En las últimas semanas todos hemos sido testigos de la oleada de Ciberataques a importantes entidades públicas en nuestro país, que han visto sus sistemas de información comprometidos de forma crítica. Los casos más «sonados» han sido:
-
- SEPE – Servicio Público de Empleo Estatal.
- AMB Barcelona – Área Metropolitana de Barcelona.
- IDAE – Instituto para la Diversificación y el Ahorro Energético.
Sólo en el caso del ataque al SEPE, a través de un Ransonware (explicado de forma sencilla, se trata de un Software malicioso que es capaz de bloquear un sistema informático y «secuestrarlo», con el objetivo de obtener un beneficio económico, sin el que no se libera el sistema atacado, y por tanto, la información en él almacenada) la actividad de las 710 oficinas del organismo público que prestan atención presencial se vieron totalmente paralizadas durante tres días, en los que ninguna gestión pudo realizarse (tampoco telemáticamente), siendo las gestiones relacionadas con los ERTEs y las prestaciones por desempleo las más aferctadas.
La CIBERSEGURIDAD se ha convertido en una elemento crítico en el actual Modelo de Gestión Empresarial; proteger la información que intercambiamos de forma electrónica con cliente, proveedores y resto de partes interesadas durante la ejecución de nuestras actividades profesionales ha de ser una prioridad en nuestras empresas, las cuales deben estar adecuadamente preparadas para responder a estos ataques.
Uno de los errores que comúnmente se cometen es considerar los ciberataques como algo exclusivo del mundo digital, ya que un porcentaje muy considerable de los ataques se producen en un entorno absolutamente físico, aprovechando vulnerabilidades físicas de nuestra organización para tener éxito en su pretensión de acceder, manipular y(o robar la información que manejamos o intercambiamos a diario.
Desde hace unos años, existen unos Modelos de Gestión, perfectamente normalizados, que proporcionan a las empresas una serie de criterios, denominados Controles, que permiten establecer una metodología para la Gestión de la Seguridad de la Información, la cual es universalmente válida, independientemente de la actividad empresarial que llevemos a cabo. Se trata de las Normas:
-
- ISO 27001:2013: Sistemas de Gestión de la Seguridad de la Información.
- ISO 27002-2013: Código de Prácticas para los Controles de Seguridad de la Información
Por otra parte, en el caso concreto de España, desde el Año 2007, se regula el acceso e intercambio de información por medios electrónicos entre las entidades Públicas y los Ciudadanos a través del Esquema Nacional de Seguridad – ENS.
Entorno Normativo del ENS – Esquema Nacional de Seguridad.
- La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad.
- Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
- Real Decreto 951/2015, de 23 de octubre, Modificación del Esquema Nacional de Seguridad, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.
¿Quiénes tiene la OBLIGACIÓN de implantar el ENS?
-
- La Administración General del Estado.
- Las Administraciones de las Comunidades Autónomas.
- Las Entidades que integran la Administración Local.
- El sector público institucional.
- Toda empresa PRIVADA que colabore o proporcione servicios a las Administraciones Pública dentro del ámbito del ENS.