miércoles, 26 de mayo de 2010

Esquema Nacional de Seguridad

-->
Han pasado ya dos años desde que en el artículo 42 de la “Ley 11/2007 de 22 de junio de acceso electrónico de los ciudadanos a los Servicios Públicos1” se mencionó por vez primera el concepto de “Esquema Nacional de Seguridad (ENS)”, pero no fue hasta el pasado mes de julio, cuando el CSAE (Consejo Superior de Administración Electrónica) publicó una primera propuesta2 para definir y regular dicho ENS en el ámbito de la Administración Pública. Unos meses más tarde, el pasado mes de 29 de enero, la propuesta fue finalmente aceptada y publicada en el BOE, resulando en el Real Decreto 3/2010, de 8 de enero3.
Según se establece en el propio Esquema, su objetivo último es establecer la Política de Seguridad que deberán seguir las Administraciones Públicas en la utilización de medios electrónicos creando las condiciones necesarias para la confianza en el uso de medios electrónicos, a través de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones, y los propios servicios electrónicos. Además busca también facilitar el ejercicio de derechos y el cumplimiento de deberes de los ciudadanos a través de medios electrónicos.
Hay que tener en cuenta que dentro del ámbito de este Real Decreto se incluye tanto la Administración Central como las Administraciones Autonómicas y Locales, por lo que es problable que acabe regulando aspectos de seguridad de servicios que, en mayor o menor medida, todos acabaremos por utilizlar. Por este motivo, considero que es importante prestar atención a la línea de trabajo que impone este Esquema y ser consciente de qué hemos de esperar en cuanto a protección de la información y los servicios que usamos o usaremos para interactuar con las administraciones.
El ENS, como todo Sistema de Gestión de Seguridad de la Información (SGSI) que se precie, entiende la seguridad como un proceso y no como un fin. Así, deja fuera de su objeto de manera explícita las actuaciones puntuales o cuyunturales, estableciendo un proceso de mejora continua mediante la evaluación y actualización periódica de las medidas de seguridad. También incide en el análisis y gestión de riesgos y la necesidad de mantenerlo permanentemente actualizado, situándolo como una parte esencial del Proceso de Seguridad.
Por lo tanto, la Gestión de Seguridad que propone el ENS se basa en el análisis y gestión de los riesgos que puedan afectar a la información administrativa, entendiendo siempre la seguridad como un proceso integral consituido por elementos técnicos, humanos, materiales y organizativos.
Los principios básicos que el Esquema establece como necesarios para tener en cuenta en la toma de decisiones en materia de seguridad son los siguientes:

  • Seguridad integral
  • Gestión de riesgos
  • Prevención, reacción y recuperación
  • Líneas de defensa
  • Reevaluación periódica
  • Función diferenciada

Otro aspecto relevante del Real Decreto, es el énfasis que otorga a la importancia que ha de tener la formación, capacitación y concienciación en materia de Seguridad de la Información para los trabajadores de las administraciónes.

Por otro lado, el ENS exige que todos los órganos superiores de las AAPP dispongan de una Política de Seguridad formal que desarrolle puntos clave de la Seguridad, siendo estos, como mínimo, los siguientes:

  • Organización e implementación del proceso de seguridad
  • Análisis y gestión de los riesgos
  • Gestión de personal
  • Profesionalidad
  • Autorización y control de accesos
  • Protección de las instalaciones
  • Adquisición de productos
  • Seguridad por defecto (Hardening de sistemas)
  • Integridad y actualización del sistema
  • Protección de la información almacenada y en tránsito
  • Prevención ante otros sistemas de información interconectados
  • Registro de actividad
  • Incidentes de seguridad
  • Continuidad de la actividad
  • Mejora continua de proceso de seguridad

El ENS exige que la implantación de todas las medidas en el requeridas se realice antes del 1 de febrero del próximo año, salvo aquellas administraciones que puedan justificar la imposibilidad de alcanzar la implantación dentro del plazo, lo cual será sencillo dada la coyuntura económica y presupuestaria en la que nos hayamos inmersos. En estos casos, se exige que para esa fecha se disponga de un Plan de Adecuación en el que se detallen las acciones que la Administración llevará a cabo para cumplir los requisitos del ENS, y en todo caso dichos plazos no se vayan más allá de los próximos 4 años.
En mi opinión, y al margen de plazos y requisitos del Esquema, pienso es una muy buena noticia que la Seguridad de la Información se integre en los procesos de mejora continua de las Administraciones Públicas, como ya lo ha hecho en el sector bancario y en las grandes organizaciones de la industria, y como irremediablemente acabará pasando en las pymes que quieran mantener su productividad en un mercado cada vez más competitivo y exigente.
Ahora sólo nos resta ver si las buenas intenciones que supone este ENS son acompañadas por los recursos presupuestarios necesarios para que se lleve a la práctica, o si por el contrario, continuaremos la dinámica que hasta el momento ha supuesto la Ley 11/2007, de escasa implantación efectiva en nuestras administraciones a pesar de su carácter obligatorio y los años transcurridos desde su publicación

  1. [http://www.csae.map.es/csi/pg5e42.htm]
  2. [http://www.csae.map.es/csi/pdf/20090715_Proyecto_RD_ENS_cn.pdf]
  3. [http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-2007-12352]

No hay comentarios: