El discutible artículo 30 del ENS ¿hasta dónde adecuar?

En teoría este post llega 5 años tarde: hace ya 5 años que se publicó el Esquema Nacional de Seguridad (a partir de ahora ENS) y por lo tanto han pasado 5 años desde que cada organización debía empezar su adecuación estableciendo el alcance sus sistemas afectados por el ENS.

La realidad es que, como ya trataremos en el próximo post, existen muchísimas administraciones públicas que aún no han abordado un plan de adecuación, o que incluso siguen desarrollando o contratando servicios que no cumplen con las medidas del ENS. Por ello vamos a arrojar algo de luz sobre la definición del alcance que tantas dudas causa.

El ENS establece en su artículo 3 su ámbito de aplicación:

El ámbito de aplicación del presente real decreto será el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio.

Recordemos que el ENS existe para proteger la seguridad de la información afectada por la Ley 11/2007 (de acceso electrónico de los ciudadanos a los servicios públicos), por lo que tiene todo el sentido del mundo que su alcance sea el mismo que el de la “Ley 11”.

Esta ley habla de facilitar el ejercicio online de derechos y obligaciones por parte del ciudadano, facilitar el acceso al trámite electrónico, y simplificar los procedimientos administrativos, por lo que la práctica ampliamente aceptada consiste en adecuar al ENS la sede electrónica y en el mejor de los casos su back-end.

Si nos ceñimos a este alcance, se debería adecuar la plataforma tecnológica destinada a tratar información relacionada con los procesos administrativos: multas, documentos por registro de entrada, peticiones de subvenciones, becas, declaración de la renta, pago de impuestos, transacciones, etc.

Evidentemente, además de la web a la que se conectará el ciudadano, el alcance incluye todos los activos que hacen que la sede electrónica funcione, como pueden ser el software de las bases de datos, los servidores físicos, los CPD e incluso el personal que mantiene la plataforma.

Además, se deberían incluir aquellos servicios que, aunque no intervengan directamente en el tratamiento de los datos, den soporte a la sede. Este suele ser el caso del correo electrónico, los equipos de los usuarios que tratan la información, o los departamentos que gestionan la seguridad. Una buena forma de identificar si un servicio debe ser incluido es preguntarse si de su disponibilidad o seguridad depende el buen funcionamiento de la sede electrónica.

Hasta aquí puede resultar relativamente sencillo delimitar el alcance. Este enfoque nos permitirá dejar fuera de la adecuación aquellos sistemas que no tengan nada que ver con el alcance del ENS: webs de información general al ciudadano, campañas y eventos lúdicos, software para que los empleados fichen, servicios de turismo, gestión de bibliotecas, etc.

¿Esto se puede hacer, o es un vacío legal para ahorrar tiempo y recursos? Aquí llegamos al artículo 30 que le da título a este post:

Artículo 30. Sistemas de información no afectados.

Las Administraciones públicas podrán determinar aquellos sistemas de información a los 
que no les sea de aplicación lo dispuesto en el presente real decreto por tratarse 
de sistemas no relacionados con el ejercicio de derechos ni con el cumplimiento de deberes 
por medios electrónicos ni con el acceso por medios electrónicos de los ciudadanos a la 
información y al procedimiento administrativo, de acuerdo con lo previsto en la Ley 
11/2007, de 22 de junio

Queda claro que se trata de un enfoque válido, legal, y que lo que persigue el ENS es proteger los trámites electrónicos. Entonces, ¿tiene sentido dejar sistemas fuera? Pues depende…

A pesar de que no estamos obligados a adecuar toda la organización (ya sea un ayuntamiento, oficina del paro o administración de una comunidad autónoma), debemos considerar que la implantación del ENS no deja de ser una forma de mejorar la gestión y seguridad de nuestra organización por lo que un proyecto de estas características es un momento idóneo para “poner orden en casa”.

¿Tiene sentido hacer un procedimiento de altas y bajas de usuario y limitarlo solo a las aplicaciones relacionadas con el trámite electrónico? ¿Y la política de copias de seguridad? ¿Monitorizaremos solo los ataques a la sede electrónica siendo que todo viene por la misma línea?

La decisión dependerá de los recursos disponibles, de lo homogéneos que sean los sistemas y de las necesidades de seguridad de la organización, pero parece obvio que si no se dispone de un sistema de gestión de la seguridad, lo más recomendable es adecuar cuanto más mejor.

Tal como ocurre con los sistemas de gestión, aquellas organizaciones grandes o con pocos recursos, pueden definir un alcance pequeño y realista el cual pueden extender a medida que se van cerrando tareas de la adecuación de la sede electrónica.

Somos conscientes de que los recursos son limitados, pero esperamos animar a las organizaciones a ir un paso más allá de lo obligatorio y aprovechar estos proyectos para ampliar la seguridad a las partes de la organización que lo requieran, independientemente de si están obligados o no.

Comments

  1. Muchas gracias por artículo, aunque creo que algunos ejemplos que planteas como fuera de alcance del ENS no son correctos:
    “… webs de información general al ciudadano, campañas y eventos lúdicos (dependerá), … , servicios de turismo, gestión de bibliotecas, …”.
    El ENS también es de aplicación sistemas de información accesibles electrónicamente por los ciudadanos, para el ejercicio de derechos y cumplimiento de deberes.

  2. Gracias por comentar Miguel.

    Ahí justo está el problema, en las interpretaciones que se le pueden dar a la frase: “el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo”.

    ¿Es solo la información referente al procedimiento administrativo, o cualquier información publicada por las administraciones? De la lectura de la Ley 11, interpreto que se refiere solo al procedimiento administrativo, aunque hubiera estado más acertado que el alcance fuese más ambicioso.

  3. El Tio Tonet says

    Buenos dias, el articulo me ha encantado, y quiero hacerte dos consideraciones:

    1)No es oficina del paro, ya no existe, en todo caso sería oficina de empleo o del servicio público estatal de empleo.

    2)Aunque no lo parezcan. tanto el ENS, como las ISO relacionadas con la seguridad, son “armas”, para luchar contra los “malos” a tu pregunta…. ¿Monitorizaremos solo los ataques a la sede electrónica siendo que todo viene por la misma línea?…creo que la respuesta es inmediata, claro que no, además una vez montado el dispositivo, y si lo hemos hecho de la forma adecuada, no será mucho más “caro” implantarlo para el resto de lineas.
    Como ejemplo, si montamos un “dispositivo, que sea capaz de registrar y enviar (p.e.) un mensaje al servicio de seguridad, cada vez que alguien acceda con el usuario administrador de un sistema, creo que incluir el resto de administradores, aunque no te obligue el ENS, ni la ISO, no esta de más.

    Ademas esta es la filosofia que dembemos saber “vender”, a las organizaciones que debemos de proteger…

    Gracias por tu artículo