La Fundació Parc Científic Universitat de València (FPCUV) obtiene, tras una auditoría, la recertificación de Conformidad con el Esquema Nacional de Seguridad en nivel Básico, que alcanza a todo el sistema de información que da soporte a los servicios del ecosistema de innovación del área empresarial del Parc Científic de la Universitat de València. La FPCUV logra así conservar un certificado que consiguió en 2022, y que tendrá que volver a renovar en 2026
Con el compromiso de seguir mejorando la eficiencia y la eficacia de la seguridad de la información y la protección de los datos personales, la Fundació Parc Científic Universitat de València (FPCUV) ha obtenido la recertificación de Conformidad con el Esquema Nacional de Seguridad, la cual se ha desarrollado dentro del proyecto Transforma ENS y ha contado con el apoyo de la Agència Valenciana de la Innovació (AVI).
Mariano Serra, encargado del proyecto Programa Transforma ENS y responsable del área de Sistemas TIC de la FPCUV, destaca que obtener la recertificación de Conformidad con el ENS RD 311/2022 para la categoría Básica, "viene a corroborar que la FPCUV tiene un sistema de gestión de la seguridad de la información maduro y eficiente. Supone generar confianza frente a terceros y es fundamental porque representa una garantía de estar cumpliendo con los medidas y requisitos de seguridad de la información exigidos legalmente".
En su proceso de desarrollo a lo largo de 2023, la FPCUV dispuso del acompañamiento de Mobiliza Consulting, empresa de servicios avanzados alojada en el PCUV. De esta forma, según explica Serra, "Mobiliza ayudó a adaptar el anterior sistema de gestión de seguridad de la información basado en el ENS RD 3/2010 a las nuevas medidas de seguridad de acuerdo con el ENS RD 311/2022". Para ello, la compañía de servicios avanzados, "realizó la auditoría interna de validación y finalmente nos acompañó durante toda la auditoría de certificación", añade el responsable del área de Sistemas TIC de la FPCUV.
Mariano Serra, encargado del proyecto Programa Transforma ENS y responsable del área de Sistemas TIC de la FPCUV; y Jorge Edo, socio director de Mobiliza Consulting, durante la grabación de una vídeo divulgativo para el Programa Transforma ENS. Foto: FPCUV
Para la recertificación, auditada por la entidad de certificación acreditada por la Entidad Nacional de Acreditación (ENAC), Audertis, la FPCUV "adoptó un proceso ordenado para dar cumplimiento al RD 311/2022 del 3 de mayo, siguiendo las instrucciones técnicas de seguridad publicadas por la Secretaría de Estado de Digitalización e Inteligencia Artificial y las guías de seguridad publicadas por el Centro Criptográfico Nacional, en particular las guías serie 800", comenta Mariano Serra.
"Con respecto a las medidas de seguridad, en el ENS de 2010 se recogen como requisitos mínimos 44 medidas de seguridad, para dar cumplimiento a las 56 medidas de seguridad recogidas en el ENS RD 211/2022 para la categoría Básica se han revisados 38 procedimientos de seguridad, realizado 16 actualizaciones y desarrollado 2 nuevos procedimientos: gestión de incidentes y protección de servicios en la nube e introducir cambios en el análisis de riesgos", destaca Serra.
"Con respecto a las medidas de seguridad, en el ENS de 2010 se recogen como requisitos mínimos 44 medidas de seguridad, para dar cumplimiento a las 56 medidas de seguridad recogidas en el ENS RD 211/2022 para la categoría Básica se han revisados 38 procedimientos de seguridad, realizado 16 actualizaciones y desarrollado 2 nuevos procedimientos: gestión de incidentes y protección de servicios en la nube e introducir cambios en el análisis de riesgos", Mariano Serra, responsable del área de Sistemas TIC de la FPCUV
Listado de entidades certificadas en el ENS del sector público. Fuente web CCN-CERT
Entre los objetivos del ENS, cabe destacar la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permite a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios; la introducción de los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información; y un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.
La certificación del ENS se categoriza en tres niveles -básico, medio o alto- definidos en función de las cinco dimensiones de la seguridad de la información: disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad. Así, un sistema de información será de categoría alta si alguna de sus dimensiones de seguridad alcanza el nivel alto, y del mismo en los otros niveles contemplados por esta certificación de seguridad de la información. En el caso de la FPCUV, la categoría es básica, por la tipología de activos de la organización, al considerar las cinco dimensiones.
"Próximamente se va a abordar un proyecto para automatizar los registros bajo una herramienta de administración de eventos e información de seguridad, de forma que podamos explotar mejor los datos ya disponibles, analizarlos y prevenir así de forma más eficiente las amenazas potenciales del sistema. Otra de las cuestiones a abordar será adaptar nuestros sistemas a la seguridad de la información en la nube"
Futuro de la certificación de Conformidad con el ENS en la FPCUV
Como puntos fuertes respecto a otros certificados de seguridad de la información como el ISO/IEC 27001, Serra señala que "en ese estándar el ciclo de certificación es de 3 años mientras que en el ENS el ciclo es de 2 años, sometido a un proceso de revisiones o seguimiento anual interno". Por otra parte, reseña que "la ISO considera las tres dimensiones clásicas de seguridad: disponibilidad, integridad y confidencialidad, mientras que el ENS considera cinco dimensiones, las tras anteriores junto con la trazabilidad y autenticidad".
La certificación obtenida por la FPCUV tiene una caducidad de dos años, lo que implica que la entidad deberá volver a someterse a un proceso de auditoría externa para mantener el certificado en 2026. "En la FPCUV se aplican algunas medidas de seguridad que consideramos necesarias pero que son obligatorias para la categoría de nivel alto, como por ejemplo el Plan de Continuidad que desplegamos en 2022. En este plan se establecen las acciones a ejecutar en caso de una interrupción de los servicios TIC prestados por la FPCUV, anualmente existe el compromiso de probar los escenarios de continuidad de negocio definidos por dicho plan y adaptarlos o mejorarlos según los resultados de las pruebas", explica el encargado del proyecto Programa Transforma ENS.
"Próximamente se va a abordar un proyecto para automatizar los registros bajo una herramienta de administración de eventos e información de seguridad, de forma que podamos explotar mejor los datos ya disponibles, analizarlos y prevenir así de forma más eficiente las amenazas potenciales del sistema. Otra de las cuestiones a abordar será adaptar nuestros sistemas a la seguridad de la información en la nube", concluye Serra.
Con el apoyo:
%20ok.png?width=477&height=89&name=Logo%20de%20la%20AVI_Sin%20fondo%20(1)%20ok.png)