Blog

Esquema Nacional de Seguridad es licenciado en informática por la universidad politécnica de Cataluña, es especialista universitario en protección de datos y privacidad por la facultad de derecho de la universidad de Murcia, tiene las certificaciones CISA CGEIT y es COBIT5 implementation y LEAD AUDITOR de ISO27000, desde el 2007 ha tenido una alta implicación en proyectos relacionados con la administración electrónica en los esquemas nacionales de seguridad e interoperabilidad, es coautor del capítulo Esquema Nacional de Seguridad libro manual para la gestión inteligente del ayuntamiento.

MasterGeit ¿Qué nos puedes decir de este nuevo esquema nacional de seguridad? En tu experiencia hay modelos de cumplimiento de ley en base al tipo de administración pública donde se aplica o no?

Renato Aquilino El tema con la administración pública, es que muchos de los servicios que ofrecen los ciudadanos están regulados por ley, sí que se puede establecer y de hecho hemos establecido modelos de cumplimiento municipal, modelos de cumplimiento supramunicipal, a nivel autonómico las consejerías, sabemos que los servicios tienen una regulación y, entonces estos modelos de cumplimiento, lo que permiten es hacer especialización de la aplicación del sistema nacional de seguridad que es genérico pero, sobre modelos concretos en función de la administración pública,  y eso realmente es un gran facilitador de cara a conseguir implementarlo y, sobre todo, orientarlo a un trabaja reutilizable a diferentes organismos del mismo tipo de administración, por ejemplo,  ayuntamientos o diputaciones

MasterGeit: ¿Y qué dificultades, sin contar la presupuestaria, has encontrado en los proyectos del esquema nacional de seguridad y cómo crees que pueden plantearse con las modificaciones ahora publicadas?

RA: Una de las dificultades las ha comentado Juan Miguel y es, en primer lugar,  esa creencia de que al ser un modelo formativo muy técnico era cosa de los informáticos, esto Juan Miguel lo ha estado sufriendo también, muy probablemente, en su propio caso.

Se trata, sobre todo, de comprensión de algo que viene en los primero artículos de Ley y es que, justamente, es un proyecto corporativo, es un proyecto que exige la participación de todos los entes de la corporación para que el proyecto sea un éxito, desde el punto de vista de Cobit,  seria que esa implicación de la dirección, que teníamos en ese caso,  son de administración publica,  tienen que traducirse en una serie de metas de diferentes entes en la organización y, esa comprensión,  de que no es un tema técnico,  es una de las mayores dificultades y, la modificación de LNS,  vuelve de nuevo a incidir en este tipo de cuestiones.

No olvidemos que dentro de los roles de NS,  el responsable de servicio, los responsables de información, no tienen o, no deberían tener,  un perfil informático sino directamente responsabilidades funcionales, realmente la parte de informática empieza como los responsables de ese sistema y en alguno casos en el árbitro que es un responsable de seguridad, pero realmente las dificultades mayores, aparte de las presupuestarias, que esas ya las damos por asumidas, es justamente los aspectos organizativos y la implicación y responsabilizacion de todos los actores organizativos dentro de los que sería la aplicación del esquema.

Luego también hay otro problema,  y es que esos interlocutores no técnicos, en algunas ocasiones,  no tienen una conciencia clara y, eso es un tema,  que sí es labor nuestra explicarla bien, la importancia que tiene cumplir el esquema nacional de seguridad, el cumplimiento o no del esquema no es opcional, estamos hablando de un Real Decreto que, como bien ha dicho Juan Miguel, está regulando el entorno de las acciones electrónicas y, no olvidemos, que el que acaba de publicarse también, la ley 39/ 2015 del procedimiento administrativo común, la L40/2015 del régimen jurídico de Administraciones Públicas, ambas sin una estructura de seguridad, acreditada o acreditable, que realmente dé un soporte a todo el proceso, el procedimiento electrónico que consagra la nueva ley, tiene muy difícil llevar a la práctica, ahora mismo no solamente el nuevo esquema nacional de seguridad,  sino especialmente,  la nueva ley de procedimiento administrativo común supone, de verdad,  un impulso muy importante para que una vez por todas se tome conciencia de que, sin seguridad, no hay procedimiento electrónico y, al fin y al cabo,  se consagra la nueva ley de conocimiento administrativo común,  la palabra electrónico en todo aquello que tiene que ver con las relaciones con la administración.

MasterGeit: ¿No crees, por ejemplo,  que estamos precisamente entre lo que es la piedra fundamental en el esquema nacional de seguridad y  teniendo en cuenta la cantidad de Administraciones que hay en España, es muy probable que un inmenso porcentaje de ellas no puedan estar cumpliendo y, por tanto,  tengan problemas para cumplir la ley 39 y ley 40 en los plazos marcados.

Precisamente los problemas presupuestarios son los únicos problemas, porque los problemas organizativos, en muchos casos,  o por lo menos en las administraciones de tamaño mediano,  son presupuestarios porque si hace falta personal y no se le puede contratar por razones presupuestarias no puedes asumir los mismos roles. ¿Cómo crees que las entidades, como la Diputaciones,  pueden ayudar a que ayuntamientos o entes de otro cariz puedan mejorar el cumplimiento del esquema de seguridad y, por tanto, puedan luego dar confianza a los ciudadanos en sus trámites electrónicos?

RA: Estoy tan de acuerdo contigo que, precisamente, en los temas presupuestarios,  que son el gran inhibidor,con lo que había preguntado Javier los habíamos dejado en que esos son los graves problemas que realmente tenemos, dejando aparte estos, estábamos también exponiendo otros que también son importantes que es la responsabilizacion corporativa, pero tienes toda la razón,  realmente el gravísimo problema es un problema presupuestario.

Oscar Bou Vamos a dar paso ahora a Oscar Bou, es socio de GOVERTIS, responsable del producto de GESCONSULTOR plataforma pionera en implementar el esquema nacional de seguridad recientemente adquirida por Telefónica y comercializada ahora como SandaS GRC

¿Cómo ves las novedades incorporadas en la ultima reforma de este esquema nacional de seguridad?

Oscar Bou: Veo que son reformas que están totalmente orientadas a continuar en la buena dirección, estamos hablando directamente del camino y de aquello que es necesario para, al final, automatizar los servicios, dentro de todo esto se ve clarísimamente la intención, también,  hacia aspectos de gobierno que habéis estado comentando anteriormente, pero también, hacia otro aspecto que es de especial interés para los que estamos aquí,  que sería el tema de las certificaciones.

Directamente se hace mención expresa a certificaciones a nivel de procesos, certificaciones a nivel de personas y, certificaciones a nivel de producto, y todo ello de forma expresa en distintos artículos recogidos, tanto en la modificación, tanto en el texto original del esquema nacional, por tanto, creo que vamos en el camino correcto.

Por ejemplo, si va a adquirir un producto, la administración pública,  va a requerir,  por ejemplo, que el producto, las funciones de seguridad, tengan que estar certificadas,es un requisito que teníamos en la versión anterior, pero ahora se recuerda en esta nueva edición, lo mismo a nivel de personas cuando habla, por ejemplo,  de que se va a requerir que las personas que van a trabajar para empresas que, prestan servicios en Administraciones Publicas,  tengan las certificaciones de seguridad adecuadas, por tanto,  va a dar pie a la dinamización de el sector de  la formación especializada en materia de seguridad,  con certificaciones como pueden ser la ISO 27001 auditor e, incluso,  la de ciberseguridad ISACA de la que tan buen conocedor eres dentro de todo esto, en definitiva,  yo creo que cierra muy bien el circulo en cuanto a requerir conocimientos avanzados en materia de seguridad que va a ser un componente básico para llevar todo a buen puerto.

