Hoy veremos el último paso para implantar el ENS o Esquema Nacional de Seguridad:

EL PLAN DE ADECUACIÓN

El  ENS  especifica  que  si  no  es  posible,  en  plazo  y  forma,  la  adecuación  al  mismo,  la  entidad  deberá  contar  con  un  plan  de  adecuación. 

Los  detalles  de  cómo  desarrollarlo  se  recogen  en  la  GUÍA  DE  SEGURIDAD  (CCN-STIC-806)  ESQUEMA  NACIONAL DE SEGURIDAD – PLAN DE ADECUACIÓN.

Este plan de adecuación contendrá la siguiente información:

  • 1. La política de seguridad.
  • 2. Información que se maneja, con su valoración.
  • 3. Servicios que se prestan, con su valoración.
  • 4. Datos de carácter personal.
  • 5. Categoría del sistema.
  • 6. Declaración de aplicabilidad de las medidas del Anexo II del ENS.
  • 7. Análisis de riesgos.
  • 8. Insuficiencias del sistema.
  • 9. Plan de mejora seguridad, incluyendo plazos estimados de ejecución.

El Plan de Adecuación lo desarrollará el Responsable de Seguridad, cuando lo haya, o la persona a la que se asigne esta función de forma temporal.

1 LA POLÍTICA DE SEGURIDAD

Idealmente, el organismo dispondrá de una política de seguridad  conforme  a  lo  que  se  pide  en  el  Anexo  II  del  ENS,  por  lo que sólo será necesario identificarla y anexarla al plan de adecuación.

Pero si no es así, el plan tendrá que recoger la planificación  de  la  modificación  de  la  política  de  seguridad  existente, o el desarrollo de una nueva política, que cumpla con todos los requisitos.

2 VALORACIÓN DE LA INFORMACIÓN QUE SE MANEJA

Hay que detallar la información que se maneja, y valorarla según se establece en el ENS.

En  una  entidad  en  la  que  no  haya  una  política  de  seguridad  clara  y  definida,  puede  resultar  problemático  llevar  a  cabo,  tanto el inventario de toda la información utilizada en la prestación de los servicios, como posteriormente valorarla, ya que no  habrá  criterios  definidos  para  hacerlo  y  faltarán  algunos  propietarios. 

Si  fuera  así,  el  Responsable  de  Seguridad, o  la  persona  designada  para  llevar  a  cabo  sus  funciones,  tendrá  que realizar esta valoración según su leal saber y entender, dejando constancia de los motivos y razonamientos para determinar las valoraciones documentadas.

Esta  valoración  es  meramente  provisional  para  los  efectos  del plan, y deberá realizarse una valoración formal en un plazo adecuado, documentándose dichas tareas en el plan.

3 VALORACIÓN DE LOS SERVICIOS QUE SE PRESTAN

De manera análoga a lo indicado en la sección anterior para la información, debe realizarse la valoración de los servicios.

Para ello, deben enumerarse los servicios que se prestan, y valorarlos.

Cuando no hay política de seguridad por la que regirse para hacer esta valoración, faltan responsables de los servicios. o la valoración de la información no está aprobada formalmente,  se  realizará  una  valoración  provisional,  especificando  su  plazo de validez, pasado el cual deberá haberse realizado una valoración formal.

ENS VI. Plan de Adecuación

4 DATOS DE CARÁCTER PERSONAL

Cuando el sistema maneja datos de carácter personal, deberá incluirse la relación detallada de dichos datos en el plan de adecuación.

Para ello es suficiente hacer referencia al Documento de Seguridad requerido por el RGPDD y la LOPDgdd de Protección de Datos de Carácter Personal existente en la entidad.

5 CATEGORÍA DEL SISTEMA

Con las valoraciones disponibles de la información y los servicios,  el  Responsable  de  Seguridad debe  establecer  la  categoría  del  sistema,  siguiendo  los  criterios  y  pasos  recogidos  en  el  Anexo I del ENS.

Una estrategia eficaz para reducir la utilización de recursos es segregar los sistemas en sub-sistemas, si es posible.

De esta manera se aplicarán las medidas de seguridad, exigidas para niveles altos, específicamente a aquellos segmentos del sistema  que  lo  requieran,  y  no  al  sistema  completo,  que  requeriría mucho más esfuerzo.

6 DECLARACIÓN DE APLICABILIDAD

El Responsable de Seguridad, a la vista del nivel del sistema y de los requisitos planteados para la protección de los datos de  carácter  personal,  documentará  la  lista  de  las  medidas  aplicables al sistema.

7 ANÁLISIS DE RIESGOS

Otro  de  los  puntos  a  incluir  en  el  Plan  de  Adecuación  es  un  análisis de riesgos, según lo descrito en el Anexo II del ENS para la categoría establecida, para el sistema.

En este análisis de riesgos se valorarán las salvaguardas presentes en la fecha de aprobación del plan de adecuación, de manera que se cuente con un mapa de riesgos actuales.

8 INSUFICIENCIAS DEL SISTEMA

Hay  que  identificar  y  documentar  las  carencias  en  el  actual  sistema de gestión de seguridad de la información, que pueden detectarse en varios aspectos:

  • Desviaciones de lo exigido en el Anexo II para valorar el sistema y seleccionar medidas de seguridad.
  • Existencia de riesgos que no son aceptables por el organismo.

Los riesgos residuales (los que quedan tras la aplicación de las medidas de seguridad seleccionadas) deben ser aceptados por los responsables de la información y servicios afectados.

Puede darse el caso de que no todos los responsables estén designados o que la aceptación del riesgo no sea formal,  por lo que el  Responsable  de  Seguridad  tomará  la  decisión  a  su  mejor  criterio,  indicando  por  qué  y  cómo  ha  llegado  a  esas  decisiones de aceptación, o no, del riesgo residual.

9 PLAN DE MEJORA DE LA SEGURIDAD

Partiendo de la información recopilada, y teniendo en cuenta las carencias detectadas, se elaborará un plan de mejora de la  seguridad  que  detallará  las  acciones  que  se  van  a  tomar  para subsanarlas.

Además,   para  cada  una  de  las  acciones  que  se  tomarán,   se  documentará:

  • Las insuficiencias que subsana.
  • El plazo previsto de ejecución, indicando fecha de inicio y fecha de terminación.
  • Los principales hitos del proyecto.
  • Una estimación del coste que supondrá.

Con el Plan de Adecuación que hemos expuesto hoy, los principios básicos que deben marcar el ENS o Esquema Nacional de Seguridad, como primer paso, así como los requisitos mínimos de seguridad, como segundo paso, y las comunicaciones electrónicas, como tercer paso, ya hemos finalizado con el Esquema que cualquier empresa que tenga proyectos en vigor, o desee participar en ofertas y licitaciones con algún Organismo Oficial debe contar, lo que le supondrá una diferencia competitiva importante, y en breve, es probable que sea una cláusula obligatoria para participar en una licitación.