El Esquema Nacional de Seguridad (II)

En esta segunda entrada (véase la entrada anterior) sobre el Esquema Nacional de Seguridad comenzaremos revisando la finalidad del mismo, y terminaremos comentando a quién afecta, donde a buen seguro encontraremos alguna sorpresa.

Finalidad del Esquema Nacional de Seguridad

La finalidad del Esquema Nacional de Seguridad se revisó colateralmente en la entrada anterior cuando hablábamos de su origen. Repasemos.

La finalidad de securizar nuestros activos es obvia para muchos de nosotros, pero la realidad que prima es habitualmente (por supuesto no siempre) aquella en la que la funcionalidad es prioritaria frente a la seguridad. ¿Por qué? En muchos casos suele existir sensibilidad en el departamento TIC, pero en la mayoría de casos hay desconocimiento y/o falta de recursos, en el orden que prefieran, dependiendo del contexto en el que nos encontremos.

El objetivo del Esquema Nacional de Seguridad es obviamente securizar los activos que dan soporte a los servicios a los que obliga la propia Ley 11/2007 (artículo 1). Es decir, equiparar la importancia de la seguridad a la importancia de la funcionalidad. Esto hará sin duda, como así lo dice explícitamente el propio Esquema Nacional de Seguridad, que la confianza de los ciudadanos en estos servicios electrónicos sea cada vez mayor. Lograremos así reducir el número de visitas “a la ventanilla”, ahorrando tiempo y ganando eficiencia, como explicábamos en la entrada anterior. Resumiendo podemos decir que la finalidad del Esquema Nacional de Seguridad es securizar los activos que dan soporte a los servicios que las AAPP deben prestarnos a los ciudadanos. Por supuesto, los organismos que estén pensando que como yo no doy servicio directo al ciudadano me escapo… que se olviden de ese razonamiento y continúen leyendo.

¿A quién afecta el Esquema Nacional de Seguridad?

En su artículo 3 el Esquema Nacional de Seguridad alude directamente al artículo 2 de la propia Ley 11/2007, artículos que definen el ámbito de aplicación. Tenemos así que el Esquema Nacional de Seguridad aplica directamente a “Administraciones Públicas (AAPP) y a entidades de derecho público vinculadas o dependientes de las mismas”: las AAPP deberán incorporar todo lo que dice el Esquema Nacional de Seguridad porque así versa su ámbito de aplicación, pero hasta aquí lo obvio, porque si leemos detenidamente veremos que hay más actores que debieran preocuparse por el contenido del Esquema Nacional de Seguridad.

A lo largo del Esquema Nacional de Seguridad (directamente en los actuales artículos 15 y 18) se alude a la madurez en la gestión de la seguridad, así como a certificaciones de aquellas empresas que presten servicios o provean de productos de seguridad a las AAPP.

«15.3. Las Administraciones Públicas exigirán que las organizaciones que les presten servicios de seguridad cuenten con una gestión y nivel de madurez de la seguridad idóneos.»

En la práctica, mi opinión es que cualquier empresa del sector TIC proveedora —o potencial proveedora— de las AAPP debiera tener la vista puesta en disponer de un Sistema de Gestión de Seguridad de la Información (nuestro archiconocido SGSI), a poder ser certificado con la norma ISO27001. Esto será más cierto cuanta mayor sea la relación de los productos o servicios que prestemos —o queramos prestar— a las AAPP con la seguridad de la información; no obstante, cabe señalar que cualquier servicio o producto TIC tiene una vertiente de seguridad que nunca puede omitirse. Así, aun estando en general las empresas tecnológicas fuera del ámbito del Esquema Nacional de Seguridad, éste nos afecta de lleno. Digo más: creo que disponer de una certificación ISO 27001 terminará convirtiéndose en una obligación para las empresas de nuestro sector que quieran trabajar con la Administración Pública.

Existe además un tercer actor que se verá afectado por el Esquema Nacional de Seguridad que no se menciona explícitamente en el mismo. Me refiero a gestores de sistemas de información o información, que el Esquema Nacional de Seguridad clasifica como Información Administrativa (en futuras entradas entraremos a explicar estos conceptos, de momento digamos que se trata de información que utiliza la Administración Pública). El Esquema Nacional de Seguridad viene a imponer una serie de medidas de seguridad a los activos manejados por las AAPP. ¿Qué pasa cuando estos activos son gestionados por organizaciones que no entran en el ámbito de aplicación del Esquema Nacional de Seguridad? Huelga decir que esos activos deberán lógicamente disponer de la seguridad que estipula el Esquema Nacional de Seguridad, independientemente de quien los gestione. Hablamos de gestión documental, hosting de activos públicos, personal desplazado, etc.

Resumiendo, el Esquema Nacional de Seguridad afecta directamente a las AAPP y a los organismos vinculados a las mismas, e indirectamente a proveedores de las AAPP, principal pero no exclusivamente, del sector TIC.

Aunque el resto de sectores queda fuera, hay una cuestión clara: la ventaja diferencial que puede suponer para una empresa (a priori no afectada por el Esquema Nacional de Seguridad) el implantar y certificar un SGSI, enfatizando de este modo la seguridad con la que prestará sus servicios a las AAPP o competirá por hacerse con ellos.