MasterGeit: ¿Qué aspectos de mejora crees que puede tener la norma?

OB: Como todas las normas al final pueden haber determinados puntos de carencia en función del contexto donde esté, básicamente yo identificaría 2 temas.

Primero estamos hablando de que las administraciones Publicas están incorporando un uso de las nuevas tecnologías en ámbitos que no estaban inicialmente previstos en el esquema nacional de seguridad, por ejemplo, conceptos como serian temas de Smart Cities, o ciudades sostenibles,  incorporan requisitos, a nivel de utilización,  de las nuevas tecnologías.  En cuanto al internet de las cosas, en el tema de utilización y tratamiento masivo de los datos, tecnologías de BIG DATA o,  incluso, lo que sería las redes de tipo industrial, por ejemplo,  dispositivos de señalización y toda una salida de elementos adicionales, con redes tipo ESCALA,  para este tipo de tecnologías, generalmente,  se requieren controles o medidas de seguridad en términos del esquema nacional de seguridad especifico que hagan frente  a ese tipo de amenazas muy característico.

Probablemente el esquema nacional de seguridad todavía no recoja las necesidades específicas de este tipo de ambientes,  y creo que van a sucederse distintas elecciones, igual que ha sucedido en EEUU,  donde en el marco de control ya está en su cuarta edición, se va actualizando progresivamente.

Otro seria la tendencia que continua hacia la Outsource en materia de explotación de tecnologías de la información en el contexto de la administración pública, el OUTSOURCING es una realidad presente,  y es una realidad que probablemente se vaya incrementando, pero la función de control siempre va a ser de responsables como Juan Miguel Signes o, al final, como distintas figuras que van a seguir ejerciendo siempre la función de control del uso de estas tecnologías de la información se establecen distintas indicaciones, distintas medidas de seguridad orientadas a ello pero, probablemente, se van a reforzar todavía más los controles y creo que sería de especial relevancia para cada ciudadano.

MasterGeit: Tenemos con nosotros ahora a Teresa Martinez, es ingeniera en informática por la universidad politécnica de Valencia, actualmente ocupa el puesto de jefa de área de organización y modernización TI en el Ayuntamiento de Paterna, es miembro de la Junta Directiva de la Asociación de Técnicos Informáticos de la Administración Local (ATIAL), es coordinadora del grupo de trabajo de Administración Electrónica de dicha Asociación.

¿Qué opinión te merece el nuevo esquema de Seguridad Nacional?

atial logo Para nosotros, el nuevo esquema nacional, yo creo,  que como estaba ha introducido Oscar, supone la continuidad de implantación de todas las medidas que ya se habían abordado en el  primer esquema nacional y a una continuidad de este esquema, sin embargo,  y para nosotros,  supone una ayuda el tener este marco regulatorio que establece las medidas de cara a los ayuntamientos que son administraciones pequeñas,  es una ayuda que nos viene muy bien porque no tenemos personal suficiente como para dedicarse al 100% a materia de seguridad,  y también al tenerlo que cumplir nos hace también, de cara a la directiva, a los altos cargos de las corporaciones, que tengamos la obligatoriedad de cumplirlo,  porque hay una falta de concienciación en cuanto a materia de seguridad de los altos cargos cuando les hablas de seguridad.

