El Día Internacional de la Seguridad de la Información (DISI) se celebra cada 30 de noviembre para concienciar de la importancia de proteger la información a través de una serie de medidas de seguridad en los sistemas y entornos en los que se opera y adoptar buenas prácticas.

Para el Dr. Carlos Galán, asesor del Centro Criptológico Nacional, profesor de la Universidad Carlos III de Madrid y experto de la Entidad Nacional de Acreditación (ENAC) para el Esquema Nacional de Seguridad y el Reglamento (UE) de Identidad Electrónica y Servicios de Confianza, ante este escenario, “España, como el resto de países, necesita proveerse de mecanismos capaces de hacer frente y dar respuesta a la multiplicidad de incidentes y agresiones que, muchas veces de manera deliberada, desarrollan agentes hostiles, ya se trate de organizaciones delincuenciales, estados extranjeros que pretenden socavar nuestras instituciones o acceder a información estratégica” por lo que, en su opinión, “se hace necesario disponer de métodos, procedimientos y herramientas para prevenir, detectar y reaccionar a dichas agresiones, y mitigar el impacto de dichos ataques”.

En este sentido, el Esquema Nacional de Seguridad (ENS) fija los principios básicos y requisitos mínimos, así como las medidas de protección a implantar en los sistemas de la Administración Pública y también es aplicable a operadores del sector privado que prestan servicios o provean soluciones a entidades públicas. Para aportar las máximas garantías, se estableció la exigencia de la acreditación ENAC a las entidades certificadoras para poder actuar en el marco de dicho esquema.

Para Galán, que ha participado en el equipo que lo ha redactado, el ENS “dota a los sistemas de información usados por las entidades de su ámbito de aplicación de las mejores garantías para asegurar la disponibilidad de los servicios prestados por medios electrónicos, y la garantía de la integridad, confidencialidad, autenticidad y trazabilidad de la información tratada”. Las bondades de este esquema son de aplicación tanto “a todas las entidades del sector público (administraciones públicas y sector público institucional), como a eso que se ha denominado “cadena de suministro”, y que comprende a todas aquellas entidades privadas que participan en la prestación de servicios competenciales electrónicos a las entidades públicas”, añade.

Pieza fundamental en la estrategia europea en ciberseguridad

“La regulación europea”, continúa Carlos Galán, “insiste en construir la ciberseguridad en base a mecanismos de adopción de medidas cuya correcta adecuación pueda ser constantemente evaluada”. En este sentido se sitúan el Reglamento (UE) 2019/881, más conocido como “Cybersecurity Act, que tiene el objetivo de reforzar la lucha contra las amenazas y ataques en materia de ciberseguridad, que otorga un papel central a la acreditación, ya que  crea un marco europeo de certificación de la ciberseguridad con el objetivo de crear un mercado único digital para los productos, servicios y procesos de TIC en el que solo contempla la opción de la certificación acreditada, independientemente de quién sea el organismo de certificación que vaya a operar.

Asimismo, el  Reglamento (UE) nº 910/2014, eIDAS, para la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, ha establecido la acreditación para asegurar la competencia técnica, la operatividad e imparcialidad de los organismos que auditan y certifican a los proveedores de servicios de identificación electrónica.

En esta actividad, los organismos de acreditación, y en este caso concreto ENAC, “se erige en una posición fundamental, como garante máximo de la veracidad de las actuaciones y expresión de la confianza, concluye el asesor del Centro Criptológico Nacional y experto  de ENAC.