Miguel Amutio explica las novedades del Esquema Nacional de Seguridad

El Kinépolis de Madrid volvió a ser el punto de encuentro, el pasado 9 de abril, de directores de Tecnología y profesionales del sector IT y Data Center, entre otros expertos y asistentes que se acercaron un año más a la jornada DatacenterDynamics Converged. El evento -que este año celebró su octava edición- finalizó con más de 40 patrocinadores, 67 ponentes y 1000 visitantes únicos, esto es, un 20% más de visitantes que la pasada edición. La principal novedad de este año fue el conjunto de conferencias específicas sobre ciberseguridad, englobadas bajo el nombre Mission Critical Security Summit, que pretendían dar respuesta a las preocupaciones crecientes sobre la seguridad de los datos y de los sistemas TI críticos. El subdirector adjunto del Ministerio de Hacienda y Administraciones Públicas, Miguel Amutio, fue uno de los ponentes destacados en este ámbito.

Para llevar a cabo el lanzamiento de la nueva temática de ciberseguridad que se desarrolló el pasado 9 de abril en la octava edición de DCD Converged Madrid 2015, diferentes expertos en la materia proporcionaron su conocimiento sobre el escenario de la seguridad actual y sus perspectivas para desarrollar una estrategia de seguridad inteligente y unificada. Un lanzamiento que, en palabras de José Luis Friebel, CEO de DCD Group para Iberia y Latam, “ha sido todo un éxito, ya que la temática de Ciberseguridad preocupa hoy a la industria y a todos nuestros clientes”.

Entre los ponentes de esta nueva temática destacó Miguel Amutio, subdirector adjunto del Ministerio de Hacienda y Administraciones Públicas, que explicó algunos contenidos de interés para la seguridad nacional en su exposición ‘Novedades en el Esquema Nacional de Seguridad’. Los cambios que ha experimentado el Esquema Nacional de Seguridad (ENS) desde sus inicios, los elementos principales del mismo y su ámbito de aplicación, fueron algunas de las importantes cuestiones a las que Miguel Amutio intentó dar respuesta durante su ponencia.

Para dar inicio a su presentación, el subdirector adjunto del Ministerio de Hacienda y Administraciones Públicas situó a los asistentes en contexto y explicó por qué es necesaria la seguridad de información y servicios. Entre los principales motivos que ofreció Amutio para explicar la importancia de la seguridad informática destacan que los ciudadanos esperan que los servicios se presten en condiciones de confianza y seguridad y que buena parte de la información y los servicios manejados por las Administraciones Públicas (AA PP) constituyen activos nacionales estratégicos. Además, la información y los servicios están sometidos a riesgos provenientes de acciones malintencionadas o ilícitas, errores y accidentes. En este sentido, Amutio señaló que “las amenazas están creciendo notablemente en el mundo de la seguridad. Hay más de 12.000 amenazas identificadas en el ejercicio de 2014 y no unificar los requisitos de seguridad entre las distintas administraciones es una brecha para los delincuentes”.

Miguel Amutio, subdirector adjunto del Ministerio de Hacienda y Administraciones Públicas, durante su ponencia.

Por todos estos aspectos, la seguridad de información está regulada por la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos, que reconoce el derecho de aquellos a relacionarse a través de medios electrónicos con las AA PP. Es decir, la Ley 11/2007 crea el Esquema Nacional de Seguridad (ENS), para, entre otras cosas, crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad.

Para que esto ocurra, hay que promover la gestión continuada de la seguridad así como un tratamiento homogéneo de la misma, constituyendo éstos dos de los principios más importantes ya que “una de las grandes vías en las que vamos a trabajar es en aunar esfuerzos en materia de seguridad”, admitió Miguel Amutio y añadió que “en la transformación hacia una administración pública digital, se han ido revisando y modificando las normativas en la estrategia nacional de ciberseguridad”.

En este sentido, Amutio habló sobre la actualización del ENS y destacó algunos de los aspectos principales además de indicar que “estamos siguiendo otros proyectos normativos en el ámbito europeo”. En relación a los aspectos principales, Amutio comentó, entre otros, que con la actualización “se va a enfatizar la gestión continuada de la seguridad” (art.11); también se va a introducir la noción de ‘profesionales cualificados’ (art.15); se va a mejorar la eficacia de ciertas medidas de seguridad (Anexo II) y se van a introducir diversas mejoras editoriales.

Amutio, explicando la Actualización del Esquema Nacional de Seguridad.

Esta actualización del Esquema Nacional de Seguridad ha conllevado una declaración de aplicabilidad y medidas compensatorias; se han añadido instrucciones técnicas de seguridad –lo cual ha afectado al artículo 29-; el artículo 35 también se ha visto afectado para, con esta actualización, poder conocer regularmente el estado de seguridad ya que, tal y como argumentó, “hay que mejorar los mecanismos para que tengamos un conocimiento regular de donde estamos”; con la modificación de los artículos 36 y 37 se ha conseguido un refuerzo de la capacidad de respuesta frente a incidentes de seguridad y también se han introducido precisiones orientadas a aumentar la eficacia de ciertas medidas de seguridad del Anexo II.

En relación a todo lo anterior, Miguel Amutio enumeró una serie de aspectos a modo de conclusión sobre todas las novedades del Esquema Nacional de Seguridad que suponen una evolución hacia la gestión electrónica de los servicios. El ENS, aplicable a todas las AA PP, persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento global de la seguridad, proporcionando el adecuado respaldo legal. Además, es fundamental el conocimiento del estado de la seguridad: hacia dónde vamos, dónde estamos.

En definitiva, el subdirector adjunto del Ministerio de Hacienda y Administraciones Públicas quiso destacar que “estamos actuando para mejorar la seguridad del conjunto”, aunque recalcó que "esto es un esfuerzo colectivo de todas las AA PP con la colaboración de las empresas proveedoras de tecnología”. Un esfuerzo con un convencimiento común: la gestión continuada de la seguridad, con un tratamiento homogéneo y adaptado al quehacer de la Administración ya que, concluyó Amutio, “desde el 2010 se ha creado un tratamiento homogéneo de los requisitos de seguridad unificado para todas las AA PP, así cualquiera que quiera trabajar con las AA PP sabe cuáles son los requisitos técnicos en cuanto a seguridad de cada una de las herramientas y sistemas”.