El Centro Criptológico Nacional (CCN) trabaja desde hace tres años en la aprobación de un nuevo Esquema Nacional de Seguridad (ENS), que verá la luz según lo previsto a principios de 2022. El organismo aspira a que esta norma siga siendo «la palanca tractora de la ciberseguridad» para la Administración, tal como la define Pablo López, jefe del Área de Normativa y Servicios de Ciberseguridad del CCN. De ahí que incorporará cambios sustanciales.
López explicó durante las XV Jornadas STIC, organizadas por el CCN-CERT, que hasta ahora existían herramientas y medidas para implantar la ciberseguridad en las entidades y verificarla, «pero faltaba la gobernanza». «El reto es adaptarnos y eso se consigue con metodologías de manera continua; pero necesitamos gobernanza, establecer criterios y ver cómo los llevamos a la práctica», afirmó el jefe de Normativa del CCN.
Novedades del ENS
López señaló además que el nuevo ENS establecerá lo que han llamado «prevención proactiva», basada en inteligencia y prospectiva. «En el ENS hay prevención, protección, detección y respuesta; pero ha llegado un momento en el que no podemos ser constantemente reactivos, por lo que hay que implementar la prevención», sostuvo durante las jornadas.
Otra de las ideas que incorporará el nuevo ENS es la creación de una oficina de gobernanza y cumplimiento normativo. Sin entrar en detalles sobre su funcionamiento, el representante del CCN mencionó que tiene que haber oficinas «que den pistas» sobre el cumplimiento normativo de las entidades en relación con la ciberseguridad.
La norma fomentará además la creación de comités de seguridad que «posibiliten unos roles y responsabilidades para la toma de decisiones de ciberseguridad», apuntó López. Estos comités tendrán funciones asociadas a la dirección, coordinación y apoyo en materia de ciberseguridad.
Finalmente, López puso énfasis en la necesidad de que las entidades públicas tengan a su disposición métricas e inteligencia para abordar sus necesidades de ciberseguridad. En ese sentido, el nuevo ENS incorpora «un asistente de métricas e indicadores que, a través de casos de uso, permita comprobar si se cumple la norma y qué hacer al respecto». «Hemos automatizado tanto el proceso que, a través de métricas, se podrán saber las carencias que existan y como solucionarlas».
Te interesa: Red Nacional de SOC: intercambio de información de ciberincidentes a nivel nacional
Archivado en: