El Esquema Nacional de Seguridad

Hace ya algún tiempo escribí un par de posts en relación a la responsabilidad estatal en materia de seguridad, y en ellos afirmaba la necesidad de que el estado fijase una serie de requisitos mínimos en materia de seguridad de la información. Parece que esta preocupación no iba demasiado desencaminada, al menos a la vista del contenido de la LAECSP.

La Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007, de 22 de Junio) regula, en términos generales, las condiciones que deberán cumplir las Administraciones Públicas para permitir el acceso electrónico a los servicios prestados, tanto por parte de los ciudadanos como entre las propias administraciones. Sin embargo, y pese a que el contenido principal de dicha Ley se centra en regular la "interoperabilidad electrónica", esta Ley también lleva a cabo un importante esfuerzo en tratar de garantizar la seguridad de los servicios electrónicos prestados por las administraciones.

Ya en el Artículo 1. párrafo 2. podemos leer que las Administraciones Públicas asegurarán "la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios". ¿A alguien le suenan esos conceptos? ¿No recuerda este enunciado al contenido de cualquier Carta o Política de Seguridad de la Información de Alto Nivel de cualquier organización que disponga de ella?

La Ley habla de las distintas dimensiones de la seguridad de la información a lo largo de todo su articulado. Sin embargo, la parte más "jugosa" la podemos encontrar en el Artículo 41. párrafo 2., en el que podemos leer que "el Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información". ¿Puede recordar a una articulación clásica de las Políticas o Normativas de Seguridad de cualquier organización? Por supuesto que sí.

La propia Ley indica, en el párrafo siguiente, que dicho Esquema se aprobará por Real Decreto, y señala los participantes y supervisores previstos para su elaboración. Lamentablemente, la redacción de la Ley está en futuro, y pese a que la Ley es del verano, ya se sabe que en temas legales el tiempo transcurre muy lentamente. Sin embargo, creo que la propia aparición de la Ley ya debe ser motivo de satisfacción dentro del sector, y si los plazos que marcan las disposiciones finales de la propia Ley se cumplen apropiadamente, la redacción preliminar de dicho Esquema es posible que llegue bastante antes de lo previsto.

Pese a la importancia que pueda tener la aparición de un marco regulatorio completo en materia de seguridad de la información, no debemos olvidar que dicho marco sólo es aplicable a la administración electrónica. Es cierto que puede servir de "inspiración" para la empresa privada, pero hay que tener claro que previsiblemente el futuro Esquema deje de lado muchos ámbitos de actuación. Ya nos lo recordaba en su día el director de la revista SiC, de modo que no está de más tener en cuenta que este marco regulatorio es un marco de mínimos generales, y que siempre podrán aparecer exigencias adicionales que completen y refuercen los requisitos exigibles.