FAQs sobre el proceso de certificación del ENS

Estimados lectores, este año el ENS vuelve a golpear fuerte. Este renovado protagonismo, cual Fénix que renace de sus cenizas, viene dado por una serie de iniciativas impulsadas desde el CCN. Una de ellas es el proceso de certificación del cumplimiento del ENS por parte de las distintas administraciones públicas incluidas en el ámbito de aplicación, así como de sus proveedores.

En lo que me atañe, actualmente estoy participando como parte activa en un proceso de adecuación y certificación del ENS. Si bien estoy familiarizado con el proceso de adecuación, está será mi primera certificación del ENS. No obstante, me declaro fan acérrimo de las primeras veces y estoy seguro que será una gran experiencia.

A pesar de considerarme un avezado consultor en implantación y certificación de SGSI, numerosas dudas me acechan en relación al proceso de certificación del ENS. Para solventarlas he revisado las guías del CCN, lanzado consultas al propio CCN y mantenido reuniones con el proveedor que llevará acabo la auditoría de esta certificación.

Así pues, el objetivo de este post es compartir las dudas que surgen desde el punto de vista de un proveedor de servicios que quiere obtener la certificación ENS, y para las que hemos tratado de obtener respuesta. Les anticipo que gran parte de esas consultas no han sido resueltas. Sin más dilación he aquí el resultado de mis pesquisas.

→ Por la naturaleza del ENS, ¿para obtener la certificación es necesario cumplir estrictamente todas las medidas de seguridad del ANEXO II? ¿Qué pasa si no se cumple una medida de seguridad?

La certificación no será algo “booleano”, existirán 3 resultados: certificado, certificado con no conformidades y no certificable.

→ Si faltan ciertas medidas de seguridad y por tanto tengo varias no conformidades. ¿Qué se tendrá en cuenta para valorar si se cumple en el grado suficiente para obtener la certificación de cumplimiento con no conformidades?

La obtención y cálculo del grado de cumplimiento necesario para obtener la certificación se ciñe a lo dispuesto en la guía CCN 824.

→ Si no cumplo con una medida de seguridad el día de la auditoría pero su implantación está prácticamente finalizada, ¿qué pasa?

Será reflejado como un incumplimiento, pero tendrá una valoración positiva en los cálculos del nivel de cumplimiento.

→ Tengo que implantar un control que implica un coste económico que no puedo afrontar en estos momentos. ¿Qué puedo hacer?

Si no puede implantar una medida de seguridad por ciertos motivos, deberán ser implementadas medidas de seguridad compensatorias aprobadas por el responsable de seguridad de la organización

→ Quiero obtener el certificado de conformidad para nivel alto de todos mi servicios. No obstante, aunque la confidencialidad de mi información está clasificada de nivel alto, los otros parámetros del DICAT no requieren ese nivel de exigencia. ¿Es posible certificarme con un cumplimiento para sistemas de nivel alto, teniendo (por ejemplo) la disponibilidad de nivel bajo y (por tanto) aplicar medidas de nivel bajo para la disponibilidad?

Esta cuestión no fue del todo aclarada, pero las respuestas obtenidas indican que en esa valoración debe de aplicarse el sentido común.

→ Si mi metodología de análisis de riesgos toma algunos aspectos de MAGERIT, pero el cálculo del riesgo sigue su propio “fundamento matemático”, ¿se considera este válido para el cumplimiento de los requisitos de nivel alto de la medida de seguridad relativa a análisis de riesgos?

Si la metodología empleada está basada en estándares internacionales y cumple los otros aspectos recogido en esa medida, tendrá una valoración positiva.

→ Si en el servicio que presto a mis clientes utilizo una aplicación de desarrollo propio, ¿es necesario que esta herramienta este certificada por el Common Criteria?

De acuerdo con la guía CCN 813, el requerimiento de componentes certificados se circunscribe a las siguientes medidas de seguridad:

  • Mecanismo de autenticación.
  • Protección de claves criptográficas.
  • Protección de la confidencialidad.
  • Protección de la autenticidad y de la integridad.
  • Criptografía.
  • Borrado y destrucción.
  • Firma electrónica.
  • Sellos de tiempo.

