Saltar al contenido

disi-entrevista-carlos-galan

“La ayuda de ENAC ha sido y sigue siendo esencial para construir el modelo de confianza en el que está fundamentada la ciberseguridad pública”

Carlos Galán Pascual, doctor en Informática, abogado y profesor de la Universidad Carlos III de Madrid, es asesor del Centro Criptológico Nacional (adscrito al Centro Nacional de Inteligencia) en materia de Derecho tecnológico, Derecho de la ciberseguridad, Esquema Nacional de Seguridad o transposición de directivas europeas, entre otras actividades. Asimismo, destaca su participación como miembro del Grupo de Expertos de redacción de la Estrategia Nacional de Ciberseguridad y miembro de la European Artificial Intelligence Alliance. Desde 2016, compatibiliza esta actividad con su labor de experto en certificación de producto (UNE-EN-ISO 17065) de ENAC para el Esquema Nacional de Seguridad y el Reglamento (UE) de Identidad Electrónica y Servicios de Confianza.

Con motivo del Día Internacional de la Seguridad de la Información, que se celebra el 30 de noviembre, en la siguiente entrevista analizamos con el profesor Dr. Carlos Galán los avances realizados en materia de ciberseguridad en nuestro país y el valor aportado por la acreditación a las medidas de seguridad adoptadas.

 

Como experto en el área, ¿qué contribución que ha realizado y realiza la acreditación de ENAC en el ámbito de la ciberseguridad en España?

Enorme y absolutamente imprescindible. En la actualidad, podemos afirmar, sin lugar a dudas, que España cuenta con el mejor esquema de evaluación y certificación de la ciberseguridad de Europa , construido sobre la base del Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad (ENS), del que me honra haber sido miembro de su equipo de redacción y cuyo ámbito de aplicación se extiende no solo a todas las entidades del sector público (administraciones públicas y sector público institucional), sino también a eso que se ha denominado “cadena de suministro”, y que comprende a todas aquellas entidades privadas que participan en la prestación de servicios competenciales electrónicos a las entidades públicas.

 

El próximo 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información. ¿Qué papel juega en nuestro país el Esquema Nacional de Seguridad (ENS) y la acreditación en este ámbito?

España, como el resto de los países occidentales, necesita proveerse de mecanismos capaces de hacer frente y dar respuesta a la multiplicidad de incidentes y agresiones que, muchas veces de manera deliberada, desarrollan agentes hostiles, ya se trate de organizaciones delincuenciales, estados extranjeros que pretenden socavar nuestras instituciones o acceder a información estratégica relevante ogrupos hacktivistas. Todos ellos -especialmente los primeros citados- se convierten en preocupantes adversarios de nuestro país, de sus instituciones y de sus valores, por lo que se hace necesario disponer de métodos, procedimientos y herramientas para prevenir, detectar y reaccionar a dichas agresiones, y mitigar el impacto de dichos ataques, cuando no ha sido posible detenerlos a tiempo.

Para ello, ha sido necesario construir un modelo de garantías de ciberseguridad -nuestro Esquema Nacional de Seguridad-, que persigue dotar a los sistemas de información usados por las entidades de su ámbito de aplicación de las mejores garantías para asegurar la disponibilidad de los servicios prestados por medios electrónicos, y la garantía de la integridad, confidencialidad, autenticidad y trazabilidad de la información tratada.

Pero eso no es todo. Además de ayudar a dotar a los sistemas de las mejores garantías de seguridad, es necesario, en base al ejercicio de transparencia y confiabilidad que debe presidir la actuación de las entidades públicas, contar con evidencias capaces de transmitir dicha confianza a los destinatarios últimos de nuestros esfuerzos: los ciudadanos, los profesionales, las empresas y las instituciones de nuestro país. Por eso, en 2016 se creó el esquema de certificación del ENS, y que persigue que todas aquellas entidades que hayan superado la correspondiente auditoría de certificación, ejecutada por una entidad de certificación previamente acreditada por ENAC, puedan exhibir en sus páginas web o sedes electrónicas el correspondiente distintivo de conformidad con el ENS, que garantizará, erga omnes, la suficiencia y adecuación de las medidas de seguridad adoptadas y la conformidad con el ENS.

