R de Revisión
Ante las múltiples amenazas y los nuevos retos y desafíos para la seguridad, como base de trabajo vamos a referirnos a lo planteado en la Estrategia de Seguridad Nacional (ENS-2021) que, en “Objetivos generales y líneas de acción de la Seguridad Nacional”, identifica cinco objetivos generales: “Avanzar en un modelo integral de gestión del riesgo y de crisis, promover una cultura de Seguridad Nacional, favorecer el buen uso de los espacios comunes globales, impulsar la dimensión de seguridad en el desarrollo tecnológico y fortalecer la proyección internacional de España”.
Donde, como riesgos y amenazas transversales se encuentran los ciberataques y destaca cinco recomendaciones para proteger, especialmente las infraestructuras críticas, como son la: Creación de una estrategia de ciberseguridad para formar un frente de prevención y protección que permita intercambiar eficientemente información de alertas, vulnerabilidades y amenazas para actuar rápida y coordinadamente.
En este sentido, cabe destacar la importancia de establecer nuevos planteamientos y herramientas para la Gestión Integral del Riesgo y las Seguridades. Así, hemos de invertir en gestionar, en cada caso, de forma integral el catálogo de riesgos y amenazas para prevenirlo y garantizar, en todo lo posible, superar las crisis o contingencias con el menor impacto y consecuencias y la mayor resiliencia.
E de Exigencias
El Real Decreto 311/2022, de 3 de mayo, por el que se establece el Esquema Nacional de Seguridad (ENS) sustituye al RD 3/2010, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración Electrónica, para actualizarlo en base al conocimiento adquirido y la situación actual, incluido un nuevo escenario de ciberamenazas para:
Primero, alinear el ENS con el marco normativo y el contexto estratégico existentes para garantizar la seguridad en la Administración Digital. Para lograrlo, se clarifica el ámbito de aplicación del ENS y se actualizan las referencias al marco legal vigente, de manera que se simplifiquen y armonicen los mandatos del ENS. Segundo, introducir la capacidad de ajustar los requisitos del ENS para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza de los riesgos a los que están expuestos sus sistemas de información. Tercero, reforzar la protección frente a las tendencias en ciberseguridad mediante la revisión de los principios básicos, los requisitos mínimos y las medidas de seguridad que deben adoptarse por las entidades sujetas al ENS.
Los sistemas afectados deberán adecuarse a lo dispuesto en el Real Decreto en un plazo de veinticuatro meses contados a partir de su entrada en vigor.
Cabe destacar que el ENS define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de los sistemas de información.
Estas nuevas exigencias, actualizaciones, cambios y novedades importantes que trae la actualización del Esquema Nacional de Seguridad de los controles, buscan proteger a las organizaciones de los riesgos más habituales o inseguridades a las que se enfrentan.
Así, el Centro Criptológico Nacional (CCN-CERT) ha publicado en el portal del Esquema Nacional de Seguridad una serie de infografías para entender mejor los cambios y novedades propuestos.
En este sentido, el nuevo ENS persigue los siguientes grandes objetivos:
Crear las condiciones necesarias de seguridad en el uso de los medio electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Promover la gestión continuada de la seguridad. Promover la prevención, detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques. Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las entidades del Sector Público y de sus proveedores tecnológicos en materia de seguridad de las tecnologías de la información. Servir de modelo de buenas prácticas, en línea con lo apuntado en las recomendaciones de la OCDE Digital Security Risk Management for Economic and Social Prosperity OECD Recommendation and Companion Document.
Para ello, las empresas de seguridad disponen de las metodologías y tecnologías para apoyar la implementación de los procedimientos y requisitos que aplica el nuevo ENS, llevando a cabo un diagnóstico inicial del cumplimiento de la entidad y analizando el Sistema de Gestión de Seguridad de la Información (SGSI) y sus sistemas. Con la integración del nuevo ENS en una solución global las entidades obtendrán seguridad en el cumplimiento y ahorro de tiempos.
L de Líquido
Vivimos momentos para la reinvención y el cambio. La pandemia de la COVID-19 nos ha vuelto a recordar que navegamos en un “mundo líquido”, adaptativo, que se caracteriza por atributos como la flexibilidad, la versatilidad y la resiliencia.
El sociólogo polaco Zygmunt Bauman, acuñó el término de “mundo líquido” para definir el estado fluido y volátil de la actual sociedad, sin valores demasiado sólidos, donde la incertidumbre, por la vertiginosa rapidez de los cambios, ha debilitado los vínculos humanos.
