Skip to content

Esquema Nacional de Seguretat: l’espia a casa

Ningú tampoc li ho ha dit, possiblement, però és obligatori per a tots aquells que manegin dades o informació tecnològica de les administracions públiques que compleixin els requisits de l’Esquema Nacional de Seguretat i l’Esquema Nacional d’Interoperabilitat.

És legalment obligatori, a més, que el segell oficial estigui en la pàgina web de la institució (també si és un privat) i al mateix temps s’acrediti la seva auditoria biennal.

El no compliment en un dels tres nivells significaria l’anul·lació de qualsevol concurs de contracte públic, el no compliment per part de l’administració significarà la sanció legal per als seus responsables.

En 2007, la UE va decidir regar amb centenars de milions a l’administració pública espanyola perquè aquestafes un salt tecnològic i s’homologués i s’interconnectés amb la resta d’administracions públiques dels països de la Unió; va ser l’anomenat pla Zapatero, buscant també augmentar la seva resiliència enfront de la crisi que s’anunciava.

La llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als Serveis Públics, buscava crear una eina tan efectiva, que permetés garantir els drets dels ciutadans en l’administració electrònica. El seu objectiu era estandarditzar la situació tecnològica de les diferents administracions públiques així com els serveis electrònics existents en aquestes, utilitzar estàndards oberts i de manera complementària estàndards d’ús generalitzats als utilitzats pels ciutadans.

Es reconeixia el dret fonamental del ciutadà d’interrelacionar-se telemàticament amb l’administració, i dic es reconeixia perquè estava molt lluny de practicar-se, deuen vostès seguir a Víctor Almonacid que és el que més sap en aquest tema.

Una altra cosa va ser que amb aquests diners, les administracions, amb unes eleccions municipals i autonòmiques a les portes, el van usar per a asfaltar carrers, reparar fanals i algun projecte megalòman.

L’ENS es va materialitzar mitjançant el Reial decret 3/2010 (fa onze anys, que en informàtica això és molt) de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica i s’ocupa essencialment d’establir la política de seguretat en la utilització de mitjans electrònics a través dels principis bàsics de requisits mínims que garanteixin la seguretat de la informació tractada. De pas, com una eina nascuda dels serveis d’intel·ligència espanyols, ficar-se fins i tot en la cuina en les administracions públiques, però aquest és un altre tema.

Posteriorment va ser modificat pel Reial decret 951/2015 a la llum del fracàs de la seva implantació, alhora que es mirava d’actualitzar-nos tots a l’evolució tecnològica, i de les ciber amences i del context regulador tant internacional com Europeu.

El principal objectiu de l’ENS és crear les condicions necessàries de seguretat en l’ús dels mitjans electrònics a través de mesures comunes i iguals per a garantir la seguretat dels sistemes, de les dades,  les comunicacions i serveis electrònics, això permetrà l’exercici transparent de drets i el compliment de deures a través d’aquests mitjans. Trobem només 75 mesures de seguretat recollides en l’ENS que no són molt difícils d’aplicar avui dia, però han d’estar auditades i actualitzades almenys cada dos anys, és a dir, que si una empresa no té el segell de l’ENS o de l’ENI no pot contactar amb l’administració pública, el problema és que moltes administracions públiques tampoc el tenen.

I a més alguns mestretites que porten el compliance de les empreses (que poca tecnologia coneixen) s’ofereixen per a fer auditories de seguretat, de protecció de dades i també les bústies de denúncia i també l’ENS perdent així mateix la seva independència i la seva credibilitat.