En este caso, abordamos la segunda parte de nuestro post con el que pretendemos abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).

Si bien en el primero de los artículos hablábamos del  ámbito de aplicación del ENS (sujetos obligados) y los fundamentos jurídicos, en este caso hablamos del concepto de servicio en el ENS desde la perspectiva del Sector Público.

3.1 El concepto de servicio en el ENS desde la perspectiva del Sector Público
No podemos perder de vista que el objeto del Esquema Nacional de Seguridad es dar cumplimiento a los requisitos de seguridad de los servicios prestados por el Sector Público a la ciudadanía, apoyándose en medios electrónicos, asegurando los sistemas de información en que se apoyan.

En consecuencia, este concepto de “servicio público”, entendido como el servicio en sí, junto a los datos por él tratados, es el que determinará la categoría del sistema que lo soporta o, en otras palabras, del sistema que es requerido para que pueda prestarse el servicio.

Dicho sistema puede ser titularidad de la Administración Pública, serlo únicamente en parte o no serlo en ninguna, por haberse externalizado parcial o totalmente en el Sector Privado.

3.2 El concepto de servicio en el ENS desde la perspectiva del Sector Privado
Como ya se ha visto, los operadores pertenecientes al Sector Privado que prestan servicios contratados o aportan soluciones contratadas al Sector Público, también están obligados por las disposiciones del ENS, según se determina en el capítulo VII de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad.

Pero dichos servicios contratados desde el Sector Público al operador privado, entendidos como una forma de materializar la externalización de sistemas o subsistemas públicos, o de su gestión, no deben confundirse con los servicios públicos que el organismo contratante presta a la ciudadanía. Estos últimos, los servicios públicos, son los denominados propiamente como SERVICIOS en el ENS. Los otros, los servicios contratados, son considerados por el ENS como SISTEMAS o subsistemas externalizados, pese a que en ocasiones pueda haber total correspondencia entre unos y otros.

4. Valoraciones en interconexión de sistemas
Sobre valoraciones ante interconexión de sistemas puede consultarse el apartado 5.4 “Terceras partes” de la Guía CCN-STIC 803 (Valoración de los Sistemas) en cuya revisión han participado José Antonio Mañas y AUDERTIS.

4.1 Sistema que maneja información de terceros
Si un sistema maneja información de terceros, o le presta servicios, la valoración de esa información y esos servicios será la determinada por el tercero, titular de los servicios públicos prestados a la ciudadanía. Es irrelevante que el sistema que maneja la información sea titularidad del Sector Público o del Sector Privado.

Un ejemplo podría ser una Diputación Provincial que preste servicios a determinados Ayuntamientos (Público – Público) o un prestador de servicios de Cloud que presta servicios de IaaS a un Ayuntamiento (Privado – Público).

Figura 3. Sistema que maneja información de tercerosEn ausencia de valoración, el Responsable de Seguridad del organismo que maneja el sistema de información externalizado, sea público o privado, la establecerá según su mejor criterio y, en consecuencia, categorizará el sistema acorde a dicha valoración.

4.2 Organismo que se apoya en sistemas de terceros
A “sensu contrario” de lo expresado en el apartado anterior, cuando el Sector Público utiliza sistemas de terceros para tratar información o para prestar servicios, la valoración propia será impuesta al tercero que colabora, que la tendrá en cuenta en su propio Plan de Adecuación. Es irrelevante que el tercero sea también del Sector Público, o sea del Sector Privado.

La próxima semanas abordaremos el tercer y último artículo con el que cerraremos esta serie relacionada con las Organizaciones privadas en el Esquema Nacional de Seguridad.

José Luis Colom Planas

Garantizar unas condiciones de seguridad

Tanto las empresas públicas que prestan servicios a la ciudadanía, como las empresas privadas que colaboran en esos servicios, deben garantizar al ciudadano unas condiciones mínimas respecto a la seguridad.

Los servicios prestados y la información que éstos tratan están sometidos a amenazas, lo que implica riesgos de que se éstas se materialicen. Pueden provenir de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres. Por eso, es tan importante ajustarse al Esquema Nacional de Seguridad (ENS). Su objetivo principal es reforzar la protección de las Administraciones Públicas frente a las «ciberamenazas» que evolucionan a gran velocidad.

El ciudadano utiliza cada vez más los medios electrónicos en trámites con la Administración Pública y, en este sentido, es necesario que esta relación se realice en unas condiciones de seguridad y confianza. El ENS crea esas condiciones necesarias de confianza en el uso de los medios electrónicos y establece las medidas necesarias para preservar derechos fundamentales de los ciudadanos. Principalmente, garantiza los servicios soportados por los sistemas mediante seguridad gestionada y, por extensión, también la protección de la información incluyendo los datos de carácter personal. Recordemos que el derecho a la intimidad y a la protección de datos son Derechos fundamentales.

La legislación en materia de seguridad

De hecho, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizando la protección de los datos de carácter personal, y facilitando preferentemente la prestación conjunta de servicios a los interesados. El Esquema Nacional de Seguridad se recoge expresamente en el artículo 156 LRJSP.

Es muy importante remarcar la importancia del ENS ya que todos los proveedores de las Administraciones Públicas deben garantizar que sus tecnologías soluciones y servicios prestados al Sector Público cumplen íntegramente con los requisitos dispuestos por el Esquema Nacional de Seguridad. Con la protección adecuada se garantiza que los sistemas en el alcance del ENS funcionen de forma segura y controlada.

Medidas del ENS

Se puede enfocar la seguridad desde diferentes perspectivas, pero siempre en el sentido más amplio ya que se trata de una cuestión global. Si ponderamos determinados aspectos en detrimento de otros haremos buena aquella frase de -la cadena y el eslabón- que nos recuerda que la fortaleza de un sistema de seguridad es equivalente a la más débil de cualquiera de sus componentes.

El primer enfoque está basado en atender a cuestiones organizativas, legales y técnicas: Organizativas ya que hablamos de seguridad gestionada para que no solo perdure en el tiempo, sino que persiga la mejora continuada; legales para proporcionar la suficiente seguridad jurídica respecto a las diferentes partes interesadas que intervienen y con las que se relaciona el sistema; y técnicas para materializar los mecanismos oportunos de protección que nos brinda la tecnología.

El propio ENS tiene en cuenta estos mismos conceptos en las 75 medidas de seguridad determinadas en su Anexo II, aunque agrupados de distinta manera: marco organizativo, dónde se contemplan la política de seguridad, los roles y responsabilidades, las normas internas y los procedimientos relacionados con la gestión de la seguridad; Marco operacional, donde se planifica el sistema de gestión de la seguridad orientado al ENS, la gestión del riesgo, procedimientos de gestión de incidencias, de cambios, de la capacidad, control de acceso, control de los servicios externalizados, gestión de la continuidad según la categoría del sistema…; y Medidas de protección ya sea de las instalaciones, de las comunicaciones, de las propias aplicaciones incluyendo su desarrollo, de la información y de los servicios, sin olvidar las de gestión del personal.

Certificado de Conformidad

AUDERTIS realiza el servicio de certificación de conformidad con el ENS después de una minuciosa auditoria, según el anexo II del Real Decreto 3/2010 y modificaciones posteriores. Se basa en los requisitos de la norma ISO 17065:2012 y en las orientaciones de la Guía CCN-STIC 802 de Auditoría, revisada en abril de 2017, en la que hemos tenido el placer de colaborar.

El Certificado de Conformidad con las disposiciones del ENS no es únicamente una obligación legal; es un reconocimiento que posiciona a las organizaciones, ya sean pertenecientes al Sector Público o Privado, garantizando que cumplen las actuales exigencias en materia de seguridad. En relación a la certificación de conformidad del ENS para el Sector Privado y como afirmó en las pasadas Jornadas de Ciberseguridad Óscar Bou, socio de AUDERTIS, los proveedores de la Administración estarán certificados, o no lo serán.