Primero,  cuando les hablas de informática en un Ayuntamiento te dicen que no entienden nada,  y ya cuando les hablas de seguridad,  se pierden un poco, no entienden este proyecto como un proyecto corporativo  sino que, como seguridad,  es un tema de informática,  lo mandan al departamento TIC y lo que pasa es que en los departamentos TIC los Ayuntamientos tenemos recursos limitados, entonces el nuevo esquema facilita porque va ahondando más, pero sin embargo, para nosotros,  el tener que cumplir las nuevas instrucciones técnicas supone una carga de trabajo, esta carga de trabajo  se nos va a solapar ahora con la ley 39 y con la ley 4,  imagínate lo que supone ahora para los departamentos TIC, lo vemos como un obstáculo que tenemos que vencer y la mayoría de los Ayuntamientos, por lo que yo conozco, ni siquiera han terminado de implantar el primer esquema, ahora abordar este segundo es como volver a rebobinar y empezar de cero o no sé cómo se lo van a montar, nosotros, afortunadamente, el primero sí que lo abordamos y entonces estaríamos ahora en la fase de revisión y tenemos quedar otra vuelta para ver si estamos o no cumpliendo alguna cosa que estamos introduciendo,  y habría que aplicar las medidas, hacer una auditoria y empezar otra vez, pues bueno,  nos puede servir en esta auditoria como tomarlo de nuevo, introducir esto y empezar a aplicarlo.

MasterGeit: ¿Crees que entre las imágenes de esquema nacional de seguridad, la ley 39 ,40 es una especie de tormenta perfecta para los departamentos TIC sobre todo de administraciones pequeñas? Lo digo porque que has comentado que, evidentemente,  hay muchos Ayuntamientos y, alguna otra Administración,  que no han aplicado concretamente, algunos no han empezado y ya tienen el nuevo

¿Realmente crees que se puede hacer algo para que todos pudiéramos ayudarnos, unos a otros, a cumplir el esquema nacional de seguridad? Tu que opinas.

TM: Creo que las diputaciones podrían tener un papel importante  porque podrían aunar esfuerzos, a lo mejor,  a la hora de declarar una política de seguridad, imagínate,  en vez de que cada Ayuntamiento se trabaje la suya y la elabore pues establecen la política de seguridad TIC pensando en los Ayuntamientos, no pensando en la propia Diputación, que aunque es una Administración Local,  no tiene la misma estructura y competencias que un Ayuntamiento, sino elaborar una política  tipo,  el responsable de seguridad del Ayuntamiento tendría que revisarla adaptarla y estamos reduciendo un poco la tarea de este, aparte de sentirse respaldado por estos profesionales desde el sector,  porque en el Ayuntamiento no tenemos 4 personas dedicadas a Seguridad como puede tener una organización un poco más grande,  yo creo que seria importante que planteara ayudar a los Ayuntamientos en la aplicación de los esquemas de seguridad , ahora es un buen momento ya que se abre otra vez el plazo, tenemos unos 24 meses por delante y seria el momento para decir, vamos a hacer algo y vamos …

Miguel Angel Amutio Tenemos ahora a Don Miguel Angel Amutio, es subdirector adjunto en la secretaria general de coordinación general de unidades TI en la dirección de tecnologías de la Información y las comunicaciones del ministerio de Hacienda y Administraciones Publicas y colaborador de la elaboración de desarrollo del esquema nacional de seguridad Real Decreto 3/2010 y del esquema nacional de interoperabilidad del real decreto 4 2010 así como el desarrollo de las normas técnicas de interoperabilidad previstas en el ENS junto con su aporte complementario.

¿Qué es el ENS y a quien afecta? ¿Cuáles son sus objetivos?

Miguel Angel Amutio: El Esquema nacional de Seguridad (ENS) es un instrumento para promover la protección de la información y de los servicios que prestan las administraciones públicas, en los últimos tiempos, todas las administraciones hemos hecho un esfuerzo muy grande por desplegar servicios por el medio electrónico y estamos ya vislumbrando la transformación digital y, en su momento el legislador, y una serie de personas, tuvieron el acierto de pensar que todo ese esfuerzo debería ir acompañado de la adecuada protección de la información y de los servicios, ese es el esquema nacional de seguridad, es un instrumento para esa protección

¿A quién afecta? Es de aplicación a todas las administraciones públicas, al sector público en sus relaciones entre ellas y, también, en lo que afecta a los servicios que prestan a los ciudadanos y a las empresas, esas son las grandes claves antes de avanzar si queréis cuales son los objetivos más concretos.

