Certificación del ENS – Asignatura pendiente (I)

Artículo "Certificación del ENS – Asignatura pendiente (I)" de Renato Aquilino en la Sección "Marcos y Normas" de la Revista Tecnología y Sentido Común #TYSC23 de octubre de 2022

Luces y sombras en un proceso de certificación obligatorio

La situación actual del proceso de certificación del sector público y privado sobre el Esquema Nacional de Seguridad (ENS en adelante) expone un escenario preocupante y que incide seriamente en la acreditación de los niveles de ciberseguridad en ambos sectores, justamente cuando los ciberataques alcanzan frecuencias e impactos cada vez mayores.

La implantación y certificación del cumplimiento del ENS, al ser un proceso obligatorio emanado desde la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, se convierte en un mecanismo de seguridad jurídica y no solo técnica, ya que, si bien esta certificación no nos puede asegurar inmunidad ante los ataques, sí nos permite acreditar ante los organismos inspectores (p.e. AEPD) que la entidad certificada ha implementado los preceptos y las medidas de seguridad organizativas y técnicas requeridas en el ENS. De hecho, la AEPD ya ha instruido un procedimiento sancionador contra un Ayuntamiento por la carencia de estas medidas, a raíz de una brecha de seguridad que habían sufrido.

¿Obligatorio? Sí, para todas las Administraciones Públicas en sus diversas formas jurídicas, para sus tratamientos de datos personales y servicios afectados por el ámbito objetivo del ENS y/o los marcos normativos donde el ENS queda referenciado. Misma obligatoriedad para todas las entidades privadas que ofrezcan productos y/o servicios a las Administraciones Públicas cuando se tratan datos personales bajo responsabilidad de éstas o bien los servicios prestados queden afectados por el ámbito objetivo del ENS y/o los marcos normativos donde el ENS queda referenciado.

Expuesto el escenario, la realidad es radicalmente distinta entre el sector público y el privado. Mientras que en este último el número de sistemas de información certificados aumenta de forma constante, dado que ya es habitual que dicha certificación sea un requerimiento en las licitaciones (discutible en su forma y contenido, como veremos en una próxima entrega) el caso del sector público refleja una situación donde el número de certificaciones queda en niveles mínimos, sobre todo en las entidades donde se concentra un gran número de tratamientos sensibles de datos, los Ayuntamientos. El registro de entidades certificadas es público y está disponible en el portal web del Centro Criptológico Nacional (CCN), siendo ésta la fuente de las cifras expuestas a continuación, consultada en fecha 04/09/2022.

Número de Ayuntamientos en España: 8.131 (Instituto Nacional de Estadística).

Número de Ayuntamientos con un sistema de información certificado en el ENS: 21 de 8.131, es decir, el 0’26% del total. Si bien esta cifra ya es significativa en sí misma, analizando las entidades y los sistemas certificados extraemos datos interesantes.

  • Capitales de provincia: 1 (Donostia / San Sebastián) de 50 capitales

  • Municipios con población > 75.000 habitantes: 2
  • Municipios con población >= 20.000 y < 75.000 habitantes: 0
  • Municipios con población >= 5.000 y < 20.000 habitantes: 4
  • Municipios con población < 5.000 habitantes: 15. Entre éstos, 9 municipios tienen menos de 1000 habitantes.

Los datos sobre población han sido obtenidos de las estadísticas del INE correspondientes al año 2021. Los intervalos son los utilizados por el CCN para segmentar los perfiles de cumplimiento del ENS para Ayuntamientos.

Por otra parte, ¿Cuál es el alcance de estos sistemas certificados? Todos los Ayuntamientos menos uno han certificado “Los sistemas de información que dan soporte a la sede electrónica”. El Ayuntamiento “discordante” ha certificado “Los sistemas de información que dan soporte a las actividades de la Policía local, administrativas y judiciales” y esto ya indica la insuficiencia de las certificaciones actuales, dado que, en la Sede Electrónica, no se gestionan todas las actuaciones municipales, quedando fuera de la misma, por ejemplo, intervenciones de Servicios Sociales en violencia de género, conductas adictivas, protección de infancia y adolescencia, intervenciones de la Policía Local en cuestiones de seguridad ciudadana, controles de alcoholemia y drogadicción, atestados, etc. Es decir, las certificaciones actuales de los Ayuntamientos tampoco cubren los servicios que gestionan datos de la máxima sensibilidad y que no forman parte de la Sede Electrónica.

Las Diputaciones Provinciales ofrecen servicios diversos a los Ayuntamientos, siendo habitual que, entre estos servicios, se ofrezcan prestaciones de sistemas de información como Padrón Municipal de Habitantes, gestión de nóminas y recursos humanos, contabilidad y finanzas, gestión tributaria y recaudación, etc. Es decir, una concentración de servicios a diversos Ayuntamientos que, sin embargo, no tiene un reflejo en el número de Diputaciones con sistemas certificados, ya que únicamente 2 de ellas (Albacete y Huesca) disponen de certificación.

La situación es igualmente preocupante en el resto del sector público.

  • Administración General del Estado: 10 organismos con algún sistema certificado.
  • Comunidades Autónomas: 10 Comunidades Autónomas han certificado 38 sistemas de información, si bien la Junta de Andalucía, por sí misma, dispone de 22 certificaciones.
  • Universidades: Sólo 4 Universidades han certificado sistemas de información.
  • Sector Público Institucional: 53 certificaciones de muy diversos organismos.

En el sector privado se han emitido 517 certificaciones de sistemas de información para 494 entidades.

Paralelamente, existe una “certificación de productos y servicios” en la Guía de Seguridad de las TIC CCN STIC 105 – Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación, cuya última edición a la fecha data de agosto de 2022. Esta guía incluye un amplio inventario de productos como antivirus, sistemas operativos, cortafuegos, etc.

Las aplicaciones informáticas (como gestores de expedientes, gestión del Padrón,…), así como los servicios en la nube, comunicaciones, etc, deben buscarse en la página  “Empresas certificadas” del portal web del CCN dedicado al ENS.

Por limitaciones de espacio, la problemática de la certificación del ENS y mi opinión sobre las causas de la situación expuesta será desarrollada en una próxima publicación de Tecnología y Sentido Común.

Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad