seguritecnia 438

60 SEGURITECNIA Enero 2017 Artículo Técnico adecuación a las nuevas medidas esta- blecidas en la modificación del docu- mento. Precisamente uno de los cambios rea- lizados por la modificación del ENS que responde a la necesidad de “asegurar la plena implantación del ENS y articu- lar los procedimientos necesarios para conocer regularmente el estado de las principales variables de seguridad de los sistemas afectados” 10 , es la obliga- ción de todos los organismos públicos de informar sobre el estado de su segu- ridad 11 . Para ello pueden utilizar la apli- cación INES 12 , creada por el Centro Crip- tológico Nacional (CCN), que recoge y trata dicha información permitiendo elaborar el perfil general del estado de la seguridad en las administraciones públicas. Así pues, el mecanismo de recogida de datos para conocer el estado real de implantación del ENS es reciente y lógi- camente está poco rodado, tanto desde el punto de vista de su utilización por todos los organismos públicos obliga- dos a informar, como de los datos dis- ponibles sobre dicho estado real. No obstante, sobre la base de otras infor- maciones, se puede decir a un nivel general que el ritmo de implantación del ENS es más lento del necesario. Así se desprende de sendos informes del CCN, uno el presentado en las VIII Jor- nadas STIC CCN-CERT, celebradas en el mes de diciembre de 2014 13 y otro titu- lado ENS, estado de implantación. Herra- mienta INES , presentado en el semina- rio sobre Seguridad IT (10): Informe, au- ditoría y certificación ENS, celebrado el 30 de marzo de 2016 y organizado por la Fundación Socinfo 14 . De la misma manera, el grado de pre- paración de las administraciones públi- ciberseguridad (y de mayor alcance que la Norma ISO 27001). Según todo lo anterior, se plantea un escenario de cambios relevantes, in- cluso extraordinarios, y con unos pla- zos de implantación muy cercanos, en el entorno de la e-Administración. Ello obliga a la adopción de medidas orga- nizativas, tecnológicas, operacionales y de seguridad de la información, que van a suponer un grandísimo esfuerzo y un reto a las Administraciones públicas. 3. El estado de implantación del ENS. Una necesidad de conocer recientemente abordada. En este contexto de transformación profunda de la forma y los medios de la gestión pública, que lleva ya varios años proyectado (desde 2007 con la LAECSP), surge la pregunta sobre el estado ac- tual de implantación del Esquema Na- cional de Seguridad, casi siete años des- pués de su entrada en vigor y casi tres años después de la fecha límite para su implantación efectiva, sin perjuicio del plazo adicional (queda un año) para la Esta modificación del ENS responde además al Objetivo 1 de la Estrategia de Ciberseguridad Nacional, de 2013, que consiste en “garantizar que los sis- temas de información y telecomunica- ciones que utilizan las administracio- nes públicas poseen el adecuado nivel de ciberseguridad y resiliencia”. Obje- tivo que se concreta en la Línea de Ac- ción 2 que persigue “garantizar la im- plantación del Esquema Nacional de Seguridad, reforzar las capacidades de detección y mejorar la defensa de los sistemas clasificados”. Por otra parte, la actualización del ENS está también alineada con el Ob- jetivo Estratégico V del Plan de Trans- formación Digital de la Administración General del Estado y sus Organismos Públicos (Estrategia TIC 2015-2020) 8 , denominado “Estrategia corporativa de seguridad y usabilidad” para el que el ENS “proporciona una visión holís- tica del entorno que es necesario pro- teger”. Este Objetivo Estratégico V po- see su correspondiente Línea de Ac- ción 9, que establece como uno de los hitos a lograr el que en “2018, el cien por cien de las unidades administrati- vas dispondrán de mecanismos de se- guridad gestionada.” Asimismo, para aquellos organismos públicos declarados como operadores críticos, según la legislación en esta ma- teria 9 , el ENS debe representar un refe- rente de primer orden de su sistema de La naturaleza “real” de los sistemas de información a proteger determina el alcance y el nivel de aplicación de las medidas de seguridad a adoptar