La societat mercantil Infraestructures i Serveis de Telecomunicacions i Certificació (Istec), operadora pública de telecomunicacions i autoritat de certificació de la Generalitat, ha aconseguit el repte de renovar la seua certificació en la categoria alta de l'Esquema Nacional de Seguretat (ENS) que concedeix el Centre Criptológico Nacional (CNN-CERT).
D'esta manera, Istec es converteix a nivell estatal en la segona entitat autonòmica a actualitzar la seua certificació, sent una de les quatre úniques entitats del sector públic instrumental autonòmic que compta amb esta distinció en tota Espanya i la primera del sector públic valencià a obtindre aquesta categoria.
Després de l'auditoria independent i acreditada d'AENOR, l'operadora pública de telecomunicacions de la Generalitat ha superat amb èxit en aquest passat mes de gener el desafiament de renovar la seua certificació en l'ENS en la categoria alta.
El director general d'Istec, Juan Alegre, ha destacat que este assoliment "reflectix el compromís continu d'Istec amb la seguretat de la informació i la seua capacitat per a adaptar-se als canvis regulatoris i tecnològics, garantint així la protecció adequada de les dades en l'àmbit de l'Administració i oferint les condicions de seguretat més elevades per al servici d'emissió de certificats electrònics per a la ciutadania".
"Esta fita demostra el sòlid enfocament d'Istec en la gestió de la seguretat de la informació i la seua capacitat per a complir amb els més alts estàndards en este camp, la qual cosa reforça la confiança en els seus serveis i el seu compromís amb l'excel·lència en seguretat", ha indicat Juan Alegre.
Objectius de l'ENS
L'Esquema Nacional de Seguretat és un marc normatiu i tècnic que establix els principis i requisits necessaris per a garantir la seguretat de la informació en les administracions públiques i els seus proveïdors.
Està dissenyat pel Centre Criptológico Nacional (CCN) amb la finalitat de protegir la informació sensible i crítica que les administracions públiques intercanvien entre elles, a més d'amb empreses i ciutadania en general.
Té com a principal objectiu crear les condicions necessàries de seguretat en l'ús dels mitjans electrònics, a través de mesures per a garantir la seguretat dels sistemes, les dades, les comunicacions i els serveis electrònics que permeta l'exercici de drets i el compliment de deures a través d'aquests mitjans.
Des de la seua creació, l'ENS ha sigut objecte de revisions i actualitzacions per a adaptar-se als avanços tecnològics i normatius, así com a les noves amenaces en matèria de seguretat de la informació. Estes revisions han tingut en compte tant les directrius internacionals com les necessitats específiques del context espanyol. El seu exponent recent més important va ser en 2022 la publicació d'una nova versió completa de la norma plasmada en el Reial decret 311/2022, de 3 de maig, que va derogar al seu predecessor.
Este nou ENS presenta canvis significatius, amb mesures més estrictes en diversos aspectes clau. En primer lloc, s'amplia l'àmbit d'aplicació per a incloure els sistemes d'informació classificada i les entitats privades que presten serveis a les Administracions Públiques.
Nivells de seguretat
En l'actualitat existixen tres categories de seguretat: baix, mitjà o alt. Per punt, a major nivell, majors són els requeriments de seguretat i més difícil és l'obtenció de la certificació.
Istec, com a mercantil del sector públic instrumental de la Generalitat, atén a l'obligació d'adaptar els seus sistemes d'informació a l'ENS, doncs a causa de la seua especialització tecnològica, sempre ha tingut molt present la seguretat de la informació en els serveis que presta.
Per això, compta amb un Sistema de Gestió de Seguretat de la Informació (SGSI), certificat en l'estàndard ISO 27001 i, fruit de la millora contínua, l'entitat ha evolucionat de la certificació en l'ENS en categoria mitjana a la categoria alta actual.
En este sentit, Istec realitza un seguiment per a analitzar els possibles riscos i febleses per a tindre preparada una resposta àgil i efectiva als incidents que puguen sorgir i así certificar la continuïtat dels serveis, el compliment de les obligacions en matèria de seguretat i la protecció dels actius, amb la finalitat de respectar la legalitat vigent i els drets de les persones.