Como ya es sabido, el mundo evoluciona de manera muy rápida hacia una digitalización en todos sus ámbitos, lo que hace que las empresas estén cada vez más a merced de los ciberdelincuentes. A medida que esta digitalización se va extendiendo también a los distintos ámbitos de la Administración Pública, dichos organismos se vuelven también vulnerables a este tipo de (ciber)delincuencia. Algo que podemos ver, por ejemplo, en el incremento de los ataques de ciberseguridad en el sector sanitario, que se han disparado un 650 por ciento en el último año1.
Los gobiernos de todos los países, si bien están adoptando una serie de medidas para proteger los sistemas públicos que dan servicio a los ciudadanos, están aún lejos de conseguir un consenso suficiente para implementar los aspectos necesarios requeridos por un plan adecuado sobre ciberseguridad. Asimismo, es cada vez más necesario observar el uso de herramientas como el Canal de denuncias2 para ayudarnos en la construcción de un adecuado ecosistema del gobierno de la ciberseguridad.
Dentro de los pasos que se van dando poco a poco en los países nos encontramos con la creación de marcos de ciberseguridad (frameworks) que pretenden establecer unos mínimos requisitos necesarios para asegurar que tanto la información como los sistemas que manejan la información de los ciudadanos están protegidos en lo relativo a las dimensiones de la seguridad: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad.
Los ciberataques en el sector sanitario se han disparado un 650 por ciento en el último año
Estos frameworks suelen estar basados, en su mayoría, en algunos estándares internacionales. Y todos ellos ponen su foco, principalmente, en los siguientes ámbitos o dominios:
- Mantener la privacidad de la información manejada. Para este fin suelen emitirse leyes o reglamentos, como el Reglamento General de Protección de Datos (Regulation EU 2016/6793).
- Controlar el acceso autorizado a la información y a los sistemas que la manejan o almacenan.
- Asegurar la disponibilidad de los sistemas que manejan información con el fin de que la misma pueda estar disponible en tiempo y forma cuando el ciudadano la pueda requerir.
- Establecer un procedimiento eficiente y efectivo para responder de manera rápida ante un eventual incidente que pudiera afectar a cualquiera de las dimensiones de la seguridad mencionadas anteriormente, y dando respuesta al ciudadano de manera satisfactoria y transparente.
Para conseguir esta finalidad existen una serie de objetivos de control de ciberseguridad4 que se deben cumplir y que cada estándar, normativa o regulación en esta materia ordena, agrupa y clasifica de una manera diferente, dependiendo de si el framework correspondiente aborda la solución desde una perspectiva orientada a los procesos de negocio o desde una más técnica de protección de los sistemas.
Marcos de ciberseguridad: ENS frente al NIST CSF
En relación con la protección de la información manejada por los sistemas de las distintas administraciones públicas, cabe mencionar el framework que es de aplicación en la Administración Pública española, el Esquema Nacional de Seguridad (ENS, Real Decreto 311/2022); en especial, frente a uno de los framework más conocidos dentro del mundo empresarial (principalmente en aquellas compañías que de algún modo operan en América del Norte): el NIST5 CyberSecurity Framework (NIST CSF).
En enero de 2010, el Gobierno español tomó la decisión de crear un Esquema Nacional de (ciber)Seguridad que proporcionase al sector público un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta. Su objetivo es impulsar la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas, además de facilitar la cooperación y proporcionar un conjunto de requisitos uniforme a la industria de manera que constituya también un referente de buenas prácticas.
Las distintas administraciones públicas toman conciencia de la necesidad de protegerse frente a las amenazas digitales
Con una finalidad similar, el NIST CSF fue emitido por primera vez en 2014 por el Gobierno de los Estados Unidos con el fin de conseguir una mejora de la seguridad cibernética en infraestructuras críticas, así como con la orientación de ayudar a las empresas de todos los tamaños (tanto públicas como privadas) a comprender, gestionar y reducir los riesgos cibernéticos y proteger sus redes y datos, proporcionando un lenguaje común y un resumen de las mejores prácticas en ciberseguridad.
Ambos framework han realizado actualizaciones desde su primera emisión (ENS en 2015 y NIST CSF en 2018), incluyendo las más recientes, con la intención de adaptar la ciberseguridad nacional de Estados Unidos (NIST CSF v2.0) y de España (ENS, Real Decreto 311/2022) a la constante actualización y creatividad de los ciberdelincuentes para encontrar nuevas vías de (ciber)ataque.
La primera diferencia que podríamos señalar entre ambos marcos de referencia la encontramos con relación a su aplicabilidad: el NIST CSF es de aplicación recomendada, tanto para empresas públicas como privadas, mientras que el ENS es de obligado cumplimiento para los organismos públicos españoles y sus prestadores de servicios.
Hasta la última versión de NIST CSF, aún en estado borrador, existía otra diferencia fundamental entre ambos framework: el gobierno de la seguridad. Mientras que el ENS tiene en consideración desde su primera versión la importancia de un buen gobierno de la ciberseguridad para conseguir desarrollar un marco de control que permita reaccionar de manera rápida ante los rápidos avances de los ciberdelincuentes, es en su última versión donde el NIST CSF toma consciencia de ello y lo incluye junto a sus cinco dominios (ahora seis) de clasificación de los objetivos de control a tener en cuenta.
¡Sigue leyendo!
Aquí te hemos mostrado tan sólo una parte de este contenido.
¿Quieres leer el artículo completo?