En esta situación, y con la presión de la COVID-19, hay muchas actividades, especialmente estratégicas y críticas, que se están sometiendo a procesos de cambio para seguir siendo viables y no generen riesgos para sus gestores.
A de Adaptación
En el proceso, en un entorno VICA (Volatil, Incierto, Complejo, Ambiguo) del mundo global que evoluciona rápidamente, cada actividad, cada servicio público o privado, requiere actualizarse con nuevos procedimientos y estrategias distintas. Desde el aeropuerto al hospital, desde los centros comerciales a las fábricas, todo deberá licuarse para sobrevivir en otras condiciones.
Nos esperan más cambios radicales tras los que tendremos que aprender de nuevo a sobrevivir. No obstante, pese a la vertiginosidad de la necesaria adaptación, es posible diseñar planes con visiones de corto, medio y largo plazo para nuestras seguridades.
En cuanto a las nuevas acciones y reacciones cabe subrayar los avances establecidos hacia el planteamiento de seguridad integral e integrada, pública y privada, así como el inicio de la importante transformación en los Departamentos de Seguridad hacia un nuevo esquema o estructura neuronal con mayor implicación y compromiso de todos sus integrantes.
Todo ello bajo una nueva Dirección Ejecutiva Seguridad Global, en muchos casos basada en un liderazgo ejecutivo de mayor: Implicación global, integración de las seguridades, inteligencia corporativa, innovación tecnológica e imaginación e iniciativa muy proactiva.
N de Normalización
Disponemos de un sector de las seguridades con nuevas estrategias, proyectos y metodologías donde sus integrantes ante esta nueva realidad, con tecnologías evolucionadas y nuevas soluciones certificadas y normalizadas en materia de seguridad, adaptadas a un diferente escenario tecnológico y de globalización, donde surgen nuevas amenazas y riesgos, muchos de ellos, impredecibles.
Ante la implantación o evolución de nuevos medios tecnológicos y medidas organizativas y operativas de seguridad hemos de plantear la revisión y reinvención de nuevos indicadores o métricas que permitan realizar una evaluación sobre la eficiencia y eficacia del tratamiento y gestión del riesgo y las seguridades.
Pero, ninguno de todos los nuevos planteamientos y soluciones para los nuevos retos y exigencias de seguridad, serán posibles sin la revisión, adecuación y adaptación al cambio de la reglamentación de Seguridad Privada por otras exigencias a nivel de requisitos como: tipo de contratistas homologados, certificaciones en el ámbito de seguridad de la información ante las nuevas amenazas como el ciberataque o el cibercrimen y las nuevas medidas de seguridad y ciberseguridad que debieran implementarse.
La seguridad privada se ha reinventado, evolucionado y adaptado para garantizar la prevención y protección de personas y bienes con una seguridad integral e integrada.
C de Continuidad
También las seguridades están sufriendo una nueva orientación y estrategia hacia el concepto de seguridad y continuidad de negocio y funcionamiento.
La seguridad continua funciona tomando los principios fundamentales de la "seguridad desde el diseño", aplicándolos a sus líneas de integración continua y entrega continua a través de la automatización de controles, pruebas, alertas y monitoreo.
Es fácil relacionar el término continuidad de negocio con el ámbito tecnológico o con las grandes organizaciones pero este no es exclusivo de las grandes infraestructuras pues las incidencias y los desastres afectan igualmente a las pymes y a los autónomos.
Hay que diseñar planes de seguridad continua y continuidad de negocio que integren procedimientos de actuación en emergencia, planes financieros y de comunicación y planes de contingencia destinados a minimizar el impacto y consecuencias potenciales provocadas por la materialización de determinados riesgos o amenazas sobre los bienes, la información y los procesos de funcionamiento de una organización.
E de Estrategia
Entre los nuevos retos y oportunidades, uno de los más importantes es el desarrollo de un nuevo concepto de Seguridad Global, con la convergencia de las seguridades, la transformación digital y la digitalización para la gestión operativa de la seguridad integral e integrada, pública y privada.
Igualmente, hemos de seguir avanzando hacia la integración operativa de la Seguridad Pública-Seguridad Privada (Cooperación, Colaboración).
Es clave que las nuevas estrategias para implementar el nuevo ENS tengan en su hoja de ruta el incremento de sus niveles de madurez en seguridad física y ciberseguridad, su mitigación de los riesgos y la resiliencia.
Con todo ello, y como recomendación, debemos potenciar una nueva cultura de seguridad con una visión sobre la base de las amenazas complejas e incrementar los recursos de análisis y liberarlos de viejas patologías y rigideces desarrollando el esquema de la Gestión Integral del Riesgo y las Seguridades.