Hoy veremos el último paso para implantar el ENS o Esquema Nacional de Seguridad:
EL PLAN DE ADECUACIÓN
El ENS especifica que si no es posible, en plazo y forma, la adecuación al mismo, la entidad deberá contar con un plan de adecuación.
Los detalles de cómo desarrollarlo se recogen en la GUÍA DE SEGURIDAD (CCN-STIC-806) ESQUEMA NACIONAL DE SEGURIDAD – PLAN DE ADECUACIÓN.
Este plan de adecuación contendrá la siguiente información:
- 1. La política de seguridad.
- 2. Información que se maneja, con su valoración.
- 3. Servicios que se prestan, con su valoración.
- 4. Datos de carácter personal.
- 5. Categoría del sistema.
- 6. Declaración de aplicabilidad de las medidas del Anexo II del ENS.
- 7. Análisis de riesgos.
- 8. Insuficiencias del sistema.
- 9. Plan de mejora seguridad, incluyendo plazos estimados de ejecución.
El Plan de Adecuación lo desarrollará el Responsable de Seguridad, cuando lo haya, o la persona a la que se asigne esta función de forma temporal.
1 LA POLÍTICA DE SEGURIDAD
Idealmente, el organismo dispondrá de una política de seguridad conforme a lo que se pide en el Anexo II del ENS, por lo que sólo será necesario identificarla y anexarla al plan de adecuación.
Pero si no es así, el plan tendrá que recoger la planificación de la modificación de la política de seguridad existente, o el desarrollo de una nueva política, que cumpla con todos los requisitos.
2 VALORACIÓN DE LA INFORMACIÓN QUE SE MANEJA
Hay que detallar la información que se maneja, y valorarla según se establece en el ENS.
En una entidad en la que no haya una política de seguridad clara y definida, puede resultar problemático llevar a cabo, tanto el inventario de toda la información utilizada en la prestación de los servicios, como posteriormente valorarla, ya que no habrá criterios definidos para hacerlo y faltarán algunos propietarios.
Si fuera así, el Responsable de Seguridad, o la persona designada para llevar a cabo sus funciones, tendrá que realizar esta valoración según su leal saber y entender, dejando constancia de los motivos y razonamientos para determinar las valoraciones documentadas.
Esta valoración es meramente provisional para los efectos del plan, y deberá realizarse una valoración formal en un plazo adecuado, documentándose dichas tareas en el plan.
3 VALORACIÓN DE LOS SERVICIOS QUE SE PRESTAN
De manera análoga a lo indicado en la sección anterior para la información, debe realizarse la valoración de los servicios.
Para ello, deben enumerarse los servicios que se prestan, y valorarlos.
Cuando no hay política de seguridad por la que regirse para hacer esta valoración, faltan responsables de los servicios. o la valoración de la información no está aprobada formalmente, se realizará una valoración provisional, especificando su plazo de validez, pasado el cual deberá haberse realizado una valoración formal.
4 DATOS DE CARÁCTER PERSONAL
Cuando el sistema maneja datos de carácter personal, deberá incluirse la relación detallada de dichos datos en el plan de adecuación.
Para ello es suficiente hacer referencia al Documento de Seguridad requerido por el RGPDD y la LOPDgdd de Protección de Datos de Carácter Personal existente en la entidad.
5 CATEGORÍA DEL SISTEMA
Con las valoraciones disponibles de la información y los servicios, el Responsable de Seguridad debe establecer la categoría del sistema, siguiendo los criterios y pasos recogidos en el Anexo I del ENS.
Una estrategia eficaz para reducir la utilización de recursos es segregar los sistemas en sub-sistemas, si es posible.
De esta manera se aplicarán las medidas de seguridad, exigidas para niveles altos, específicamente a aquellos segmentos del sistema que lo requieran, y no al sistema completo, que requeriría mucho más esfuerzo.
6 DECLARACIÓN DE APLICABILIDAD
El Responsable de Seguridad, a la vista del nivel del sistema y de los requisitos planteados para la protección de los datos de carácter personal, documentará la lista de las medidas aplicables al sistema.
7 ANÁLISIS DE RIESGOS
Otro de los puntos a incluir en el Plan de Adecuación es un análisis de riesgos, según lo descrito en el Anexo II del ENS para la categoría establecida, para el sistema.
En este análisis de riesgos se valorarán las salvaguardas presentes en la fecha de aprobación del plan de adecuación, de manera que se cuente con un mapa de riesgos actuales.
8 INSUFICIENCIAS DEL SISTEMA
Hay que identificar y documentar las carencias en el actual sistema de gestión de seguridad de la información, que pueden detectarse en varios aspectos:
- Desviaciones de lo exigido en el Anexo II para valorar el sistema y seleccionar medidas de seguridad.
- Existencia de riesgos que no son aceptables por el organismo.
Los riesgos residuales (los que quedan tras la aplicación de las medidas de seguridad seleccionadas) deben ser aceptados por los responsables de la información y servicios afectados.
Puede darse el caso de que no todos los responsables estén designados o que la aceptación del riesgo no sea formal, por lo que el Responsable de Seguridad tomará la decisión a su mejor criterio, indicando por qué y cómo ha llegado a esas decisiones de aceptación, o no, del riesgo residual.
9 PLAN DE MEJORA DE LA SEGURIDAD
Partiendo de la información recopilada, y teniendo en cuenta las carencias detectadas, se elaborará un plan de mejora de la seguridad que detallará las acciones que se van a tomar para subsanarlas.
Además, para cada una de las acciones que se tomarán, se documentará:
- Las insuficiencias que subsana.
- El plazo previsto de ejecución, indicando fecha de inicio y fecha de terminación.
- Los principales hitos del proyecto.
- Una estimación del coste que supondrá.
Con el Plan de Adecuación que hemos expuesto hoy, los principios básicos que deben marcar el ENS o Esquema Nacional de Seguridad, como primer paso, así como los requisitos mínimos de seguridad, como segundo paso, y las comunicaciones electrónicas, como tercer paso, ya hemos finalizado con el Esquema que cualquier empresa que tenga proyectos en vigor, o desee participar en ofertas y licitaciones con algún Organismo Oficial debe contar, lo que le supondrá una diferencia competitiva importante, y en breve, es probable que sea una cláusula obligatoria para participar en una licitación.
