¿Qué es el Esquema Nacional de Seguridad?

ens_2

Por Francisco R. González-Calero Manzanares

A lo largo de las presentes líneas, se pretende clarificar al lector el marco normativo que rodea al ENS, ya que las diferentes normas y guías que lo componen pueden originar confusión y una sensación de encontrarse perdido dentro de una “maraña legal”, a la persona que acometa su estudio por primera vez.

La importancia de este Esquema Nacional es que es de obligado cumplimiento por parte de las Administraciones Públicas, aunque debido a las circunstancias económicas actuales, desgraciadamente el nivel de implantación del mismo no es tan elevado como sería deseable. Se hace por tanto preciso realizar una importante labor de concienciación a nuestros responsables públicos para que definitivamente tomen las riendas y enarbolen la bandera de la denominada “Seguridad de los Sistemas de Información.”

 1º Antecedentes

La Ley 30/1992 de 26 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJAP-PAC), en su primera versión recogió ya en su artículo 45 el impulso al empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos, por parte de la Administración al objeto de desarrollar su actividad y el ejercicio de sus competencias y de permitir a los ciudadanos relacionarse con las Administraciones cuando fuese compatible con los medios técnicos de que dispongan.

Esa previsión, junto con la de la informatización de registros y archivos del artículo 38 de la misma Ley en su versión originaria y, especialmente, en la redacción que le dio la Ley 24/2001 de 27 de diciembre al permitir el establecimiento de registros telemáticos para la recepción o salida de solicitudes, escritos y comunicaciones por medios telemáticos, abría el paso a la utilización de tales medios para relacionarse con la Administración.

Simultáneamente, la misma Ley 24/2001 modificó el artículo 59 permitiendo la notificación por medios telemáticos si el interesado hubiera señalado dicho medio como preferente o consentido expresamente.

En el mismo sentido destacan las modificaciones realizadas en la Ley General Tributaria para permitir también las notificaciones telemáticas así como el artículo 96 de la nueva Ley General Tributaria de 2003que prevé expresamente la actuación administrativa automatizada o la imagen electrónica de los documentos.

Sin embargo, el desarrollo de la administración electrónica es todavía insuficiente. La causa en buena medida se debe a que las previsiones de los artículos 3845 y 59 de la Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común son facultativas. Es decir, dejan en manos de las propias Administraciones determinar si los ciudadanos van a poder de modo efectivo, o no, relacionarse por medios electrónicos con ellas, según que éstas quieran poner en pie los instrumentos necesarios para esa comunicación con la Administración.

 2º Marco Legal

A) Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Esta Ley pretende dar el paso del podrán por el deberán. Pero el hecho de reconocer el derecho de los ciudadanos a comunicarse electrónicamente con la Administración plantea, en primer lugar, la necesidad de definir claramente la sede administrativa electrónica con la que se establecen las relaciones, promoviendo un régimen de identificación, autenticación, contenido mínimo, protección jurídica, accesibilidad, disponibilidad y responsabilidad. Exige también abordar la definición a los efectos de la Ley de una serie de términos y conceptos cuyo uso habitual obliga en un contexto de comunicaciones electrónicas a efectuar muchas precisiones. Tal sucede con la definición de expediente electrónico y de documento electrónico; de los registros electrónicos y de las notificaciones electrónicas o del alcance y sistemas de sellados de tiempo.

La consagración de ese derecho de los ciudadanos a comunicarse electrónicamente con la Administración suscita, también, por ejemplo, la cuestión de la forma de utilizar y archivar dichas comunicaciones. Y lo plantea tanto en lo que podría considerarse la formación del expediente o el archivo de oficina -el vinculado a la tramitación de los expedientes-, como en lo que se refiere al archivo de los expedientes ya tramitados.

Igualmente en este contexto, una Ley para el acceso electrónico de los ciudadanos a las Administraciones Públicas se justifica en la creación de un marco jurídico que facilite la extensión y utilización de estas tecnologías. El principal reto que tiene la implantación de las Tecnologías de la Información y las Comunicaciones (TIC) en la sociedad en general y en la Administración en particular es la generación de confianza y la adecuada gestión de los riesgos asociados a su utilización. La desconfianza nace de la percepción, muchas veces injustificada, de una mayor fragilidad de la información en soporte electrónico, de posibles riesgos de pérdida de privacidad y de la escasa transparencia de estas tecnologías.

Esta Ley, de acuerdo con el artículo 2 se aplica a:

  1. A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas[1].
  2. A los ciudadanos en sus relaciones con las Administraciones Públicas.
  3. A las relaciones entre las distintas Administraciones Públicas.

La presente Ley no será de aplicación a las Administraciones Públicas en las actividades que desarrollen en régimen de derecho privado.

Para dar cumplimiento a lo anteriormente expuesto, el artículo 42.2 dispone que: “El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información”.

B) Real Decreto 3/2010 de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

El artículo 1 dispone que el objeto del RD es determinar la política de seguridad que se a de aplicar en la utilización de los medios electrónicos a los que se refiere la Ley 11/2007. Por ello el ENS será aplicado por las AAPP para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.

La disposición adicional segunda habilita al Ministerio de la Presidencia para dictar las disposiciones necesarias para la aplicación y desarrollo de lo establecido en el presente RD sin perjuicio de las competencias de las CCAA en esta materia.

C) Desarrollo del ENS

El artículo 2.a del RD 421/2004 por el que se regula el Centro Criptológico Nacional (organismo integrado en el Centro Nacional de Inteligencia), le confiere las competencia, entre otras, la de elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de tecnologías de la información y las comunicaciones de la administración. En desarrollo de esta competencia y de la obligación de establecer los requisitos mínimos del ENS y crear un marco de referencia, ha elaborado una serie de documentos CCN-STIC.

Estas guías no dejan de ser un símil de los controles y checklist que se producen al implantar y certificar una ISO 27001, pero no hay que olvidar que el legislador español ha optado por la creación de un sistema novedoso y específico para evaluar la seguridad de los sistemas de información, cuando lo que podía haber hecho es obligar por ley a las Administraciones Públicas a someterse a la certificación de una ISO 27001.

El apartado c) del mismo artículo le confiere la competencia para constituir el Organismo de certificación del esquema nacional de evaluación y certificación de la seguridad de las tecnologías de información, de aplicación a productos y sistemas de su ámbito.  La creación de este centro viene dada por el artículo 18.1 del RD 3/2010 que dispone que en la adquisición de productos de seguridad TIC que vayan a ser utilizados por las AAPP se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionadas con el objeto de de su adquisición.

Este Organismo se encuentra regulado en el art 18.3 del RD 3/2010 y en la Orden de Presidencia 2740/2007. Su ámbito de actuación comprende las entidades públicas o privadas que quieran ejercer de laboratorios de evaluación de productos o sistemas de TI en el marco del ENS. También comprende a estas entidades cuando sean fabricantes de productos o sistemas de TI que quieran certificar la seguridad de dichos productos (producto, sistema de información o perfil de protección) en el marco del ENS.

Por evaluación hay que entender el análisis realizado mediante un proceso metodológico, de la capacidad de un producto o sistema de TI para proteger las condiciones de la información de acuerdo  a unos criterios establecidos, con el objeto de determinar si puede ser certificado.

 Conclusiones

– El ENS es obligatorio para todas las Administraciones Públicas y las entidades de derecho público vinculadas o dependientes de las mismas.

Su objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por los principios básicos y requisitos mínimosque permitan una protección adecuada de la información.

[1] Organismos Autónomos, Empresas Públicas y Agencias.

Publicado por el autor en TodoNoticiasLOPD.