En el afán de recopilar los enlaces de conferencias organizadas del Centro Criptológico Nacional muestro aquí las de 2022. Notar que las ponencias y los temas crecen de año en año, siendo de sumo interés para tomar el pulso a la ciberseguridad en España y las acciones de las administraciones y del gobierno sobre ella.
Encuentros CCN. Intervenciones
Lista de reproducción de YouTube
Luis F Real
 |
| Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad |
El 5 de mayo de 2022 entra en vigor el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
Comentamos hace unos meses en este mismo blog, que el Ministerio de Asuntos Económicos y Transformación Digital había redactado un nuevo texto del Esquema Nacional de Seguridad adaptándose a las nuevas necesidades en el ámbito de la ciberseguridad.
El proyecto fue expuesto en audiencia pública, tal como exige los procedimientos para la elaboración de las leyes. (Proyecto de reforma del Esquema Nacionalde Seguridad, audiencia pública del anteproyecto de ley) En aquellas fechas también recogimos algunas novedades que aportaba esta nueva reforma (Notassobre el nuevo Esquema Nacional de Seguridad)
Siguiendo el procedimiento de elaboración de leyes. El 2 de febrero se registró en el Consejo de Estado la entrada el expediente sobre el proyecto de Real Decreto. La función del Consejo de Estado es emitir Dictámenes sobre las cuestiones que se le plantean que, sin ser vinculantes, si suelen ser adoptadas en los texto legislativo examinados.Este expediente fue priorizado como urgente.
(Consultar las web sobre las funciones del Consejo de Estado y las características de los Dictámenes que emite)
En veinte días la Comisión Permanente del Consejo de Estado emitió
el Dictamen 93/22 que se puede consultar el la publicación de la Agencia
Estatal del Boletín Oficial del Estado. En el propio dictamen se explica todos los procedimiento que ha seguido este proyecto de Real Decreto hasta llegar al Consejo.
 |
| Dictamen 93/2022 del Consejo de Estado |
El 3 de mayo se incluyó en el orden del día del Consejo de Ministros (Referencia del Consejo de ministros del 3 de mayo). En esa sesión, el Real Decreto fue aprobado.
 |
| Consjeo de Ministros. Referencia, 3 de mayo de 2022, página 11 |
El dia 4 de mayo se publica en el BOE y como indica la Disposición final tercera, entró en vigor el día 5.
En estas páginas nos haremos eco de los comentarios al mismo que puedan emitir organismos, asociaciones, empresas o profesionales involucrados en este Real Decreto.
Luis F. Real
Unas breves notas sobre el proyecto de Real Decreto.
La primera apreciación del lector es que la nueva norma está escrita con un leguaje más técnico, preciso y claro.
Vamos a centrarnos en el personal adscrito a las actividades de ciberseguridad.
Profesionalidad: El personal estará cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición,
construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
Las organizaciones determinarán el diseño curricular y experiencias necesarias del personal para el desarrollo de cada puesto de trabajo.
Roles en las organizaciones:
La norma distingue cuatro roles bien diferenciadsos:
Responsable de información.
Responsable del servicio.
Responsable de la seguridad.
Responsable del sistema.
Responsable de Seguridad distinto del Responsable del
Sistema (salvo excepciones que deberán ser justificadas).
Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsabilidad de la Seguridad que recogerá las condiciones
y requisitos para este rol.
El CCN-STIC publiará normas, intrucciones técnicas, guías de seguridad de las tecnologías de la información y la comunicación; así como recomendaciones para aplicar el ENS.
También aparece un nuevo papel aparece en aquellas empresas que ofrezcan servicios externalizados.
Se trata de la Persona de Contacto, POC, "Point of Contact", de seguridad de la información.
- Será el Responsable de la Seguridad de la Información o pertenecerá a esta área.
- La responsabilidad última será de la entidad del sector público beneviciaria del servicio.
Otros puntos de interés recogidos a vuelapluma:
Un buen ejemplo de los cambios lo encontramos en el glosario.
Aparecen 14 nuevos conceptos que no se recogen en la norma actual. Dos amplian la definición existente.
El Análisis de Riesgo y el Incidente de Seguridad tienen explicaciones más detalladas y completas.
Las medidas de seguridad se considerarán procesos y la valoración de la implantación de dichas medidas será en base a la adopción del modelo CMM.
Notas sobre el Anexo II:
Los niveles de seguridad se han incrementado, aquellos que eran básicos y no necesitaban aplicar medidas de seguridad, en la nueva normativa
se exige que tengan implementaciones mínimas.Esta normativa incluye el concepto de Refuerzo de Seguridad. Los niveles medios y altos se incrementan con medidas de refuerzo denominadas R1, R2 o R3. Estos refuerzos han de estar convenientemente documentados.
L. F. Real
Canal de Youtube del III Encuentro del Esquema Nacional de Seguridad
III Encuentro sobre el ENS, junio 2021
L. F. Real
El Colegio de Ingenieros Técnicos de Telecomunicaciones, COITT ha enviado la presente circular. Invita a los miembros a participar, con sus comentarios, opiniones y sugerencias, en la revisión del Proyecto de Real Decreto del Esquema Nacional de Seguridad. Hay muy pocos días para ello.
 | ||||
| Circular del COITT |
El proyecto está publicado en la página del Ministerio de Asuntos Económicos y Transformación Digital (MINECO).
 |
| Participación pública en proyecto normativos |
El 23 de junio, se retiró de la página del ministerio.
 |
| Publicación hasta el 22 de junio de 2021 |
Han transcurrido más de diez años desde la primera publicación del Esquema Nacional de Seguridad. Es el momento de revisar el texto y realizar la reforma oportunas.
Documentos:
TEXTO del Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad.
El punto de partida para este nuevo Real Decreto está en el Acuerdo de Consejo de Ministros de 25 de mayo de 2021.
 |
| Acuerdo del Consejo de Ministros de 25 de mayo de 2021 |
En él se adoptó una serie de medidas urgentes sobre ciberseguridad. Entre ellas, he resaltado la referida al Esquema Nacional de Seguridad del texto del acuerdo.
Tomando el apartado que nos interesa.
Indudablemente, queda pendiente la lectura de las otras medidas urgentes, pero se escapa al contenido de esta breve entrada.
El 15 junio estaba publicado en la página del Ministerio el MAIN y el Texto del Proyecto.
TEXTO del Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad.
Para saber un poco más
Para recordar el Esquema Nacional de Seguridad dejo el enlace de un video del PMI (Project Management Institute) de Madrid. Interesante aportación desde el punto de vista de la implantación.
Durante las XII Jornadas STIC CCN-CERT que tuvieron lugar el 12 y 13 de diciembre de 2018, se expusieron las experiencias con la implantación del ENS. El Módulo 3 de los temas de las ponencias se dedicó al ENS y RGPD.
Aquí enlazo la pagina del CCN-CERT de aquellas jornadas. y dejo el enlace a un video interesante relacionado con la necesidad de mejorar el ENS para facilitar su implantación.
Vídeos XII Jornadas STIC CCN-CERT
Aprovechando que estamos en el comienzo de procedimiento de tramitación de una ley, vamos a seguir las etapas en las que se llega a su aprobación. Por otro lado, seguiremos los comentarios que se han producido al proyecto por los entidades profesionales del sector.
En resumen, haremos dos seguimientos:
L. F. Real
