¡Despegamos!

Este artículo inicia la sección “Marcos y Normas”, una ilusionante etapa de colaboración con Tecnología y Sentido Común, y en esta publicación inicial expongo los contenidos y el enfoque de la sección, dedicada a los marcos normativos y normas estándares relacionados con el amplio concepto de “seguridad de la información”.

Mi nombre es Renato Aquilino Pujol. Soy Licenciado en Informática por la Universitat Politécnica de Catalunya, Especialista Universitario en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia, CISA, CISM, CGEIT,  COBIT-5 Implementer, implantador / auditor del Esquema Nacional de Seguridad, ISO/IEC 27001:2013 e ISO 22301:2019.

Mi carrera ha evolucionado desde la ingeniería de sistemas, con los primeros despliegues del entonces novedoso sistema operativo UNIX, Windows NT Server, BBDD Informix. Oracle, etc, hacia la consultoría en sector público (SICAL, TAO, etc) y privado (ERP Navision, SAP R/3, etc) y, posteriormente, a la consultoría y auditoría sobre normas estándares en materia de seguridad y continuidad (aquellas BS 7799, BS 25999 posteriormente derivadas en las normas ISO/IEC 27001 e ISO 22301) y, desde el año 2010, en la implantación y auditoría del Esquema Nacional de Seguridad, todo ello en relación, adicionalmente, con los aspectos organizativos y técnicos de la legislación en materia de protección de datos personales, desde la LORTAD, LOPD, RGPD y LOPDGDD.

Esta carrera profesional me ha permitido profundizar en los diferentes marcos normativos y normas estándares relacionados con ese amplio concepto de “seguridad de la información”, obteniendo de los numerosos proyectos desarrollados una gran cantidad de escenarios prácticos que espero trasladar a esta sección, la cual pretende exponer los marcos y normas sobre seguridad de la información bajo un enfoque eminentemente práctico, orientado a escenarios de aplicabilidad fácilmente “aterrizables” en casos reales de organizaciones públicas y privadas, huyendo de la “indigestión normativa” que podría provocar una exposición puramente enumerativa de marcos y estándares y procurando ofrecer una visión holística pero comprensible de los mismos. Es decir, esta sección no pretende ser un curso de marcos y normas sino una exposición de sus criterios y medidas sobre las diferentes casuísticas que voy a desarrollar, si bien podrá ser necesario en algún momento exponer texto concreto de sus preceptos para justificar o soportar el caso.

La sección va dirigida tanto al sector público como al sector privado, teniendo en cuenta los requerimientos específicos para el sector privado que ofrece productos y servicios para el sector público. A los efectos de esta sección, y dado que las normas estándares ISO e ISO/IEC mencionan la palabra “negocio” como contexto organizativo de las mismas, se asume que “negocio” es equivalente a “servicio” en el sector público.

Dimensiones de la seguridad

El alcance del término “seguridad de la información” es muy amplio y engloba visiones diferentes del mismo, denominadas por los marcos y  normas como “dimensiones de la seguridad”, cuyas definiciones son semánticamente iguales en todos ellos. Tomando como fuente el Anexo IV (glosario de términos) del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS en adelante):

• Confidencialidad: propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.
• Disponibilidad: propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
• Integridad: propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.
• Autenticidad: propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
• Trazabilidad: propiedad o característica consistente en que las actuaciones de una entidad (persona o proceso) pueden ser trazadas de forma indiscutible hasta dicha entidad.

La norma ISO/IEC 27001:2013 contempla como dimensiones de seguridad la Confidencialidad, Integridad y Disponibilidad, si bien la Autenticidad y la Trazabilidad están contempladas también de forma explícita en sus controles.

La norma ISO 22301:2019 desarrolla la dimensión Disponibilidad en forma de Sistema de Gestión de la Continuidad de Negocio (SGCN en adelante).

Marcos normativos y normas estándares – Contexto

No descubro nada nuevo al afirmar que la seguridad de la información se ha convertido en un factor clave para la viabilidad de cualquier organización, pública o privada, máxime cuando los modelos de negocio o servicio están basados en tecnologías de la información (TI en adelante) y dependen de las mismas.

Este escenario llevó a la necesidad de establecer unos criterios normalizados de implementación de medidas de seguridad y de medición del nivel de seguridad y riesgo de las organizaciones, de forma que pudieran acreditar ante partes interesadas internas y externas dicho nivel. Estos criterios se han materializado en dos líneas:

• Normas estándares. Cumplimiento no obligatorio, decisión de la organización por iniciativa propia o por requerimientos de partes interesadas en su modelo de negocio. Como ejemplo, ISO/IEC 27001 e ISO 22301 dentro del ámbito de esta sección. Su catalogación como “estándar” se basa en la amplia aceptación global de sus criterios y su certificación.
• Marcos normativos. Cumplimiento por obligación legal para las organizaciones dentro de su ámbito subjetivo, tanto públicas como privadas, dado que se trata de legislación vigente. Como ejemplo, Esquema Nacional de Seguridad (Real Decreto 311/2022) en esta sección.

Enfoque Implantación / Certificación de marcos normativos y normas estándares.

La acreditación del cumplimiento de marcos y normas se recoge en los esquemas de certificación. Dado que tanto el ENS como ISO 27001 e ISO 22301 son certificables, esta sección incluirá no solo criterios de implantación sino también recomendaciones para el proceso de certificación, con el fin de evitar “sorpresas”  bastante habituales en este proceso y, con ello, intentar mejorar la “certificabilidad” de las organizaciones, todo ello, por supuesto, teniendo en cuenta las limitaciones de espacio inherentes a una publicación multidisciplinar como Tecnología y Sentido Común”.