Estoy certificado en la ISO 27001, ¿me sirve cómo conformidad con el ENS?

Esta es la pregunta que muchas organizaciones se estarán planteando en estos momentos. Pues la respuesta por suerte o por desgracia es NO, o mejor dicho no del todo. Aunque quienes poseen este certificado tienen bastante camino hecho, hay algunos detalles que van hacer que tengan que “arremangarse” para conseguir la conformidad con el ENS.

El CCN-CERT tiene publicada una guía con fecha de 2013, la CCN-STIC 825, que trata de aclarar algunos temas al respecto. Como este tema ha generado tanta controversia, en este post trataré de hacer un pequeño resumen de lo que se expone en esta guía para que seamos conocedores de aquello que, según el ENS, nos falta aunque tengamos la certificación.

Antes de entrar en lo que se expone en la guía, si nos paramos a leer el ENS y estamos certificados en la ISO 27001, o por lo menos sabemos de qué va, seguro que hay cosas que nos suenan muy de cerca, destacando por ejemplo Gestión de la seguridad basada en los riesgos, Proceso de Mejora Continua, etc.

Entrando en el detalle sobre lo que se explica en la guía:

En primer lugar, se hace referencia a la ISO 27001 como un soporte de cumplimiento del ENS, y trata de clarificar qué controles son necesarios para el cumplimiento de cada medida del Anexo II del ENS. En resumen, y cito textualmente lo que pone en la guía “si el organismo tiene una certificación 27001 y se han cubierto los controles referenciados de la 27002, con incorporar lo adicional se puede considerar cumplido el Anexo II”.

Para empezar nos “recuerda” que si bien la certificación en la ISO 27001 es de carácter voluntario, el cumplimiento con el ENS es una disposición legal de obligado cumplimiento. Así mismo, nos indica que del Anexo II del ENS los requisitos que se tienen que cumplir varían en función de la categoría del sistema mientras que en la 27001 se basa en si “el control es suficiente a criterio del auditor”.

A continuación, podemos observar una tabla tipo “semáforo” en la que a primer golpe de vista podremos observar aquellos aspectos del ENS que no están cubiertos aunque estemos certificados en la 27001. La guía distingue los siguientes niveles:

Fuente: Guía de seguridad (CCN-STIC 825)

Fuente: Guía de seguridad (CCN-STIC 825)

De esta forma se nos muestra la tabla de medidas de seguridad del ENS y para cada una nos aparece el nivel de “cobertura” si estamos certificados en la 27001. A partir de esta tabla, la guía explica para cada medida del ENS el por qué se considera cubierta o no.

Empezando por el marco organizativo, las medidas de seguridad estarían cubiertas con nivel 1, no obstante se deja constar que en el ENS se distingue claramente entre la Política de seguridad de la Información y la normativa de seguridad. Del mismo modo también se aprecian diferencias en el proceso de autorización que requiere el ENS.

Pasando al marco operacional, en Planificación observamos que lo referente a Componentes Certificados no estaría cubierto por ningún control de la ISO, por lo que tendríamos que analizar esta medida en profundidad y ver qué debemos implantar (si es que las tenemos que implantar)…

Continuando con control de acceso, llama la atención que la guía establezca como no cubierto el Mecanismo de Autenticación, la explicación que se da es que el ENS establece varios modos de autenticación en función de la categoría del sistema.

Seguimos en el marco operacional, cuando llegamos a explotación aparecen más medidas por cubrir como son la Configuración de Seguridad y la Gestión de la configuración. Sin hacer un análisis exhaustivo de lo que dice el ENS al respecto, me cuesta creer que nada de lo que ya tenemos si estamos certificados en la ISO pueda cubrir estos aspectos pero dado que este post trata de dar una visión general de la guía, lo dejamos estar y si es necesario lo analizaremos en futuros posts. En cualquier caso y en una auditoria del ENS deberemos justificar muy bien que lo que tenemos cumple con lo que dice el ENS.

