El Centro Criptológico Nacional (CCN CERT) publicó el pasado 9 de junio las nuevas obligaciones que deberán cumplir aquellos prestadores de servicios que deseen colaborar en tareas integradas en el Esquema Nacional de Seguridad (ENS).
El CCN CERT, como organismo dependiente del Centro Nacional de Inteligencia (CNI) tiene como misión la respuesta a incidentes de seguridad de la información y su actividad se encuentra condicionada, en gran medida, por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que de acuerdo con la ley, establece la política de seguridad en la utilización de medios, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
De ahí la necesidad de una definición clara y actualizada de cuáles son las concretas obligaciones que deberán observar los prestadores de servicios a las entidades públicas, como instrumento para que las instituciones públicas puedan dar cumplimiento a sus obligaciones relacionadas con el ENS. En esencia, se trata de mantener una política realista sobre ciberseguridad y respuesta a ciberamenazas.
Las obligaciones parten de la necesaria cualificación de los profesionales que trabajen en estas cuestiones desde el ámbito de los prestadores de servicios
En este sentido, las obligaciones parten de la necesaria cualificación de los profesionales que trabajen en estas cuestiones desde el ámbito de los prestadores de servicios, de tal forma que los roles encargados de estas tareas cumplan “niveles idóneos de gestión y madurez en los servicios prestados”, los cuales además encontrarán en la transparencia de la información una de sus obligaciones esenciales.
Aparte de la obvia descripción precisa de los servicios prestados, se establece que será “requisito obligatorio”, cuando venga impuesto por las características del servicio, la aportación de información sobre la arquitectura de seguridad interna, diagramas de red o esquemas de elementos físicos con miras a la elaboración de un análisis de riesgos coherente. También en línea con la aportación de información útil y transparente, el prestador deberá informar de la ubicación de los sistemas de información, y en otro ámbito, de los incidentes de seguridad que puedan tener un “impacto significativo”, especialmente a través de la plataforma interna prevista para estas circunstancias (LUCÍA).
En el plano de las garantías, el prestador se debe encontrar en disposición de aportar la Declaración o Certificación de Conformidad con el ENS y de igual forma deberá cumplir con la legislación sobre tratamiento de datos de carácter personal o la cadena de subcontratación. También se establece que los prestadores garantizarán la correcta portabilidad de la información en casos cese o baja de los servicios suministrados.
Por último, el documento establece una serie de recomendaciones adicionales, enfocadas a garantizar la continuidad del servicio, el análisis y explotación de registros originados por los servicios contratados y la realización de controles periódicos.
Diego de la Vega, abogado de Écija