Hemos perseguido fundamentalmente 2 máximos cuestiones, en primer lugar, disponer de un instrumento que promueva o que impulse la gestión continuada de la seguridad y esa expresión que, en algún momento puede resultar llamativa, constituye un mensaje a todas las administraciones, en el sentido, de que esa protección no puede quedar al albur de impulsos del momento o de iniciativas puntuales sino que tiene que ser constante, tiene que ser continuado y, la segunda gran cuestión,   es promover un tratamiento homogéneo de la seguridad, que facilite la cooperación entre las administraciones que es un elemento clave, si hay barreras o quiebras o incomprensión en materias de seguridad pues se rompe también la colaboración y, ese tratamiento homogéneo,  constituye un referente de buenas prácticas y, además, esto es muy interesante, configura un escenario uniforme de cara a la provisión de servicios por parte de la industria, la administración , todas las administraciones están trasladando los mismos requisitos en términos de principios de requisitos, de medidas de seguridad, etc., todas manejan el mismo lenguaje y esos son los 2 grandes objetivos que hemos perseguido.

MasterGeit: ¿Qué novedades aporta esta revisión?

MA: El esfuerzo de la revisión, que se ha extendido a lo largo de los últimos 3 años,  y que viene de lo que hemos estado aprendiendo en la puesta en práctica, de lo que nos han dicho unos y otros, de la evolución de la tecnología y, además, de cómo viene evolucionando el contexto regulatorio Europeo, introduce una colección de novedades, voy a anunciar algunas, sin ánimo de exhaustividad,  porque serian bastantes puntos, las que pueden ser más relevantes.

En primer lugar, se recalca o se vuelve a enfatizar,  el hecho de que la política de seguridad, con la que tiene que contar una organización pública,  debe articular la gestión continuada de la seguridad, se introduce una referencia también a los profesionales cualificados, estos profesionales cualificados estarían en las organizaciones que prestan servicios de seguridad a las administraciones, se refuerza la gestión de incidentes, es decir, que las organizaciones, en el nuevo contexto de ciberamenazas y ciberincidentes, cuenten con unos procedimientos de gestión de incidentes que permitan analizarlos, clasificarlos, investigarlos, se introduce también una opción, que estaba en un anexo,  pero que es importante,  que es un documento de declaración de aplicabilidad que debiera recoger y documentar las medidas de seguridad que son de aplicación en el ámbito, con las inclusiones y las exclusiones justificadas, se introducen las medidas compensatorias, hay momentos en los que puede haber medidas diferentes a las contempladas en el esquema, digamos que se justifica documentalmente que protegen igual o mejor la información o los servicios, se introduce la figura de las instrucciones técnicas de seguridad, esto es muy interesante porque una cuestión que hemos visto es la necesidad de armonizar el modo común de actuar en ciertas cuestiones, si se producen incidentes de seguridad y los vamos a notificar, esa notificación tendrá que hacerse conforme a unas pautas comunes, lo mismo puede decirse en relación con la auditoria de la seguridad o la declaración de conformidad con el esquema, se mejoran también los mecanismos para obtener conocimiento regular del estado de seguridad de las administraciones públicas, esto interesa a todos en conjunto y a cada uno, a cada uno le interesa saber cómo está, interesa también ver como esta en relación con otros, si está más allá, más acá y también nos interesa a todos poder ofrecer al gobierno de la sociedad una fotografía de cuál es el estado de la seguridad de la administración, se introduce la notificación de incidentes de seguridad que es una figura que tiene un protagonismo creciente también en proyectos normativos en la unión europea, se trataría de notificar al centro criptologico nacional al que ese incidente lo podamos calificar de una cierta sensibilidad o cripticidad, se precisa también elementos necesarios en la investigación de incidentes, se mejora la eficacia de unas cuantas medidas, a nosotros nos gusta digamos destacar que sean modificadas ciertas medidas a raíz del reglamento europeo de identidad electrónica y servicios de confianza y se han introducido diversas mejoras en el anexo de auditorías en relación con la adquisición de productos de seguridad y otras medidas editoriales.

