El Esquema Nacional de Seguridad (ENS), marco de referencia de obligado cumplimiento en materia de seguridad para las TIC en el ámbito de las Administraciones Públicas, es de nuevo noticia estos primeros meses de 2018.
En el mes de febrero, LEET Security fue acreditada como entidad de certificación de conformidad con el ENS, y en el mes de abril fueron publicadas en el BOE las resoluciones de aprobación de dos nuevas instrucciones técnicas de seguridad; cuyo objetivo es desarrollar de forma apropiada la implantación de los requisitos y medidas recogidas en el ENS (Real decreto 3/2010).
Por un lado, la resolución de 27 de marzo de 2018 aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información (BOE-A-2018-4573). Y, en segundo lugar, la resolución de 13 de abril de 2018 aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad (BOE-A-2018-5370).
La Instrucción Técnica de seguridad de Auditoría tiene como propósito establecer las condiciones para la realización de las auditorías previstas en el artículo 34 del Real Decreto 3/2010. Según el reglamento, los sistemas de información de categorías MEDIA y ALTA están sujetos a superar una auditoría de seguridad al menos cada dos años; mientras que los sistemas de categoría BÁSICA sólo precisan de una autoevaluación, que podrá ser desarrollada por el mismo personal de operaciones del sistema.
En relación con la ejecución de la auditoría, la instrucción expresa la obligación del equipo auditor de recoger las evidencias pertinentes que den soporte a las conclusiones del informe.
La instrucción subraya el carácter independiente de la Entidad Certificadora, e insiste en que las actividades de auditoría no pueden incluir acciones de consultoría o de implantación de medidas de seguridad.
Por otro lado, también se regula cómo deben ser los informes de auditoría. En concreto, deben recoger la clasificación del sistema, aportar evidencias objetivas, clasificar los hallazgos, exponer las conclusiones obtenidas, y emitir el dictamen. En este sentido se identifican los siguientes tipos dictámenes: favorable cuando no se evidencian no conformidades, favorable con no conformidades cuando se comprueba la existencia de no conformidades, y desfavorable en el caso de que las no conformidades no se puedan resolver con un plan de acciones correctivas; lo cual impone la realización de una auditoría extraordinaria que verifique la adopción de las medidas correctoras adecuadas. Para profundizar en el desarrollo del dictamen final de la auditoría se puede consultar la Guía CCN-STIC 824.
Para finalizar, la instrucción hace alusión mediante una disposición adicional al Reglamento General de Protección de Datos. En este sentido expresa que si los sistemas auditados incluyen el tratamiento de datos personales se deberán cumplir dicho reglamento, y se deberá informar de ello al Delegado de Protección de Datos.
Como se recordará, la obligación de conformidad con el ENS no sólo aplica a las AAPP, sino que se extiende a los proveedores que les suministren soluciones o servicios tecnológicos. Por tanto, para ofrecer servicios o soluciones de TI a cualquiera de las AAPP (ayuntamientos, CCAA, universidades públicas, administración general del estado), se debe tener en cuenta que será necesario disponer de la declaración o la certificación de conformidad con el ENS.
Por otra parte, el Centro Criptológico Nacional ha comenzado la publicación de las empresas certificadas, cuyo listado está disponible en la página web del CCN-CERT . En ella se detalla por cada una de las organizaciones los sistemas de información certificados, su categoría, los servicios sustentados, y la fecha de concesión (los sistemas requieren ser auditados al menos cada dos años). Esta información puede ser de gran utilidad a las AAPP a la hora de seleccionar sus proveedores externos.
Estemos o no obligados a disponer de la certificación de conformidad con el ENS, no hay que olvidar que calificar el servicio no sólo sirve como cumplimiento normativo, sino también para mejorar las capacidades de ciberseguridad. Por esto es altamente recomendable la calificación de cualquier servicio TI; tanto parar asegurar la disponibilidad del servicio, como para dar confianza a los clientes; y de esta manera distinguirse de la competencia.
La ventaja que aporta LEET Security como entidad certificadora es que ha integrado y convenientemente mapeado los controles del ENS dentro de su referencial; de forma que en un único proceso de auditoría se puede obtener la Certificación de Conformidad con el ENS y la Calificación de Ciberseguridad de LEET para los servicios evaluados.
All you need is LEET.
Suscríbete a nuestra Newsletter en este enlace.