Sala de prensa | PCUV

La Fundació Parc Científic Universitat de València obtiene el Certificado de Conformidad con el Esquema Nacional de Seguridad

Escrito por admin | 30/03/2022

La certificación tiene un nivel básico y alcanza a todo el sistema de información que da soporte a los servicios del ecosistema de innovación del área empresarial del Parc Científic de la Universitat de València. La FPCUV logra su inclusión en la lista del Centro Criptológico Nacional CCN-CERT como la primera fundación de la Universitat de València y una de las primeras a nivel nacional en obtener este reconocimiento

Con el compromiso de mejorar la eficiencia y la eficacia de la seguridad de la información y la protección de los datos personales, la Fundació Parc Científic Universitat de València (FPCUV) ha contado con el apoyo de la Conselleria de Innovación, Universidades, Ciencia y Sociedad Digital en el proyecto de adecuación e implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el Esquema Nacional de Seguridad (ENS), la norma legal española que establece el marco de referencia para que los sistemas de información digital de las administraciones públicas, las empresas y los profesionales que les prestan servicios, alcancen y mantengan la seguridad necesaria a partir de medidas que contribuyen a garantizarla en los sistemas, los datos, las comunicaciones y los servicios electrónicos.

En su proceso de desarrollo a lo largo de 2021, la FPCUV ha dispuesto del acompañamiento de Mobiliza Consulting, empresa de servicios avanzados alojada en el Parc Científic de la Universitat de València (PCUV). De esta forma, la Fundació se alinea con la categorización en su categoría Media, que ya dispone la Universitat de València y cuyos servicios también son ofrecidos en las instalaciones del Parc Cientific.

Tras la auditoría realizada por la entidad de certificación acreditada por la Entidad Nacional de Acreditación (ENAC), Audertis, la FPCUV ha obtenido un nivel de cumplimiento cercano del 96% de los controles detallados en el Anexo II del RD 3/2010 por el que se regula el ENS, solo recogiendo dos observaciones de todo el muestreo, y considerando como puntos fuertes que algunos controles de medidas de seguridad superan a las exigidas para un sistema de categoría Básica.

Listado de entidades certificadas en el ENS del sector público. Fuente web CCN-CERT

"Al aplicar buenas prácticas de seguridad de la información, la Fundació protege a la organización de forma directa ante posibles ciberataques, y además, el hecho de que la Universitat de València sea una de las pocas universidades de España certificadas en ENS en el nivel medio permite que ambas entidades estén totalmente alineadas en materia de seguridad de la información", Jorge Edo, socio director de Mobiliza Consulting

Entre los objetivos del ENS, cabe destacar la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios; la introducción de los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información; y un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.

Para la FPCUV, conseguir el certificado implica una doble vertiente, explica Jorge Edo, socio director de Mobiliza Consulting: "Al aplicar buenas prácticas de seguridad de la información, la Fundació protege a la organización de forma directa ante posibles ciberataques, y además, el hecho de que la Universitat de València sea una de las pocas universidades de España certificadas en ENS en el nivel medio permite que ambas entidades estén totalmente alineadas en materia de seguridad de la información. Además, el proceso no es fácil. Hay que pensar que las exigencias del ENS son las mismas para las organizaciones más grandes que para las pequeñas. El número de controles a aplicar depende de la categoría del sistema. En el caso de la FPCUV, la categoría es básica, y los controles que hay que cumplir son los mismos independientemente del tamaño de la entidad", recuerda el especialista. 

La certificación del ENS se categoriza en tres niveles -básico, medio o alto- definidos en función de las cinco dimensiones de la seguridad de la información: disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad. Así, un sistema de información será de categoría alta si alguna de sus dimensiones de seguridad alcanza el nivel alto, y del mismo en los otros niveles contemplados por esta certificación de seguridad de la información. En el caso de la FPCUV, la categoría es básica, por la tipología de activos de la organización, al considerar las cinco dimensiones.

En los próximos años, la estrategia de la FPCUV consiste en mantener la certificación y aplicar nuevos controles que fortalezcan la seguridad de la información de forma progresiva

Como punto fuerte del proceso de implementación, Edo señala el esfuerzo y la dedicación que se han llevado a cabo durante todo el proceso. "Esto ha permitido que el sistema de gestión del ENS, a pesar de estar en el primer año de vigencia, tenga una madurez muy elevada, como se aprecia al no haber tenido ninguna desviación durante la auditoría externa, algo poco habitual para las entidades que se certifican por primera vez en este estándar", subraya el socio director de Mobiliza Consulting.

La certificación obtenida por la FPCUV tiene una caducidad de dos años, lo que implica que la entidad deberá volver a someterse a un proceso de auditoria externa para mantener el certificado. "Con la consecución del certificado, se ha puesto la primera piedra de cara a disponer por parte de la FPCUV de un sistema de gestión de seguridad de la información maduro y eficiente. El modelo de gestión para el mantenimiento de esta certificación corresponde al de una mejora continua, de forma que podemos aplicar el planteamiento de que 'hoy somos más seguros que ayer, pero menos que mañana'. En los próximos años, la estrategia de la FPCUV consiste en mantener la certificación y aplicar nuevos controles que fortalezcan la seguridad de la información de forma progresiva. Así, y de cara al 2022, la intención es comenzar a avanzar en el plan de continuidad de negocio de la FPCUV, en el que se implementen planes de contingencia y de recuperación que posibiliten afrontar de forma exitosa desastres o contingencias que se puedan producir en el futuro", concluye Edo. 

 

Jornada sobre sistemas de gestión de seguridad de la información, ISO 27001 y ENS, celebrada en junio de 2021 en el PCUV.