 

“En la actualidad, podemos afirmar, sin lugar a dudas, que España cuenta con el mejor esquema de evaluación y certificación de la ciberseguridad de Europa”

 

Cuenta con una dilatada experiencia en la redacción de esquemas y estrategias en materia de seguridad de la información. Algunos de ellos, contemplan o exigen la acreditación. ¿Cómo valora el apoyo técnico recibido por ENAC para integrar la acreditación en estos esquemas?

La participación de ENAC en todo este proceso ha sido fundamental. Cuando la Secretaría para la Administración Digital (de la secretaría de Estado para la Digitalización y la Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital) y el Centro Criptológico Nacional (adscrito al Centro Nacional de Inteligencia, del Ministerio de Defensa), tomaron la decisión de construir un esquema de certificación para el ENS, inmediatamente se hizo patente la necesidad de contar con las competencias y la experiencia de ENAC en materia de certificación y acreditación. Su ayuda, desde el germen de la redacción de lo que hoy constituye nuestro esquema de certificación y su posterior desarrollo, mantenimiento y actualización ha sido y sigue siendo esencial para construir el modelo de confianza en el que está fundamentada la ciberseguridad pública.

Caso análogo ha sucedido con el esquema de certificación de los Prestadores Cualificados de Servicios de Confianza, en base a la normativa derivada del Reglamento eIDAS europeo, cuya regulación imponía la necesidad de contar con entidades de certificación de la conformidad, encargadas de evaluar y proponer para su certificación a aquellas entidades que superaban las exigencias impuestas por tal normativa.

 

El Reglamento eIDAS o esquemas nacionales como el ENS o Lince hacen uso de la acreditación para garantizar sus objetivos en materia de seguridad de la información. Por otra parte, el Reglamento de ciberseguridad (Cybersecurity Act) ha establecido la acreditación como una pieza fundamental en la estrategia europea en ciberseguridad. En su opinión, ¿qué podemos esperar de cara al futuro?

Efectivamente, regulación europea (como la citada Cybersecurity Act) o nacional (como el Esquema Nacional de Seguridad o el modelo LINCE) insisten en construir la ciberseguridad en base a mecanismos de adopción de medidas cuya correcta adecuación pueda ser constantemente evaluada.

Esta actividad de monitorización y certificación, de carácter periódico o discreto, es el objetivo de los esquemas de evaluación y certificación de la seguridad, para los que ENAC se erige en una posición fundamental, como garante máximo de la veracidad de las actuaciones y expresión de la confianza. Además de ello, y por lo que toca al Esquema Nacional de Seguridad, es igualmente necesario mantener una posición de permanente vigilancia (lo que se ha denominado monitorización continua) que garantice que, más allá de las revisiones periódicas, el sistema o sistemas concernidos se encuentran permanentemente en las mejores condiciones de seguridad.

Debo añadir que España, como consecuencia de todo este trabajo, durante su mandato al frente de la Unión Europea en el segundo semestre del año entrante, impulsará un candidato a Esquema Europeo de Certificación de la Ciberseguridad para el Sector Público, basado en nuestro Esquema Nacional de Seguridad, con el objetivo de que, en un plazo razonable de tiempo, Europa, sus Estados miembros y sus instituciones hagan uso del mejor modelo posible y actualizado en materia de aseguramiento de la ciberseguridad y su evaluación. 

 

“La ayuda de ENAC, desde el germen de la redacción de lo que hoy constituye nuestro esquema de certificación y su posterior desarrollo, mantenimiento y actualización ha sido y sigue siendo esencial para construir el modelo de confianza en el que está fundamentada la ciberseguridad pública”

 

Y a nivel particular, ¿cómo valora su colaboración con ENAC y con el sistema de acreditación español?

Bueno, la valoración que ENAC pueda hacer de mi trabajo como auditor técnico es algo que dejo para ENAC. Por lo que yo puedo decir, la colaboración con ENAC nos ha supuesto, a todos los que formamos parte del equipo de trabajo en el CCN, un conocimiento profundo de los modelos de certificación basados en la acreditación de entidades, realizada por una entidad nacional, independiente y con las capacidades precisas, y nos ha ayudado a construir un modelo más seguro y, especialmente, más confiable.

Como usted sabe bien, la seguridad es un camino que se recorre en base a elementos objetivos y también subjetivos.