SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

El objetivo del Esquema Nacional de Seguridad (ENS) es establecer la política de seguridad que debe aplicarse en el ámbito de la administración electrónica. El ENS está constituido por principios básicos y requisitos mínimos que, a juicio del legislador, permiten una protección adecuada de la información.

El ENS, citado inicialmente en el artículo 42 de la Ley 11/2007, de 22 de junio, está regulado por el Real Decreto 3/2010, de 8 de enero.

Según el Consejo Superior de Administración Electrónica (CSAE), en su elaboración se han tenido en cuenta numerosas fuentes que son referencia en materia de seguridad de la información a nivel internacional.

El ENS concibe la seguridad como una actividad holística y no como un conjunto de acciones puntuales dirigidas a mejorar la seguridad. Cuando se llevan a cabo acciones aisladas con el objetivo de mejorar la seguridad, se cae en el error de dirigir los esfuerzos hacia áreas que no representan el mayor riesgo para la información o de integrar las soluciones de manera deficiente introduciendo nuevos riesgos.

Los objetivos que se plantea el ENS son:

• Crear las condiciones necesarias para que los ciudadanos confíen en la Administración Pública y en los medios electrónicos a la hora de almacenar y procesar su información.


• Introducir los elementos comunes que sirvan como directrices para las AAPP en materia de seguridad de la información.


• Aportar un lenguaje común que permita a las AAPP interactuar más fácilmente entre ellas y con la industria.

El ámbito de aplicación del ENS está establecido en el artículo 2 de la Ley 11/2007. Este ámbito incluye principalmente a la Administración General del Estado y a las Administraciones de las Comunidades Autónomas. También se incluyen las entidades de derecho público vinculadas o dependientes a las anteriores. En el caso particular de que una AAPP subcontrate a un proveedor instalaciones o servicios, ésta deberá exigir a su proveedor un acuerdo de prestación de servicios que cumpla con los requisitos mínimos y las medidas de seguridad correspondientes a la categoría del sistema y a los niveles requeridos de cada dimensión de seguridad.

Se excluyen del ámbito del ENS los sistemas que tratan información clasificada regulada por la ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo.

Esto significa que las AAPP, incluyendo universidades públicas, deben adecuarse al ENS en un plazo de 12 meses desde la aprobación del mismo (29 de enero de 2010). La ley contempla el caso de existencia de circunstancias excepcionales que impidan la plena adecuación al ENS. Si se da este caso, las AAPP deben diseñar un plan de adecuación que indique los plazos de ejecución y que no debe finalizar más allá de 48 meses desde la fecha de aprobación del ENS.

Según el CSAE, los siguientes pasos tras la publicación del ENS incluyen la elaboración, por parte del Centro Criptológico Nacional (CCN), de guías de seguridad para mejor cumplimiento del esquema y realización de acciones de formación en colaboración con el Instituto Nacional de Administración Pública (INAP).

Las responsabilidades derivadas del incumplimiento del ENS son variadas, pero siempre bajo el marco de y sujetas a la ley 30/1992.