Causas de la “no certificación” del ENS en el sector público.
En la edición de octubre de TySC expuse el poco ejemplarizante número de entidades del sector público certificadas en el ENS, muy especialmente en la Administración Local. En esta edición expongo los que, en mi opinión y muy resumidos, son los motivos que nos llevan al escenario expuesto.
Cambios normativos y falta de referentes. Esta situación viene de lejos, por lo que no es válido argumentar que no se ha abordado el proceso debido a la nueva edición del ENS 2022. Tampoco es válido argumentar la espera de “perfiles de cumplimiento” para Ayuntamientos, dado que estos perfiles están disponibles desde mayo del año 2020 y no han conseguido dinamizar las certificaciones.
Por parte del CCN se han desarrollado diferentes documentos de soporte al cumplimiento del ENS para Entidades Locales, todo ello con la participación activa de personas y entidades directamente implicadas en la casuística de la Administración Local. Documentos de alto valor para facilitar el proceso, por lo que sí existen referentes sectoriales.
La seguridad, en mayor o menor medida, se traduce en euros. Evidente, pero ¿quién tiene la llave de los euros? El órgano que ostente las máximas competencias ejecutivas (ENS 2022), denominado “órgano superior competente” en el texto del ENS 2010. En la guía “ENS-Preguntas frecuentes” publicada por el CCN se recoge un párrafo clarificador: “… Obsérvese que los órganos superiores que menciona el ENS se corresponden con aquellos órganos administrativos entre cuyas competencias se encuentra la determinación y asignación presupuestaria del organismo, circunstancia lógica, a la vista de que el cumplimiento del ENS supondrá, en la mayoría de los casos, la debida asignación presupuestaria que requiere su implantación”. Ya tenemos identificado el dueño de la llave de los euros, pero observamos en general una escasa conciencia sobre los ciber-riesgos y sus consecuencias, excepto en los casos donde ya han sufrido un ataque con repercusión operativa y mediática. En estos casos asistimos a una auténtica reconversión de posturas al respecto, siempre acompañada de los típicos “in-bles”: in-concebi-ble, in-asumi-ble, in-crei-ble, y una promesa de inversiones inmediatas para evitar la recurrencia. Estos órganos, en general, no tienen conocimiento previo de la existencia del ENS ni, por supuesto, de su obligatoriedad, tampoco de la relación directa entre ENS y LOPDGDD.
¿Qué me pasa si no cumplo el ENS? El ENS no contiene procedimiento sancionador, por lo que las posibles consecuencias de los incumplimientos vendrían determinadas por normativas externas. Uno de los escenarios más habituales en Ayuntamientos y entidades supramunicipales proviene de brechas de seguridad afectando a datos personales, aplicando en este caso el régimen sancionador de la LOPDGDD, el cual, para las Administraciones Públicas, no contempla sanciones económicas, únicamente apercibimiento, con posible propuesta de actuaciones disciplinarias (a decidir por el Organismo) y diversas publicaciones del asunto. Es decir, nada disuasorio. Esta sensación de impunidad es un claro inhibidor de los proyectos de implantación y certificación del ENS, máxime en un contexto presupuestario restrictivo con priorizaciones a decidir.
ENS, ese desconocido. Observamos que el desconocimiento del ENS no afecta sólo al órgano superior competente, sino que se extiende también a funcionarios clave en el Organismo que podrían influir e impulsar su cumplimiento, sobre todo responsables de servicio y habilitados nacionales. En TySC tenemos un ejemplo extraordinario (Víctor Almonacid), Secretario implicado históricamente en estas cuestiones, desarrollando una ingente labor de formación y concienciación en toda la Administración Pública sobre estas cuestiones, junto a otras personas referentes en la materia, pero esa labor todavía no se ha traducido en proyectos integrales de cumplimiento y certificación en la mayoría de los Ayuntamientos.
El ENS es cosa de los técnicos. Existe una percepción entre quienes conocen la existencia del ENS de que se trata de “temas técnicos del área de Informática”, cuando este marco normativo contiene disposiciones que afectan a todo el Organismo en aspectos jurídicos, organizativos y técnicos, abordados como un sistema de gestión de seguridad de la información que involucra todos los estamentos corporativos, tal como recoge su artículo 6 – La seguridad como un proceso integral.
Área de Informática – El ENS requiere mucho trabajo administrativo. Es muy habitual encontrar medidas técnicas de seguridad que cumplen con los requerimientos del ENS, pero, en numerosas ocasiones, están diseñadas, implementadas y mantenidas sin un análisis previo de riesgos que ayude a determinarlas, sin una adecuada interacción con los responsables de servicios para conocer sus requerimientos, sin indicadores de su eficacia y eficiencia, sin visión sobre la seguridad específica de los datos personales … Es decir, sin un sistema de gestión que permita abordar la ciberseguridad como un proceso integral y corporativo.
El ENS incluye “trabajos administrativos”, efectivamente, ya que requiere políticas, normativas, procedimientos, instrucciones, registros, indicadores, procesos de autorización y otras actividades que conforman un entorno documentado, gestionado y controlado, donde el conocimiento persiste no solo en las mentes y notas del personal, pero nos encontramos en numerosas ocasiones con departamentos de Informática infradimensionados, sobrecargados de trabajo, y que ven el ENS como una carga adicional cuando deben soportar los “trabajos administrativos“ que les afectan. Esta infradimensión de recursos humanos es otro claro inhibidor del cumplimiento y certificación del ENS.
¿Conclusiones? Las causas expuestas en los puntos anteriores no son alternativas, sino acumulativas, siendo habitual encontrarlas todas ellas en un mismo Organismo. Es por ello que la implicación del órgano superior competente es la condición “sine qua non” para que el proyecto consiga su objetivo, exigiéndose a sí mismo su participación activa (p.e. en el Comité de Seguridad) y exigiendo a todo el personal su implicación directa, así como dotando los recursos humanos y técnicos adecuados, internos y/o externos.
En estos artículos sólo pretendo exponer de forma resumida, por motivos de espacio, algunos de los aspectos que considero relevantes para comprender la precaria situación actual y sus motivos. En sucesivos artículos entraré en recomendaciones para su implantación y certificación con un objetivo de “mínimo impacto” sobre los recursos disponibles.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Debe estar conectado para enviar un comentario.