4ENISE. Día 1: ENS

Mientras Toni asistía a los talleres relacionados con la protección de las ICs, yo me encargué en esta primera jornada de asistir a los relacionados con el Esquema Nacional de Seguridad, ENS.

Déjenme hacer antes de continuar una sugerencia a INTECO de cara a próximas ediciones. Si los talleres que han suscitado más interés durante las tres jornadas han sido claramente los relacionados con el ENS, el ENI y las ICs, ¿por qué ha juntado los tres temas el primer día? Si hubiese dedicado un día a cada tema, complementándolos con el resto de talleres que se han desarrollado, además de permitir que los interesados pudiesen asistir a los tres temas, se habría garantizado un nivel de asistencia homogéneo durante los tres días (cosa que no ha ocurrido). Tómese como una crítica constructiva.

Dicho esto, sobre lo que se trató en los talleres relacionados con el ENS me gustaría destacar algunas conclusiones que saqué:

1. Es un secreto a voces que ninguna administración pública va a estar cumpliendo el ENS a fecha 29 de Enero de 2011. El planteamiento general es: vamos a definir el plan de adecuación que exige la disposición transitoria de ENS, y a partir de ahí y hasta el horizonte de 2014 iremos poco a poco. A mi juicio este planteamiento se deriva de dos factores. Por un lado, de una actitud bastante generalizada de “yo me espero a ver por dónde van los demás” (salvo honrosas excepciones como la Junta de Andalucía o el MITYC), y por otro, de un problema evidente: no hay dinero.

2. La definición de un esquema de referencia basado en el ENS y la norma ISO27001 está muy extendida. Aunque algunos ponentes hicieron malabarismos para establecer equivalencias y correlaciones entre ambas figuras, y en relaciones porcentuales como que cumplir uno implica que cumples el otro en no sé qué tanto por cien y viceversa, en mi modesta opinión es importante no olvidar sus diferencias:

  • El ENS es de obligado cumplimiento; ISO 27001 no.
  • El ENS está orientado a las Administraciones Públicas (AAPP), ISO 27001 al negocio.
  • El ENS categoriza los sistemas de información, y por tanto las medidas de protección con las que deberán contar en función de la misma. ISO 27001 no.

En cualquier caso el ENS habla del “proceso de seguridad” y de la necesidad de implantar un sistema de gestión de la seguridad, y a nadie se le puede escapar que a partir de 2015 habrá que gestionar los niveles de seguridad ENS alcanzados, con independencia de que se le ponga la etiqueta ISO o no.

3. La referencia a seguir por todos van a ser las guías que el CCN está preparando para implantar el ENS: la serie CCN-STIC 800.

4. Se está evidenciando un dilema: las AAPP no son expertas en seguridad, para eso están las consultoras. Pero las consultoras no conocemos “el negocio público” en profundidad. Es fundamental la colaboración y una integración total de ambos equipos de trabajo para conocer cuál es el problema de partida y poder alcanzar unos resultados satisfactorios. El objetivo no debe ser cubrir el expediente y aparentar que se está cumpliendo el ENS, ni dejar que las consultoras hagan y deshagan a su antojo con el objetivo puesto en el negocio. No hay que perder de vista que el objetivo fundamental del ENS es generar confianza en el ciudadano. Si ya de por sí es difícil ganar esa confianza, mucho más difícil es volver a ganarla después de haberla perdido. Y ese es el peligro que acecha si no se hacen las cosas bien.

Unas preguntas que quedaron en el aire:

  • Parece claro que el CCN es la “figura de autoridad” en relación con el ENS. ¿Va a jugar un papel similar al que desempeña la AEPD en relación con la LOPD y su Reglamento?
  • El artículo 35 del ENS viene a decir que las AAPP van a tener que informar “en tiempo real” de su grado de cumplimiento del ENS al Comité Sectorial de Administración Electrónica. ¿Cómo se come eso?

Por último, una noticia: es de inminente publicación una nueva versión simplificada de PILAR, denominada μPILAR (microPILAR), dirigida a facilitar el análisis de riesgos en el ámbito del ENS. ¡¡Aleluya!!

Comments

  1. Algunas puntualizaciones en tu disertacion, desde mi experiencia como trabajador en estos temas
    Efectivamente, nadie quiere moverse sin ver que hace el vecino. Y efectivamente, en todas las puertas te dicen «vuelva usted cuando acabe la crisis»
    ENS vs ISO 27001
    – «El ENS está orientado a las Administraciones Públicas (AAPP), ISO 27001 al negocio.» cual es el «negocio» de las AAPP? ofrecernos servicios a los ciudadanos, garantizar nuestros derechos y hacernos cumplir nuestras obligaciones. en ese sentido, 27oo1 es perfectamente asumible con el ens.
    – «El ENS categoriza los sistemas de información, y por tanto las medidas de protección con las que deberán contar en función de la misma. ISO 27001 no.» PAra nada de acuerdo contigo. Iso27001 te dice: identifica los activos del sistema (servicios telematicos de la AAPP), los recursos de los que dependen; haz el analisis de riesgos; define el riesgo aceptable y los controles.
    La unica diferencia es que el ENS define medidas en función del nivel (alto-medio-bajo) que demos al sistema, en tanto que 27001 te dice que apliques controles en terminos de riesgo residual que estas dispuesto a admitir…. Y me parece muy bien, poruqe tal y como son algunos politicos, la administracion podria asumir un riesgo de perdida total sin despeinarse y luego irse a jugar unos hoyos.