MasterGeit: ¿Por qué hacen un esquema de seguridad cuando ya se tienen las normas ISO 27000?

MA: No, porque son instrumentos complementarios y diferentes, el esquema lo que hace es establecer la protección, la obligación de proteger la información y los servicios que maneja la administración, mientras que la norma 27001 lo que hace es proporcionar requisitos para la construcción de un sistema de gestión de seguridad de la información. Si el ENS le dice a usted que tiene que encargarse de la protección continuada de la seguridad cuando esa entidad o el responsable se pregunte como desplegar en la práctica esa protección continuada, para eso tengo una caja de herramientas que me ofrece la normalización y en concreto la 27001 me ofrece esa especificación, además dado que esa especificación de cómo construir un sistema de gestión lleva un anexo de medidas lo que hemos hecho es explicar a través de documentación de soporte , en una guía que se llama 825 como quien vaya por la via de la 27001 de ese anexo de medidas, como tiene que hacer para examinar esas medidas y ver hasta qué punto están cumpliendo con lo previsto en el esquema y en qué aspectos debe reforzar o a que cuestiones debe prestar especial atención, hay dimensiones que son de especial interés en el que hacer de la administración como la autenticidad y la trazabilidad. Luego también hay digamos medidas que son de especial interés o que van reforzadas en el ámbito de la administración como todas las que tienen que ver con identificación autenticación, control de acceso, los temas de firma electrónica, de sello de tiempo, etc. que de alguna manera tienen un refuerzo en el esquema en relación con las medidas que están planteadas en ese anexo de la 27001 y que luego explican con algo más de detalle en la 27002, esa seria esencialmente la relación entre estos instrumentos que se pueden aplicar de forma complementaria entendemos, de hecho el día 30 se presentó un libro de AENOR en relación con la 27001 digamos y su relación y su utilización también para el cumplimiento del esquema nacional de seguridad.

MasterGeit: ¿Cuándo se tendera al principio de proporcionalidad respecto al tamaño de la administración en la propuesta de medidas mínimas o se forzara una asignación de recursos que haga viable la puesta en marcha del esquema nacional de seguridad?

MA: El tema de la proporcionalidad ha estado presente en todo momento de ahí el esfuerzo que hicimos en introducir la categorización para modular el esfuerzo en la relación entre la información y los servicios que hay que proteger y lo que hay que hacer en términos de medidas de seguridad y por eso hay una tabla de colores verde, amarillo y rojo que en determinados momentos cuando uno se encuentra en el nivel básico realmente las medidas incluidas en ese ámbito corresponden con códigos de buenas prácticas, sentido común y aspectos muy básicos, algunas de las medidas que hemos introducido han resultado de aspectos obvios que se han detectado durante la puesta en marcha de la práctica, en cuanto al esfuerzo es verdad que hay bastantes medidas que ya se venían aplicando en las administraciones, los sistemas es raro encontrárselos desprotegidos completamente se trata de ordenar , de racionalizar y de alguna manera contemplar en lo que se vaya hacer en los nuevos tiempos adecuadamente la seguridad puede requerir un esfuerzo pero es el camino que vislumbramos.

RA: Con respecto a lo que se ha enviado durante estos meses hay una que está reflejada en el artículo 15 que con respecto a las cualificaciones de los profesionales y es que la sugerencia era decir, está en el artículo 15 y dice que realmente las organizaciones que les presten servicios cuente con profesionales cualificados de gestión, esas cualificaciones y los niveles de gestión era uno de los temas que pedíamos concreción, ¿qué previsiones tenéis al respecto?