Por tanto, si el objetivo de la aplicación no es por si una de estas medidas de seguridad, no es necesario.

→ ¿Cuál es el alcance de la auditoría?

El alcance de la auditoría se corresponde con lo descrito en el punto 1. Objeto de auditoría del ANEXO III del ENS. No obstante, adicionalmente se verificará el cumplimiento de todos los artículos incluidos en el ENS.

→ ¿La auditoría de certificación tendrá una periodicidad anual (como un sistema de gestión) o bienal?

A priori la auditoría de certificación tendrá carácter bienal.

→ ¿Es necesario que el proveedor cumplimente INES como requisito de auditoría?

No. Es más, a priori un proveedor no dispone de acceso a dicha plataforma.


Como podrán comprobar, gran parte de las cuestiones no han sido resueltas de modo exhaustivo, lo que denota el incipiente estado de este proceso de certificación. No cabe duda de que hay mucho que aprender tanto por parte de los consultores como de los auditores. En cualquier caso, sobre todo recuerden: SENTIDO COMÚN…

Comments

  1. Arísitides says:

    Hola!! Muchas gracias por plantear un tema muy interesante y todavía, desde mi punto de vista, muy indefinido…

    Personalmente, no me queda nada claro el ámbito de certificación de una empresa privada que ofrece sus servicios a la Administración.

    Pongamos que soy una consultora que ofrece los siguientes servicios:
    – Consultoría (te asesoro en cómo afrontar un proyecto y te acompaño en su desarrollo; no lo hago yo)
    – Implantación técnica de soluciones informáticas a medida (un pliego pide XX y yo te lo monto de principio a fin)
    La pregunta es: ¿qué tengo que certificar de mi empresa?¿qué tengo que certificar en mi empresa?

    No se me ocurre qué debo certificar para la parte consultora de la empresa…

    En cuanto a la parte de implantación de una solución a medida, ¿qué debo certificar? Me comprometo a que la solución que voy a montar cumplirá el ENS, pero, ¿qué debo certificar en mi empresa? ¿el sistema informático, la aplicación, etc. que voy a entregar no está en mi empresa, no puede certificarse…. ¿entonces?

    No sé si se entienden mis dudas…

    ¿Se te ocurren otros servicios y/o implantaciones en los que quede claro cómo va a ser la certificación?

    Muchas gracias por tu ayuda!

  2. Estimado Arísitides,

    En efecto, creo que el asunto de la certificación de conformidad con el ENS se encuentra en un estado muy incipiente. Es por esto que he estado tratando resolver esta clase de dudas con alguna entidad de certificación, pero para ser sincero no he obtenido respuestas muy esclarecedoras al respecto.

    En relación al ámbito de la certificación, lo único que tenemos para tomar como referencia es lo que se especifica en el punto 3.4 de la guía CCN-STIC 809. La verdad tampoco arroja mucha luz.

    Respecto a las dudas concreta que planteas, son las mismas que me he hecho yo mismo. IMHO el alcance de la certificación debería incluir los servicios prestados a las administraciones públicas, en vuestro caso servicios de consultoría y despliegue de soluciones. Eso es bajo mi punto de vista, sin embargo lo que me he encontrado tras hablar con certificadoras es que se esta optando por seguir los alcances propuestos en un SGSI.

    Dicho esto en relación al servicio de consultoría creo que deberías tener en cuenta los sistemas empleados para la prestación de este servicio y aplicar las medidas de seguridad que le sean de aplicación, en función del nivel de seguridad que queramos certificar. Por lo que respecta a soluciones, es obvio que si comercializáis soluciones de terceros tenéis una capacidad de limitada para aplicar medidas de seguridad. No me he visto en esa situación y me resultaría complicado establecer un alcance en este contexto, pero si tuviera que hacerlo me centraría en incluir en el alcance los procesos de soporte y no las propias herramientas.

    Esto no es el caso si las soluciones fuera desarrolladas por vosotros mismos, puesto que sería vuestra responsabilidad que dichas herramientas implementarán las medidas de seguridad que le fueran de aplicación.

    En relación a tu última pregunta, no la acabo de entender del todo. ¿Podrías ser más precisa?

    Espero haber solucionado en parte alguna de tus dudas.

    Un saludo