Saltar al contenido

Esquema Nacional de Seguridad: el espía en casa

Nadie tampoco se lo ha dicho, posiblemente, pero es obligatorio para todos aquellos que manejen datos o información tecnológica de las administraciones públicas que cumplan los requisitos del Esquema Nacional de Seguridad y el esquema nacional de interoperabilidad.

Es legalmente obligatorio además que el sello oficial esté en la página web de la institución y también si es un privado y al mismo tiempo se acredite su auditoria bienal.

El no cumplimiento en uno de los tres niveles significaría la anulación de cualquier concurso de contrato público, el no cumplimiento por parte de la administración significará la sanción legal para sus responsables.

En 2007, la UE decidió regar con centenares de millones a la administración pública española para que este diese un salto tecnológico y se homologase y se interconectase con el resto de administraciones públicas de los países de la Unión; fue el llamado plan Zapatero, buscando también aumentar su resiliencia frente a la crisis que se anunciaba.

La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, buscaba crear una herramienta tan efectiva, que permitiera garantizar los derechos de los ciudadanos en la administración electrónica. Su objetivo era estandarizar la situación tecnológica de las diferentes administraciones públicas así como los servicios electrónicos existentes en las mismas, utilizar estándares abiertos y de forma complementaria estándares de uso generalizados a los utilizados por los ciudadanos.

Se reconocía el derecho fundamental del ciudadano de interrelacionarse telemáticamente con la administración, y digo se reconocía porque estaba muy lejos de practicarse, deben ustedes seguir a Víctor Almonacid que es el que más sabe en este tema.

Otra cosa fue que con ese dinero, las administraciones, con unas elecciones municipales y autonómicas a las puertas, lo usaron para asfaltar calles, reparar farolas y algún que otro proyecto megalómano.

El ENS se materializó mediante el Real decreto 3/2010 (hace once años, que en informática esto es mucho)  de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y se ocupa esencialmente de establecer la política de seguridad en la utilización de medios electrónicos a través de los principios básicos de requisitos mínimos que garanticen la seguridad de la información tratada. De paso como una herramienta nacida de los servicios de inteligencia españoles meterse hasta en la cocina en las administraciones públicas, pero este es otro tema.

Posteriormente fue modificado por el Real Decreto 951/2015 a la luz del fracaso de su implantación, a la vez que se miraba de actualizarnos todos a la evolución tecnológica, y de las ciberamenzas y del contexto regulatorio tanto internacional como Europeo.

El principal objetivo del ENS es crear las condiciones necesarias de seguridad en el uso de los medios electrónico a través de medidas comunes e iguales para garantizar de la seguridad de los sistemas, de los datos, de las comunicaciones y de los servicios electrónicos, esto permitirá el ejercicio transparente de derechos y el cumplimiento de deberes a través de estos medios. Encontramos solo 75 medidas de seguridad recogidas en el ENS que no son muy difíciles de aplicar hoy en día, pero han de estar auditadas y actualizadas al menos cada dos años, es decir, que si una empresa no tiene el sello del ENS o del ENI no puede contactar con la administración pública, el problema es que muchas administraciones públicas tampoco lo tienen.

Y además algunos listillos que llevan el compliance de las empresas (que poca tecnología conocen) se ofrecen para hacer auditorias de seguridad, de protección de datos y también los buzones de denuncia y también el ENS perdiendo así mismo su independencia y su credibilidad.

Driblando a Europa, ¡como si fuésemos tontos!