OTRAS CUESTIONES

¿Se   puede   hacer   un   Plan   de   Adecuación   sin   incluir   la Política   de Seguridad?

Rotundamente, no.

La  redacción y  aprobación de  la  Política  de  Seguridad  de  la  organización  es  una  condición previa  e  indispensable para  abordar  un proceso de  conformidad  legal  al ENS  coherente  y  con garantías de éxito.

¿Se puede aprobar una Política de Seguridad sin contemplar la Estructura de Seguridad de la Organización?

No tendría sentido.

Obsérvese que una Política de Seguridad contiene, necesariamente, la estructura organizativa encargada de dirigir y materializar su implantación, y velar por su cumplimiento.

Esto  no  significa  que  la  antedicha  Estructura  de  Seguridad  deba  ser  rígida  o  estar  totalmente dimensionada desde un principio.

Suele suceder con frecuencia que, tras el preceptivo Análisis de  Riesgos  y  la  ulterior  Declaración  de  Aplicabilidad,  se  llegue  a  la  conclusión  de  que  la adopción   coherente   de   determinadas   medidas   de   seguridad requiere   el   concurso   de elementos  nuevos  en  la  Estructura  de  Seguridad  de  la  organización,  no  contemplados  en  un primer momento.

¿Debe publicarse en la Sede Electrónica del organismo en cuestión el Plan de Adecuación al ENS?

La  Disposición  Transitoria Primera  (Adecuación  de  sistemas  y  servicios)  del  ENS,  señala  la obligación de contar con el  preceptivo  Plan  de  Adecuación  de  los sistemas y  servicios  que sean  objeto  del  ENS.

Nada  prescribe  la  norma,  sin  embargo,  en relación con la publicación del citado Plan de Adecuación, que sí debe  ser aprobado por los órganos superiores del organismo.

Obsérvese,  además,  que la  publicación  del  Plan  de  Adecuación  en  la  Sede  Electrónica  del organismo sería claramente contraproducente desde el punto de vista de la seguridad, toda vez que se estarían dando «pistas urbi et orbi» respecto del nivel de seguridad de los sistemas de  información  del  organismo, cuestión  nada  deseable  y  que  vendría  a  introducir  riesgos adicionales.

Medidas de Seguridad ENS

¿Cuál es la relación entre el ENS y la norma UNE-ISO/IEC 27002:2009?

La norma UNE-ISO/IEC 27002:2009 es un conjunto de controles de seguridad para sistemas de información genéricos.

Aunque  muchas  de  las medidas  de  seguridad indicadas  en  el  anexo  II del  ENS  coinciden  con controles  de UNE-ISO/IEC  27002:2009,  el ENS  es  más preciso  y  establece  un  sistema  de protección   proporcionado   a   la información   y   servicios   a   proteger   para   racionalizar   la implantación de medidas de seguridad y reducir la discrecionalidad.

La  norma UNE-ISO/IEC  27002:2009 carece  de  esta  proporcionalidad,  quedando  a  la  mejor opinión del auditor que certifica, la conformidad con la norma UNE ISO/IEC 27001:2007

Por  otra  parte,  el  ENS  contempla  diversos  aspectos de especial  interés  en  relación  con  la protección  de  la  información  y  los  servicios  de  administración  electrónica (por  ejemplo, aquellos relativos a la firma electrónica) no recogidos en la norma UNE-ISO/IEC 27002:2009.

Declaración de conformidad ENS

Teniendo  mi  Servicio/Sistema  certificado  contra la  norma UNE  ISO/IEC 27001:2007, ¿debo entender que ya estoy cumpliendo con el ENS?

Rotundamente, no.

El  Esquema  Nacional  de  Seguridad  y  la norma UNE  ISO/IEC  27001:2007 difieren  en  su  naturaleza,  en  su  ámbito  de  aplicación,  en  su obligatoriedad y en los objetivos que persiguen.

El ENS es una norma jurídica, el Real Decreto 3/2010, que se encuentra al servicio de la realización de derechos de los ciudadanos, de aplicación obligatoria a todas las Administraciones Públicas, y que trata la ‘protección’ de la información y los servicios.

El ISO 27001 es una norma de gestión que indica cómo llegar a tener un   Sistema   de   Gestión   de   Seguridad   de   la   Información   (para   ello   se   apoya   en   las recomendaciones de ISO 27002).

La norma UNE ISO/IEC 27001:2007 es de carácter voluntario,  es una norma de ‘gestión’ que contiene los requisitos para la construcción  de  un sistema de gestión de seguridad de la información, contra la que puede, en su caso, de forma voluntaria, certificarse una entidad.

Sin embargo, cabe precisar que quién haya certificado su Servicio/Sistema conforme a la norma UNE ISO/IEC 27001:2007 está muy cerca de asegurar el cumplimiento del ENS, cuya conformidad debe alcanzarse siguiendo la metodología descrita en los Anexos I, II y III del Real Decreto 3/2010.