Estado de la Seguridad en Organismos Públicos

El 10 de febrero era la fecha de plazo que dio el Centro Criptológico Nacional (CCN) para que los Organismos Públicos den cuenta de sus indicadores en seguridad a través de la herramienta INES.

El Esquema Nacional de Seguridad (ENS) establece la obligación de evaluar regularmente el estado de la seguridad de los sistemas por parte de las Administraciones Públicas. […] Asimismo, el ENS dispone la necesidad de establecer un sistema de medición de la seguridad del sistema estableciendo un conjunto de indicadores que mida el desempeño real del sistema en materia de seguridad, en los siguientes aspectos:

  1. Grado de implantación de las medidas de seguridad.
  2. Eficacia y eficiencia de las medidas de seguridad.
  3. Impacto de los incidentes de seguridad.”

(*) Datos del CCN CERT: https://www.ccn-cert.cni.es/ens/ines.html

Objetivo de saber el Estado de la Seguridad

La recogida de estos datos a través de la herramienta INES no sólo sirve para conocer el estado actual de la seguridad, y saber si las entidades han actuado o no a la hora de protegerse, sino que también permite aprovechar todas las oportunidades de desarrollo y trabajo para seguir asegurando la protección de la información.

De estas oportunidades pueden surgir líneas de trabajo que para ser abordadas requieren contar con los recursos necesarios, ya sea personal técnico o sistemas específicos dedicados a la seguridad de TI. Aunque los Organismos Públicos disponen de personal interno y sistemas software y hardware como patrimonio del Estado, la limitación de estos hace que dichos organismos recurran a empresas externas que pueden proveer estos servicios: conocimiento, experiencia e infraestructura TIC. Esta es una oportunidad que puede ser aprovechada por las empresas dedicadas a la seguridad de la información, no solo para cubrir las carencias de los Organismos Públicos sino también como efecto “tractor” para dar empuje a otros servicios tecnológicos.

Conocer el estado de la Seguridad de los Organismos Públicos actuará también de motor para mejorar la cualificación del personal técnico y poner en marcha planes de carrera en el ámbito de la seguridad.

Análisis y resumen de la ponencia del “Estado de Seguridad 2016 (INES- Datos 2015)”

En las pasadas Jornadas STIC (diciembre de 2016) se presentaron los resultados del Estado de la Seguridad con los datos de INES recogidos a fecha de 2015. El porcentaje de participación fue el siguiente: 96% de la Administración General del Estado (AGE), 90% de las Comunidades Autónomas (CCAA), 66% de las Entidades Locales (EELL) y 88% de las Universidades Públicas.

Los datos y resultados mostrados no entran en mayor detalle ya que tienen carácter confidencial. Es necesario tener en cuenta que los datos suministrados por las entidades son subjetivos, ya que cada una de ellas entiende su nivel de seguridad dependiendo de la “dureza” con que se trate a sí misma, o con el nivel de “buena consideración” que tenga sobre su funcionamiento. Aun así, hay que aclarar que las entidades ingresan en INES datos cuantitativos y que algunos de estos indicadores se sustentan por el nivel de madurez según los análisis de riesgos que se hayan realizado en la entidad, que sin embargo, no deja de basarse en autoevaluaciones que se plasman a través de indicadores de buena fe o máxima exigencia. (Parte de estas asunciones son del ponente con las que estoy de acuerdo desde mi perspectiva y opinión profesional).

En las jornadas STIC se indicó que las entidades muestran interés y predisposición por trabajar en asegurar sus sistemas de información, lo que es de agradecer, tanto en nuestro papel de ciudadanos como de profesionales de la seguridad. Las áreas en las cuales aún falta por trabajar y donde más oportunidades hay son: la gestión de cambios y mantenimiento, la gestión de la configuración, el registro de actividad de los usuarios, la gestión de incidentes, el cifrado y manejo de soportes, y en la formación y concienciación.

A continuación se muestra el grado de cumplimiento (no de participación, que son los porcentajes incluidos previamente) y Estado de la Seguridad (datos de 2015):

Aparte de lo dicho, se quiere fomentar la auditoría de conformidad con el ENS para sistemas de nivel medio-alto, con el fin de mejorar la objetividad de los resultados de INES. También se pretende incrementar por parte de los Organismos Públicos el uso de las medidas de seguridad de carácter horizontal que ofrece el Estado a través de las soluciones del CCN (SAT SARA, SAT INET, puntos de agregación a las salidas de Internet, etc.).

(**) Herramientas del CCN.

Prediciendo el futuro. Lo que nos espera del “Estado de Seguridad 2017 (INES- Datos 2016)

Partiendo de la información mostrada en la ponencia en el STIC, a vista de pájaro y siendo conscientes del escenario político y económico español que hemos tenido durante 2016, podemos aventurarnos a hacer algunas hipótesis.

Los datos de 2016 seguramente indicarán avances en comparación a lo recogido de 2015, dado que los Organismos cada vez son más conscientes de los retos futuros, y han podido trabajar a lo largo del año con la ayuda del CCN y de las empresas colaboradoras en sus iniciativas.

Sin embargo, el parón político en 2016 es probable que muestre que este avance sea menor del deseado, dado que para aprobarse, muchas iniciativas técnicas probablemente requerían pasar por responsables que en ese momento tenían poco poder de decisión. También es de esperar que incluso algunas acciones de mayor impacto presupuestario se mantuviesen en standby a la expectativa de lo que surgiera en las urnas. Por último, la falta de presupuesto durante el último trimestre del año se mostrará sin duda como uno de los principales factores que hizo que muchos proyectos de seguridad no salieran adelante o se postergaran. Si esto es así veremos el cambio en los datos de 2017.

Por último, es importante recalcar, que por más leyes, normativas y estándares existentes, si no hay una cultura de la seguridad en las entidades, a nivel de usuario, técnico y de alto nivel, además de los recursos tanto humanos como de infraestructura, es muy difícil que el avance se realice a la velocidad y con la seguridad que el futuro requiere.

Para más información sobre las ponencias de las Jornadas STIC de 2016, puede acceder al link: https://www.ccn-cert.cni.es/xjornadas-ponencias