En diciembre el CCN publicó la guía 809 sobre “Declaración y Certificación de Conformidad con el ENS y distintivos de cumplimiento”.
Se trata de una guía que por un lado define un marco de auditoría y revisión de la conformidad con el Esquema Nacional de Seguridad (en adelante ENS), y por otro incluye explícitamente en el alcance a organizaciones del sector privado que participen en la prestación de servicios afectados por el ENS.
Es cierto que hasta ahora los sistemas dentro del alcance del ENS debían ser auditados cada dos años, pero los requisitos de esta auditoría no habían sido definidos. Además, si la administración pública contrataba servicios TI afectados por el ENS, era de esperar que durante su auditoría se auditase también a sus proveedores, de modo que la nueva guía parece no incluir demasiados cambios.
Entonces, ¿qué es lo que ha cambiado?
Para los sistemas de categoría básica la guía no aporta grandes cambios ya que basta con hacer una autoevaluación tal como indicaba el ENS en su anexo III, y publicar una declaración de conformidad en el sitio web similar a la del artículo 41 del ENS.
No obstante, para los sistemas de categoría media y alta, la situación cambia bastante. Hasta ahora el único requisito era hacer una auditoría de los sistemas, la cual podía ser realizada tanto de forma interna o por un tercero, mientras que a partir de ahora estos sistemas tendrán que ser auditados por una Entidad de Certificación acreditada por el CCN y por ENAC. Tras la auditoría, los organismos deberán publicar en su sitio web un certificado de conformidad.
Cabe destacar que en febrero hubo una revisión de la guía 809 en la que se eliminaron detalles del proceso para convertirse en Entidad de Certificación, quedando como única indicación ser acreditados por ENAC “para la certificación de sistemas conforme a UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios, para la certificación de sistemas del ámbito de aplicación del ENS.”
Para conocer qué organizaciones pueden certificar el cumplimiento del ENS, el CCN mantendrá una relación actualizada de las mismas, tanto de aquellas que ya estén acreditadas, como de las que estén en proceso.
Estas certificaciones serán el sustituto natural a las extraoficiales que hemos venido viendo en prensa:
Quedará por aclarar párrafo 26 de la guía que dice así:
“Estarán exentas del cumplimiento de los requisitos señalados en los párrafos anteriores aquellas entidades, órganos u organismos vinculados o dependientes de las Administraciones Públicas cuyas competencias se correspondan con el desarrollo de auditorías de sistemas de información y así conste en su normativa de creación.”
¿Quedarán automáticamente registradas como Entidad de Certificación? ¿Serán las encargadas de certificar a administraciones públicas? Tendremos que esperar a la instrucción técnica donde se desarrollen estos detalles.
¿Qué implicaciones tiene para proveedores de TI? ¿Deberán certificarse por su cuenta?
La redacción de la guía no acaba de ser concluyente ya que dice “deberán estar en condiciones de exhibir los distintivos de conformidad”. Tendría sentido que el sistema propio de la administración pública y la plataforma del proveedor se auditasen de forma conjunta, aunque teniendo en cuenta cómo se gestionan ahora otras certificaciones, todo parece indicar que cada proveedor deberá obtener el distintivo por su cuenta.
Dependiendo del tipo de servicio prestado, esta certificación puede no ser trivial ya que hay controles de cumplimiento del ENS, especialmente los de nivel alto, que pueden requerir de importantes inversiones, imposibles de abordar por muchas PYMES. Además, cualquier proveedor que desee obtener su distintivo de cumplimiento antes de ser contratado se enfrentará a una importante decisión: ¿qué nivel de medidas implantar? Como acabamos de mencionar, hay controles económicamente exigentes (centro de respaldo, cortafuegos redundados y de diferentes fabricantes, requisitos de autenticación altos, etc.) por lo que la decisión no es trivial.
¿Y qué sucederá con aquellos servicios ya externalizados y que cumplen, pero que no están certificados? Según la guía, deberá notificarse a los proveedores la obligatoriedad de certificarse (si el nivel lo requiere), por lo que seguramente deberán cumplir aunque el contrato fuese previo:
“Es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondientes Declaraciones o Certificaciones de Conformidad”
¿Es la certificación el camino a seguir?
Tal como vimos en un post anterior, el ENS está lejos de tener un nivel de implantación satisfactorio: muchos organismos no se han adecuado, otros tantos dicen que cumplen pero rara vez se aportan evidencias, y el sector privado está expectante a que la administración pública lo exija, por lo que incorporar la figura de la certificación puede parecer una buena opción.
Además, la similitud de la estructura y controles del ENS y la ISO 27001 harán que empecemos a ver muchos SGSI mixtos que den doble cumplimiento a ambos marcos facilitando la doble certificación, algo que hasta ahora está poco extendido más allá de tablas para mapear los controles.
No obstante, harán falta mecanismos para forzar a todos los implicados a cumplir, definir unos plazos realistas, dotar de recursos humanos, tecnológicos y económicos a la administración pública, y sobretodo hacer que el proceso de certificación sea asequible y ágil para que el cumplimiento del ENS sea el estándar de seguridad a alcanzar por la administración pública y proveedores, y no un distintivo para que lo luzcan los pocos que han hecho los deberes.