MA: Efectivamente en primer lugar la referencia a los profesionales cualificados era una laguna que se puso de manifiesto y en segundo lugar es un tema que está contemplado en la estrategia de ciber seguridad nacional y en las actuaciones que se derivan de la misma en el plan nacional de seguridad, hay unos trabajos en curso que se llaman los planes derivados y dentro de esos planes derivados se contempla abordar este tema de los profesionales, las cualificaciones y todo lo que ello implica, se apunta al esquema nacional de seguridad pero vendrá a lo largo del tiempo de la mano del esfuerzo que estaba citando que es del desarrollo de la estrategia de ciber seguridad nacional, no es un tema simple, es un tema sencillo, es un sistema complejo, saben que hay unos trabajos previos que se han ido haciendo que en algún momento pues se han presentado o estudiando cómo se enfoca esta cuestión en otros países particularmente en el Reino Unido y en USA y habrá que ver como lo llevemos a la práctica, pero ese es un terreno por andar en este momento, está en la hoja de ruta por decirlo de alguna manera y habrá que concretarlos .

MasterGeit: Me comentan que se está percibiendo de forma más clara una mayor inquietud por parte de la dirección en incorporar cada vez las nuevas tecnologías a ámbitos que la administración publica en concreto hasta ahora apenas tratados como las ciudades inteligentes ¿Cómo consideras que estos nuevos ámbitos de TI afectarán la vigencia de este esquema?

MA: El hecho es que estamos en la dinámica de la transformación digital y el 2 de octubre el consejo de ministros aprobó el plan de transformación digital de la administración general del estado y sus organismos públicos, tiene un objetivo que es el de garantizar la seguridad y una línea de acción, está formulada en términos de garantizar la seguridad y la usabilidad y tiene una línea de acción relativa a la seguridad, en el tema de la vigencia esperamos que tenga una vigencia digamos continuada en el tiempo porque hemos cuidado que tuviera un cierto nivel de abstracción todo lo planteado, los principios, los requisitos, el hecho de que hay una política de seguridad, las llamadas a los responsables, los planteamientos de conformidad incluso las medidas están planteadas con un cierto nivel de abstracción de forma que luego las administraciones pueden concretar el que y el cómo o incluso las soluciones y también contemplamos que el esquema sea finalmente de aplicación a todos los sistemas de información que manejan las administraciones públicas, mas allá de aquellos iniciales inicialmente previstos en la ley 11/ 2007 que tenían que ver con la administración electrónica, contemplamos que tenga vigencia, es posible que a lo largo del tiempo vuelva a ser necesaria algún ajuste en función de que los avances en los servicios en el escenario tecnológico y en los requisitos de la administración vayan evolucionando.

MasterGeit: ¿Cómo seguirá influyendo el esquema nacional de seguridad en el real decreto de la ley de protección de datos?

MA: En ese tema hemos sido muy pulcros porque hemos entendido siempre que la ley orgánica de protección de datos y sus desarrollos mandan y de hecho el esquema nacional de seguridad está formulado en cuanto al cumplimiento de los requisitos en la idea de que hay que aplicar lo previsto en la ley orgánica de protección de datos y luego ya pues todo lo demás para la protección de la información y de los servicios que maneja la administración, hay un tema a pensar y es como de alguna manera ayudar a que el esfuerzo de tengan que hacer las entidades no se duplique, en una guía que hemos hecho en la auditoria del esquema, hemos incluido un anexo para dar unas pautas cuando alguien tiene que abordar auditorias de protección de datos y relativas al esquema, veremos a lo largo del tiempo si hay alguna forma razonablemente sencilla que ayude a proteger los datos de carácter personal o como están planteados en otro escenario y además proteger la información en los servicios y ese ha sido el enfoque después de mucho examen y de mucho análisis hemos tenido en cuenta que la protección de datos tiene ese estatus reconocido en la constitución y en la legislación.

Deja tu comentario

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>