El artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, estipula la necesidad de redacción de un Esquema Nacional de Seguridad que establezca la política de seguridad en la utilización de medios electrónicos.
Dicho esquema tardó tres años en llegar en forma de Real Decreto (RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica) y es de imperativo cumplimiento para todas las Administraciones Públicas, entre otros. En la disposición transitoria de dicho decreto se articula un mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad de manera que los sistemas de las administraciones han de estar adecuados a este Esquema en unos plazos en ningún caso superiores a 48 meses desde la entrada en vigor del mismo. El plazo de adecuación venció el 30 de enero de 2014.
Sin embargo, el legislador, consciente de que los plazos no se habían cumplido por parte de las Administraciones Locales, decidió prorrogar su aplicación dos años más mediante el Real Decreto 951/2015, de 23 de octubre. Tras este decreto, el ENS debería estar aplicado en la totalidad de las administraciones a fecha 5 de noviembre de 2017.
Nuestro compañero Adrián Capdevila ya informó sobre este incumplimiento en el año 2015 en este post, y parece que no ha mejorado mucho desde entonces.
¿Cuál es la realidad actual? A día de hoy, tan solo hay certificados 3 ayuntamientos de un total de 8.125 (lo que representa un 0,04%) y 2 universidades públicas de un total de 52 (un 3,85%).
¿Dónde está el problema? Principalmente, en el desconocimiento de las administraciones de esta obligación, por mucho que se empeñen las Federaciones de Municipios en hacer ver la necesidad de cumplir la ley, y se pongan en marcha herramientas de ayuda. Y complementariamente, por los funcionarios “más veteranos” que en ocasiones se niegan a meterse en este jardín por aquello de lo tecnológico, sumado a que los representantes políticos ven absurdo asignar presupuesto a algo que “no se ve”. Pensar que es un problema presupuestario tiene poco recorrido, puesto que la mayoría de administraciones cuentan con medios materiales y personales para llevarlo a cabo sin problema (de los 62 municipios con más de 100.000 habitantes, sólo hay uno adaptado al Esquema, lo que representa el 1,61%).
Queda mucho por hacer desde todas las Administraciones Públicas, y la seguridad de los sistemas de información que están al servicio de los ciudadanos no son asuntos menores.
Igual parte de la culpa es que el ENS es una porquería de decreto que ayuda poco a la seguridad y que no saben cómo cumplirlo porque ni lo entienden ni lo ven útil y prefieren gastar el dinero en algo que les sea de mayor utilidad.
Por no hablar del pésimo nivel que tienen los funcionarios en TI y, especialmente, en seguridad y las empresas que les dan servicio.
Me da a mí que no basta con sacar un documento lleno de abstracciones idílicas genéricas que si lo analizas en el fondo dice poca cosa y esperar que mágicamente mejore la seguridad.
O igual soy yo, que desde salió la BS7799 pienso que el mundo es un poquito más triste.