Como tu consultoria de informática hablaremos en este post de la certificación en el Esquema Nacional de Seguridad. Es clave para que las empresas públicas y privadas que provean de servicios a la administración pública puedan garantizar unas condiciones mínimas de seguridad a sus clientes y a la ciudadanía.
En el Esquema Nacional de Seguridad vemos que existen una serie de medidas condicionadas a la valoración del nivel de seguridad en cada dimensión y a la categoría del sistema de información del que se trate. Esta se calcula según el nivel de seguridad más alto de las dimensiones valoradas.
El nivel y la categoría se establecen según la legislación del ENS. Abarca una serie de criterios generales para determinar si los requisitos de seguridad son de nivel alto, medio o bajo. Se analiza la confidencialidad, la integridad, la disponibilidad, la autenticidad y la trazabilidad.
El alcance y el objetivo de la auditoría de seguridad
En las auditorías de sistemas de las tecnologías de la información se revisan los aspectos de seguridad de los sistemas de forma exhaustiva para identificar distintos puntos a mejorar o corregir. Por ejemplo, los recursos necesarios para realizar la auditoría de seguridad, las comunicaciones con los responsables de la organización que piden la auditoría, la planificación o los requisitos de información previos al desarrollo del plan y a la ejecución de las pruebas necesarias. Hay que establecer un plan de auditoría con las actividades, revisiones y pruebas previstas.
La evaluación global de los resultados de la auditoría se realizará según los requisitos fijados en el RD 3/2010 que regula el ENS en el ámbito de la Administración Electrónica. El equipo auditor verificará que las medidas de seguridad satisfacen los requisitos mínimos en este sentido.
Las Entidades de Certificación del ENS deben actuar con la máxima profesionalidad y rigor. Se debe definir el alcance de la auditoría. El certificado tiene una vigencia de 2 años. Pasado este tiempo, hay que realizar de nuevo la auditoría.
Resultados tras la auditoría
Pueden ser de dos tipos:
- Favorable con no conformidades: en caso de que se evidencien “no conformidades menores” o “no conformidades mayores” la entidad titular responsable del sistema de información auditado tiene que presentar, en el plazo máximo de un mes, un Plan de Acciones Correctivas (PAC).
- Desfavorable: si existe un número significativo de “no conformidades mayores” hay que implementar un Plan de Acciones Correctivas y comprobar in-situ su implantación con una auditoría extraordinaria.
En Imagar creemos que es importante contar con un asesoramiento externo previo a la certificación del ENS. Es una norma bastante técnica que hace necesaria la ayuda de una empresa consultora especializada con profesional cualificado.
En resumen, el Esquema Nacional de Seguridad busca dar respuesta a la transformación digital del sector público, asegurando las condiciones de seguridad para prestar servicios electrónicos a la ciudadanía. Hoy día la prestación de estos servicios es más compleja que cuando se aprobó el Real decreto que comentábamos antes. Existen tres marcos del ENS:
- Marco organizativo: medidas relacionadas con la organización global de la seguridad (políticas, normativas, procedimientos, etc.)
- Marco operacional: análisis de riesgos, gestión de la capacidad, control de cambios, etc.
- Medidas de protección: para proteger los activos con medidas muy concretas (etiquetado, criptografía, cifrado, etc.).
Al contrario de lo que sucede con otros estándares como ISO 27001, el ENS propone un modelo basado en tres niveles de madurez (básico, medio o alto) en función del servicio a evaluar y la importancia de la información que se maneje.
Los servicios e información involucrada se valoran en cinco dimensiones: confidencialidad, Integridad, disponibilidad, trazabilidad y autenticidad.
Por último, la categoría del sistema viene determinada por el máximo nivel que toman las dimensiones de seguridad de los servicios y los activos de información necesarios para su prestación.