    Por lo demas, le doy un 90% de similitud a ambas normas, con la peculiaridad «typical spanish» que ha metido el catedratijo JAM en la codificación y nombres de las medidas de seguridad.

    chao

  2. Wiki, creo que en realidad estamos totalmente de acuerdo. Intento explicarme mejor: para nada creo que el planteamiento deba ser ENS vs ISO 27001. De hecho,creo que deben ser compatibles y complementarias, y que se «necesitan» mutuamente cuando hablamos de AAPP. A partir de 2015 habrá que gestionar el ENS que hayas montado, y para eso habrá que fijarse en lo que marca la norma ISO, certifiques tu SGSI o no (para mí eso es lo de menos).
    De hecho yo creo que si implantas un SGSI según ISO 27001 estás garantizando al menos un 90% de cumplimiento del ENS.

    Claro que «el negocio» de las AAPP son los servicios que ofrece a la ciudadanía. De hecho, es eso lo que hay que proteger: los procesos de negocio que dan soporte a los servicios que ofrecen a los ciudadanos a través de plataforma electrónica, y garantizando que se ofrezcan de una manera segura y confiable.

    Lo que a mi juicio pasa es que, como tú dices, aquí no pueden primar intereses de negocio (en el mal sentido del término). Aquí no puedes valorar implantar un control o no en función de su relación coste/beneficio. Aquí hay que implantarlo sí o sí, si lo determina el nivel de seguridad asignado a un sistema de información, porque se está hablando de servicios al ciudadano.

    Y por eso decía en el post que el ENS categorizaba los sistemas y la norma ISO. Cuando implantas ISO 27001 y haces el análisis de riesgos, nadie te dice cuál es el nivel de riesgo residual máximo que puedes asumir a la hora de definir el Plan de Tratamiento de Riesgos. Queda a criterio de la organización el implantar los controles que el análisis de riesgos sugiere. Mientras que el ENS no te deja ese margen de maniobra; si hay que implantar un control hay que implantarlo, le guste al político de turno o no. Eso es lo que quería decir.

    Espero haberme explicado mejor. En cualquier caso muchas gracias por tus apreciaciones.

    Un saludo.

  3. En la administracion para la que trabajo alguno esta empezando a echar globos de tipo «ENS…bueno, pero solo para los servicios al ciudadano. El resto de sistemas no es necesario que los tengamos en cuenta, que gestionar esto cuesta mucho»… joooder… vamos a ver. Al personal le vas a poner el «procedimiento A» para los sistemas ENS y el «procedimiento B» mas relajado para los sistemas no-ENS? y al lado el listado de sistemas ENS y no ENS? y la seguridad de los datos personales internos de la casa (no-ENS) por otro lado?
    vale que la ley tiene su alcance, pero como tengamos unos sistemas de informacion y servicios bajo unas medidas de seguridad y el resto (la nomina!) bajo otros…nos vana a dar pero bien.

  4. Tengo una duda:

    «Por un lado, de una actitud bastante generalizada de “yo me espero a ver por dónde van los demás” (salvo honrosas excepciones como la Junta de Andalucía o el MITYC)»

    ¿Por qué dices lo de Junta de Andalucía como honrosa excepción? ¿por dónde van los tiros?

  5. @Wiki: De acuerdo contigo. ¿Al final dónde se ponen las fronteras? Se supone que el ENS es de aplicación a los sistemas de información que dan soporte a los servicios ofrecidos a través de plataforma electrónica. ¿Y los servicios horizontales que dan soporte general a la organización que presta los servicios afectados por el ENS? ¿Me quieren decir que la seguridad de esos procesos internos es irrelevante? Léete el artículo 30 del ENS y verás.

    @Curry: Oliver López Yela dio una ponencia muy interesante sobre el Plan Director de Seguridad que la Junta ha estado diseñando para los próximos tres años, y digo interesante porque hizo algunos planteamientos novedosos y eminentemente prácticos. Su objetivo es que el ENS no sea algo que hay que cumplir y punto, sino que desde la oficina técnica adscrita a la Consejería a la que pertenece apoyan y coordinan su implantación en el resto de organizaciones con el objetivo de que el ENS sea una herramienta más para mejorar los servicios de la Junta (todos, no sólo los que van por plataforma electrónica) y para generar confianza en el ciudadano.