Red Seguridad 095

28 red seguridad cuarto trimestre 2021 eventos Nuevo Esquema Nacional de Seguridad: “palanca tractora de la ciberseguridad” El Centro Criptológico Nacional (CCN) trabaja desde hace tres años en la aprobación de un nuevo Esquema Na- cional de Seguridad (ENS), que verá la luz según lo previsto a principios de 2022. El organismo aspira a que esta norma siga siendo “la palanca tractora de la ciberseguridad” para la Administración, tal como la define Pa- blo López , jefe del Área de Normativa y Servicios de Ciberseguridad del CCN. De ahí que incorporará cambios sus- tanciales. López explicó durante las XV Jorna- das STIC del CCN-CERT que hasta ahora existían herramientas y medidas para implantar la ciberseguridad en las enti- dades y verificarla, “pero faltaba la go- bernanza”. “El reto es adaptarnos y eso se consigue con metodologías de ma- nera continua; pero necesitamos gober- nanza, establecer criterios y ver cómo los llevamos a la práctica”, afirmó el jefe de Normativa del CCN. Novedades del ENS López señaló, además, que el nuevo ENS establecerá lo que han llamado “prevención proactiva”, basada en inte- ligencia y prospectiva. “En el ENS hay prevención, protección, detección y res- puesta; pero ha llegado un momento en el que no podemos ser constantemente reactivos, por lo que hay que imple- mentar la prevención”, sostuvo durante las jornadas. Otra de las ideas que incorporará el nuevo ENS es la creación de una oficina de gobernanza y cumplimiento normati- vo. Sin entrar en detalles sobre su fun- cionamiento, el representante del CCN mencionó que tiene que haber oficinas Pablo López, jefe del Área de Normativa y Servicios de Ciberseguridad del CCN, habló sobre el nuevo ENS. “que den pistas” sobre el cumplimiento normativo de las entidades en relación con la ciberseguridad. La norma fomentará también la creación de comités de seguridad que “posibiliten unos roles y responsabili- dades para la toma de decisiones de ciberseguridad”. Estos comités tendrán funciones asociadas a la dirección, coordinación y apoyo en materia de ci- berseguridad. Finalmente, López puso énfasis en la necesidad de que las entidades públi- cas tengan a su disposición métricas e inteligencia para abordar sus necesida- des de ciberseguridad. En ese sentido, el nuevo ENS incorporará “un asistente de métricas e indicadores que, a través de casos de uso, permita comprobar si se cumple la norma y qué hacer al res- pecto”. “Hemos automatizado tanto el proceso que, a través de métricas, se podrán saber las carencias que existan y cómo solucionarlas”, añadió. ENS en entidades locales En otra ponencia dirigida especialmen- te a las entidades locales, el jefe del Área de Normativa y Servicios de Ci- berseguridad del CCN incidió en la ne- cesidad de que estas administraciones desplieguen el ENS. En ese sentido, ma- nifestó que dichas entidades deben “te- ner protocolos y procedimientos” que les permitan automatizar la respuesta a las ciberamenazas. “El ENS nos va a ayudar a tener esos criterios, protocolos, procedimientos, et- cétera. Pero lo tenemos que interiorizar como si ya estuviéramos enfrentándo- nos a una crisis. Las recomendaciones nos dicen que hay que escuchar a todos los actores involucrados, tener comuni- cación y generar confianza en la ciuda- danía. Hay que revisar procedimientos e invertir en tecnologías, entre otras cosas. El reto al que nos enfrentamos es saber aterrizarlo, hacerlo viable”, reflexionó Ló- pez durante su intervención. Jornadas STIC