OTRAS CUESTIONES
¿Se puede hacer un Plan de Adecuación sin incluir la Política de Seguridad?
Rotundamente, no.
La redacción y aprobación de la Política de Seguridad de la organización es una condición previa e indispensable para abordar un proceso de conformidad legal al ENS coherente y con garantías de éxito.
¿Se puede aprobar una Política de Seguridad sin contemplar la Estructura de Seguridad de la Organización?
No tendría sentido.
Obsérvese que una Política de Seguridad contiene, necesariamente, la estructura organizativa encargada de dirigir y materializar su implantación, y velar por su cumplimiento.
Esto no significa que la antedicha Estructura de Seguridad deba ser rígida o estar totalmente dimensionada desde un principio.
Suele suceder con frecuencia que, tras el preceptivo Análisis de Riesgos y la ulterior Declaración de Aplicabilidad, se llegue a la conclusión de que la adopción coherente de determinadas medidas de seguridad requiere el concurso de elementos nuevos en la Estructura de Seguridad de la organización, no contemplados en un primer momento.
¿Debe publicarse en la Sede Electrónica del organismo en cuestión el Plan de Adecuación al ENS?
La Disposición Transitoria Primera (Adecuación de sistemas y servicios) del ENS, señala la obligación de contar con el preceptivo Plan de Adecuación de los sistemas y servicios que sean objeto del ENS.
Nada prescribe la norma, sin embargo, en relación con la publicación del citado Plan de Adecuación, que sí debe ser aprobado por los órganos superiores del organismo.
Obsérvese, además, que la publicación del Plan de Adecuación en la Sede Electrónica del organismo sería claramente contraproducente desde el punto de vista de la seguridad, toda vez que se estarían dando «pistas urbi et orbi» respecto del nivel de seguridad de los sistemas de información del organismo, cuestión nada deseable y que vendría a introducir riesgos adicionales.
¿Cuál es la relación entre el ENS y la norma UNE-ISO/IEC 27002:2009?
La norma UNE-ISO/IEC 27002:2009 es un conjunto de controles de seguridad para sistemas de información genéricos.
Aunque muchas de las medidas de seguridad indicadas en el anexo II del ENS coinciden con controles de UNE-ISO/IEC 27002:2009, el ENS es más preciso y establece un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la implantación de medidas de seguridad y reducir la discrecionalidad.
La norma UNE-ISO/IEC 27002:2009 carece de esta proporcionalidad, quedando a la mejor opinión del auditor que certifica, la conformidad con la norma UNE ISO/IEC 27001:2007
Por otra parte, el ENS contempla diversos aspectos de especial interés en relación con la protección de la información y los servicios de administración electrónica (por ejemplo, aquellos relativos a la firma electrónica) no recogidos en la norma UNE-ISO/IEC 27002:2009.
Teniendo mi Servicio/Sistema certificado contra la norma UNE ISO/IEC 27001:2007, ¿debo entender que ya estoy cumpliendo con el ENS?
Rotundamente, no.
El Esquema Nacional de Seguridad y la norma UNE ISO/IEC 27001:2007 difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen.
El ENS es una norma jurídica, el Real Decreto 3/2010, que se encuentra al servicio de la realización de derechos de los ciudadanos, de aplicación obligatoria a todas las Administraciones Públicas, y que trata la ‘protección’ de la información y los servicios.
El ISO 27001 es una norma de gestión que indica cómo llegar a tener un Sistema de Gestión de Seguridad de la Información (para ello se apoya en las recomendaciones de ISO 27002).
La norma UNE ISO/IEC 27001:2007 es de carácter voluntario, es una norma de ‘gestión’ que contiene los requisitos para la construcción de un sistema de gestión de seguridad de la información, contra la que puede, en su caso, de forma voluntaria, certificarse una entidad.
Sin embargo, cabe precisar que quién haya certificado su Servicio/Sistema conforme a la norma UNE ISO/IEC 27001:2007 está muy cerca de asegurar el cumplimiento del ENS, cuya conformidad debe alcanzarse siguiendo la metodología descrita en los Anexos I, II y III del Real Decreto 3/2010.
