La Fundació Parc Científic Universitat de València (FPCUV) obté, després d'una auditoria, la recertificació de Conformitat amb l'Esquema Nacional de Seguretat en nivell Bàsic, que aconseguix a tot el sistema d'informació que dona suport als servicis de l'ecosistema d'innovació de l'àrea empresarial del Parc Científic de la Universitat de València. L'FPCUV aconseguix així conservar un certificat que va aconseguir en 2022, i que haurà de tornar a renovar en 2026
Amb el compromís de continuar millorant l'eficiència i l'eficàcia de la seguretat de la informació i la protecció de les dades personals, la Fundació Parc Científic Universitat de València (FPCUV) ha obtingut la recertificació de Conformitat amb l'Esquema Nacional de Seguretat, la qual s'ha desenvolupat dins del projecte Transforma ENS i ha comptat amb el suport de l'Agència Valenciana de la Innovació (AVI).
Mariano Serra, encarregat del projecte Programa Transforma ENS i responsable de l'àrea de Sistemes TIC de l'FPCUV, destaca que obtindre la recertificació de Conformitat amb l'ENS RD 311/2022 per a la categoria Bàsica, "ve a corroborar que l'FPCUV té un sistema de gestió de la seguretat de la informació madur i eficient. Suposa generar confiança enfront de tercers i és fonamental perquè representa una garantia d'estar complint amb els mesures i requisits de seguretat de la informació exigits legalment".
En el seu procés de desenvolupament al llarg de 2023, l'FPCUV va disposar de l'acompanyament de Mobiliza Consulting, empresa de servicis avançats allotjada en el PCUV. D'esta manera, segons explica Serra, "Mobiliza va ajudar a adaptar l'anterior sistema de gestió de seguretat de la informació basat en l'ENS RD 3/2010 a les noves mesures de seguretat d'acord amb l'ENS RD 311/2022". Per a això, la companyia de servicis avançats, "va realitzar l'auditoria interna de validació i finalment ens va acompanyar durant tota l'auditoria de certificació", afig el responsable de l'àrea de Sistemes TIC de l'FPCUV.
Mariano Serra, encarregat del projecte Programa Transforma ENS i responsable de l'àrea de Sistemes TIC de l'FPCUV; i Jorge Edo, soci director de Mobiliza Consulting, durant la gravació d'una vídeo divulgatiu per al Programa Transforma ENS. Foto: FPCUV
Per a la recertificació, auditada per l'entitat de certificació acreditada per l'Entitat Nacional d'Acreditació (ENAC), Audertis, l'FPCUV "va adoptar un procés ordenat per a donar compliment al RD 311/2022 del 3 de maig, seguint les instruccions tècniques de seguretat publicades per la Secretaria d'Estat de Digitalització i Intel·ligència Artificial i les guies de seguretat publicades pel Centre Criptogràfic Nacional, en particular les guies sèrie 800", comenta Mariano Serra.
"Respecte a les mesures de seguretat, en l'ENS de 2010 es recullen com a requisits mínims 44 mesures de seguretat, per a donar compliment a les 56 mesures de seguretat recollides en l'ENS RD 211/2022 per a la categoria Bàsica s'han revisats 38 procediments de seguretat, realitzat 16 actualitzacions i desenvolupat 2 nous procediments: gestió d'incidents i protecció de servicis en el núvol i introduir canvis en l'anàlisi de riscos", destaca Serra.
"Respecte a les mesures de seguretat, en l'ENS de 2010 es recullen com a requisits mínims 44 mesures de seguretat, per a donar compliment a les 56 mesures de seguretat recollides en l'ENS RD 211/2022 per a la categoria Bàsica s'han revisats 38 procediments de seguretat, realitzat 16 actualitzacions i desenvolupat 2 nous procediments: gestió d'incidents i protecció de servicis en el núvol i introduir canvis en l'anàlisi de riscos", Mariano Serra, responsable de l'àrea de Sistemes TIC de l'FPCUV
Llistat d'entitats certificades en l'ENS del sector públic. Font web CCN-CERT
Entre els objectius de l'ENS, cal destacar la creació de les condicions necessàries de confiança en l'ús dels mitjans electrònics, a través de mesures per a garantir la seguretat, que permet als ciutadans i a les Administracions públiques, l'exercici de drets i el compliment de deures a través d'estos mitjans; la introducció dels elements comuns que han de guiar l'actuació de les Administracions públiques en matèria de seguretat de les tecnologies de la informació; i un llenguatge comú per a facilitar la interacció de les Administracions públiques, així com la comunicació dels requisits de seguretat de la informació a la indústria.
La certificació de l'ENS es categoritza en tres nivells -bàsic, mitjà o alt- definits en funció de les cinc dimensions de la seguretat de la informació: disponibilitat, integritat, confidencialitat, traçabilitat i autenticitat. Així, un sistema d'informació serà de categoria alta si alguna de les seues dimensions de seguretat aconseguix el nivell alt, i del mateix en els altres nivells contemplats per esta certificació de seguretat de la informació. En el cas de l'FPCUV, la categoria és bàsica, per la tipologia d'actius de l'organització, en considerar les cinc dimensions.
"Pròximament s'abordarà un projecte per a automatitzar els registres sota una eina d'administració d'esdeveniments i informació de seguretat, de manera que puguem explotar millor les dades ja disponibles, analitzar-les i previndre així de forma més eficient les amenaces potencials del sistema. Una altra de les qüestions a abordar serà adaptar els nostres sistemes a la seguretat de la informació en el núvol"
Futur de la certificació de Conformitat amb l'ENS en l'FPCUV
Com a punts forts respecte a altres certificats de seguretat de la informació com l'ISO/IEC 27001, Serra assenyala que "en eixe estàndard el cicle de certificació és de 3 anys mentre que en l'ENS el cicle és de 2 anys, sotmés a un procés de revisions o seguiment anual intern". D'altra banda, ressenya que "l'ISO considera les tres dimensions clàssiques de seguretat: disponibilitat, integritat i confidencialitat, mentre que l'ENS considera cinc dimensions, les després d'anteriors juntament amb la traçabilitat i autenticitat".
La certificació obtinguda per l'FPCUV té una caducitat de dos anys, la qual cosa implica que l'entitat haurà de tornar a sotmetre's a un procés d'auditoria externa per a mantindre el certificat en 2026. "En l'FPCUV s'apliquen algunes mesures de seguretat que considerem necessàries però que són obligatòries per a la categoria de nivell alt, com per exemple el Pla de Continuïtat que despleguem en 2022. En este pla s'establixen les accions a executar en cas d'una interrupció dels servicis TIC prestats per l'FPCUV, anualment existix el compromís de provar els escenaris de continuïtat de negoci definits per este pla i adaptar-los o millorar-los segons els resultats de les proves", explica l'encarregat del projecte Programa Transforma ENS.
"Pròximament s'abordarà un projecte per a automatitzar els registres sota una eina d'administració d'esdeveniments i informació de seguretat, de manera que puguem explotar millor les dades ja disponibles, analitzar-les i previndre així de forma més eficient les amenaces potencials del sistema. Una altra de les qüestions a abordar serà adaptar els nostres sistemes a la seguretat de la informació en el núvol", conclou Serra.
Amb el suport:
%20ok.png?width=477&height=89&name=Logo%20de%20la%20AVI_Sin%20fondo%20(1)%20ok.png)