Finalizando con el marco operacional, y aunque lo que quiero destacar en el post es lo que dice la guía que nos “faltaría”, me alegra saber que todo lo referente a continuidad del servicio está en “verde, nivel 0” por lo que estaría cubierto.

Si seguimos avanzando por la tabla (medidas de protección), nos encontramos que lo que se refiere a medidas de protección de la información, la guía indica que la ISO no hace referencia a lo relativo a Firma electrónica, Sellos de tiempo, Limpieza de documentos en los términos que se refiere el ENS. Concretamente, en lo que se refiere a la firma electrónica se indica que el ENS va encaminado a ofrecer garantías en el proceso administrativo y ese aspecto no queda contemplado en la ISO.

Al final de la tabla, referente a la protección de los servicios, nos encontramos dos medidas las cuales según la guía no son contempladas en la ISO, nos referimos a la Protección de servicios y aplicaciones web y Protección frente a la denegación de servicio.

Como conclusión, podemos decir que esta guía puede servir de base (a aquellos que están certificados en la ISO) para saber por dónde empezar (o por dónde no empezar…). Para conseguir la conformidad con el ENS, así mismo sugiero hacer una buena clasificación de nuestros sistemas puesto que así sabremos realmente qué medidas son aplicables. Intentar “casar” lo que ya tenemos con lo que pide ENS, teniendo en cuenta que deberemos justificar el cumplimiento: si no cumple exactamente ver qué tendríamos que modificar y si nos falta del todo pues no queda más remedio que hacerlo.

Por último tener en cuenta que puede que aunque no lo tengamos documentado puede que sí que lo estemos haciendo según los requerimientos del ENS, obtengamos entonces las evidencias del cumplimiento, la argumentación para el auditor y olvidémonos de escribir siempre y cuando no aparezca la palabra “documentar”. No obstante, para un consultor siempre es bueno tener una buena documentación a la que poder acudir.

Ya se ha dado el pistoletazo de salida, arremanguémonos pues, y si hemos conseguido la certificación en la 27001 ¿Por qué no vamos a conseguir la conformidad con el ENS?

Fuente: Guía de seguridad (CCN-STIC 825) Esquema Nacional de Seguridad Certificaciones 27001

Comments

  1. César Peñacoba says

    “Finalizando con el marco operacional, y aunque lo que quiero destacar en el post es lo que dice la guía que nos “faltaría”, me alegra saber que todo lo referente a continuidad del servicio está en “verde, nivel 0” por lo que estaría cubierto.”

    Sobre este comentario, me gustaría añadir el mío. La norma 27002 de 2013 modifica de forma sustancial lo indicado en cuanto a continuidad de negocio a lo que decía su versión anterior, la de 2005. En efecto, en ésta, la sección de continuidad abarcaba toda la organización dentro del alcance.

    En la versión de 2013, se le da un giro importante, puesto que se orienta hacia la continuidad de los servicios de seguridad de la información. Por ejemplo, si se dispone de un SOC, pues asegurarse que lo que desde él se hace, se siga realizando en situaciones de contingencia, tal vez desde un centro alternativo.
    Todo lo más, se indica que se debe dotar de redundancia a los sistemas.

    Si volvemos a lo que indica el ENS en su apartado de Continuidad del Servicio, dentro del Marco Operacional, comentan que se debe hacer un Análisis de Impacto, un Plan de Continuidad y Pruebas Periódicas.

    Si una organización ha usado ya la versión 2013 de la ISO 27002, seguramente no habrá hecho nada de ello para todos los servicios y/o aplicaciones dentro del alcance, sino sólo para lo relacionado con las actividades del departamento de seguridad de la información, o equivalente.

    Como la guía CCN-STIC se elaboró en Nov 2013, es posible que las empresas certificadas en ese momento respecto ISO 27001 sí cumplieran, puesto que se habrían basado en la versión 2005 de las ISO.

    No obstante, a día de hoy, creo que la única garantía de cumplir eficazmente con los 3 controles op.con.* es implantarlos directamente, o bien tener la certificación ISO 22301

  2. el tio tonet says

    muchísimas gracias Eva, me has aclarado muchas dudas.