El director general de Istec, Juan Alegre. Foto: KIKE TABERNERVALÈNCIA (EP). La sociedad mercantil Infraestructures i Serveis de Telecomunicacions i Certificació (Istec), operadora pública de telecomunicaciones y autoridad de certificación de la Generalitat, ha conseguido renovar su certificación en la categoría alta del Esquema Nacional de Seguridad (ENS) que concede el Centro Criptológico Nacional (CNN-CERT).
De este modo, Istec se convierte, a nivel estatal, en la segunda entidad autonómica en actualizar su certificación y es "una de las cuatro únicas entidades del sector público que cuenta con esta distinción en toda España y la primera del sector público valenciano en obtener esta categoría", destaca la Generalitat en un comunicado.
El director general de Istec, Juan Alegre, ha resaltado que este "logro" refleja "el compromiso continuo de Istec con la seguridad de la información y su capacidad para adaptarse a los cambios regulatorios y tecnológicos", para "garantizar así la protección adecuada de los datos en el ámbito de la Administración y ofrecer las condiciones de seguridad más elevadas para el servicio de emisión de certificados electrónicos para la ciudadanía".
"Este hito demuestra el sólido enfoque de Istec en la gestión de la seguridad de la información y su capacidad para cumplir con los más altos estándares en este campo, lo que refuerza la confianza en sus servicios y su compromiso con la excelencia en seguridad", ha argumentado.
El Esquema Nacional de Seguridad es un marco normativo y técnico que establece los principios y requisitos necesarios para garantizar la seguridad de la información en las administraciones públicas y sus proveedores. Así pues, está diseñado por el Centro Criptológico Nacional (CCN) con la finalidad de proteger la información "sensible y crítica" que las administraciones públicas intercambian entre ellas, además de con empresas y ciudadanía en general.
Tiene como principal objetivo crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para "garantizar la seguridad" de los sistemas, los datos, las comunicaciones y los servicios electrónicos que permitan el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Desde su creación, el ENS ha sido objeto de revisiones y actualizaciones para "adaptarse a los avances tecnológicos y normativos", así como a "las nuevas amenazas en materia de seguridad de la información".
Estas revisiones han tenido en cuenta tanto las directrices internacionales como las necesidades específicas del contexto español, por lo que el exponente reciente más importante fue en 2022 con la publicación de una nueva versión completa de la norma plasmada en el Real Decreto 311/2022, de 3 de mayo, que derogó a su predecesor.
Este nuevo ENS presenta cambios "significativos", con medidas "más estrictas" en diversos aspectos "clave". En concreto, se amplía el ámbito de aplicación para incluir los sistemas de información clasificada y las entidades privadas que prestan servicios a las Administraciones Públicas.
En la actualidad existen tres categorías de seguridad: bajo, medio o alto. Por tanto, a mayor nivel, mayores son los requerimientos de seguridad y "más difícil" es la obtención de la certificación. Istec, como mercantil del sector público instrumental de la Generalitat, atiende a la obligación de adaptar sus sistemas de información al ENS, pues, debido a su especialización tecnológica, "siempre ha tenido muy presente" la seguridad de la información en los servicios que presta.
Para ello, cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI), certificado en el estándar ISO 27001 y ha evolucionado a la certificación en el ENS en categoría media a la categoría alta actual.
En este sentido, Istec realiza un seguimiento para analizar los "posibles riesgos y debilidades" para tener preparada una respuesta "ágil y efectiva a los incidentes que puedan surgir" y, así, certificar "la continuidad de los servicios, el cumplimiento de las obligaciones en materia de seguridad y la protección de los activos", con el fin de "respetar la legalidad vigente y los derechos de las personas".
La colaboración de ambas empresas ha sido clave para lograr un mejor control de los firewalls y evitar el acceso de amenazas internas
