integridad y actualización del sistema.

9.      Protección de la información almacenada y en tránsito.

10.   Prevención ante otros sistemas de información interconectados.

11.   Registro de la actividad y detección de código dañino.

12.   Incidentes de seguridad.

13.   Continuidad de la actividad.

14.   Mejora continua del proceso de seguridad.

Y para lograr dichos requisitos es necesario implementar medidas de seguridad en 3 ámbitos:

a.     Medidas en el marco organizativo como la implementación de una política de seguridad y procedimientos de seguridad.

b.     Medidas de seguridad operacional como el control de los accesos (mediante distintos procedimientos como la segregación de funciones, exigencias de identificación, etc.), la realización de inventario de activos y configuración de un sistema seguridad y gestión de incidentes, la gestión de la protección de la interconexión de recursos externos y la protección de servicios en la nube, entre otros.

c.      Medidas de protección de las instalaciones e infraestructuras físicas (mediante procedimientos como control de áreas separadas, identificación de personas, etc.), protección de equipos (con sistemas de bloqueo de trabajo, protección de dispositivos portátiles, etc.) o protección de la información con sellos de tiempo, firma electrónica, calificación de la información y realización de copias de seguridad, entre otros.

¿Cuáles son las ventajas de cumplir el ENS?

Como decimos cumplir con el ENS es obligatorio para empresas que prestan servicios con las administraciones públicas. No obstante, su cumplimiento aporta ventajas adicionales como la prevención de incidentes permitiendo identificar riesgos y minimizar vulnerabilidades, mejorar la imagen de la empresa, facilitar la colaboración con organizaciones y la expansión internacional y, la mejora de la seguridad de la información y de cumplimiento del RGPD al implementar medidas técnicas y organizativas de ciberseguridad.

Bibliografía

[1] Administración Pública Digital (2024, marz. 01) 4 tendencias en la digitalización del empleado público en 2024.

https://www.administracionpublicadigital.es/tecnologias/2024/03/4-tendencias-en-la-digitalizacion-del-empleado-publico-en-2024