RESUMEN: Con este artículo se pretende abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).

ARTÍCULO:

1. Introducción

Con este artículo se pretende abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).

Se basa en la experiencia práctica adquirida auditando y certificando la conformidad respecto a las disposiciones del ENS a diferentes organizaciones de esta naturaleza. Nos permitimos apuntar posibles soluciones generalistas ante algunas cuestiones suscitadas durante la Certificación de Conformidad, que siempre deben ser tomadas con las correspondientes cautelas ante el caso particular.

Jamás un artículo de ámbito general debe sustituir a la labor de asesoramiento que realizan organizaciones de consultoría especializada.

1. Ámbito de aplicación del ENS (sujetos obligados). Fundamentos jurídicos.

Por un lado, el ENS se encuentra legislado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y modificado posteriormente por el Real Decreto 951/2015, de 23 de octubre. Su ámbito subjetivo de aplicación se determina en el artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) que, focalizando en el sector privado señala en su apartado 1 “La presente Ley se aplica al sector público que comprende: (…) d) El sector público institucional”, continuando en el apartado 2 “El sector público institucional se integra por: (…) b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas”.

Vemos así que las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas adoptan la condición de sujeto obligado por el ENS, a todos los efectos.

Por otro lado, el capítulo “VII. Soluciones y servicios prestados por el sector privado” de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad [1], dispone que “cuando los operadores del Sector Privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas. Será responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondientes Certificaciones de Conformidad”.

Es un requisito que ya se está viendo materializado en los pliegos de condiciones para los diferentes concursos públicos, con la solicitud de los correspondientes Certificados de Conformidad como condición ineludible para la contratación.

Vemos así que los proveedores de las Administraciones Públicas, con incidencia relevante en los servicios prestados por éstas en el ámbito del ENS, adoptan también la condición de sujeto obligado, a todos los efectos.

2. Doble vía de obligación para organizaciones pertenecientes al Sector Privado.

Hemos deducido, a partir de los fundamentos jurídicos anteriores, que las organizaciones pertenecientes al Sector Privado pueden estar obligadas por el ENS, en igual medida que las pertenecientes al Sector Público, dependiendo de:

• Si son sujetos obligados, al encontrarse vinculadas o dependientes de las Administraciones Públicas.
• Si proporcionan soluciones, o prestan servicios, directamente a algún sujeto obligado por el ENS, ya sea una Admiración Pública o cualquier otra organización vinculada o dependiente.

2.1 Operadores pertenecientes al Sector Privado que prestan servicios o proveen soluciones

Hemos visto a partir de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad la obligación inferida a los operadores del Sector Privado que presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS por ser relevantes para los servicios públicos ofrecidos a la ciudadanía que se apoyen, directa o indirectamente, en medios electrónicos.

Un caso particular, bastante habitual en la práctica, son las cadenas de subcontratación de proveedores, en la que un proveedor presta servicios a otro que a su vez se encuentra en la situación del último punto anterior. En este escenario, todos los proveedores que forman parte de la cadena deben estar Certificados de Conformidad respecto a las disposiciones del ENS (Para categorías del sistema MEDIA y ALTA).

Una primera alternativa, si uno de ellos todavía no está en posesión de la correspondiente certificación de conformidad acreditada, es “solicitar” al proveedor que se certifique, incluso dándole un plazo para hacerlo si no quiere perder un cliente, de forma que no frene la propia certificación, más aún, impida de facto la certificación de todas las demás organizaciones que se apoyan en sus servicios en el ámbito del ENS.

Una segunda alternativa consiste en que la entidad de certificación audite a dicho proveedor por cuenta de quién desea certificarse y no puede debido a que su proveedor no lo está. Viene a ser algo así como una auditoría de certificación (tercera parte) con formato de auditoría de proveedor (segunda parte).

Figura 1. Necesidad de auditar al proveedor

Pongamos un ejemplo para aclarar conceptos: Imaginemos un desarrollador de software que trabaja para la Administración mediante su plataforma imaginaria “GESPADM”. Dicha plataforma el primer proveedor la entrega en modalidad SaaS como servicio, que se apoya en un segundo prestador de servicios de infraestructura (IaaS) en la Nube. Si el proveedor titular de “GESPADM” desea certificarse, pero su proveedor de IaaS no dispone de la certificación de conformidad con el ENS, deberá acordar con ambos -su proveedor de IaaS y la entidad de certificación- que se extienda el alcance de la auditoría también al proveedor de IaaS, aunque éste no opte de momento a la certificación.

Este proceder es factible para proveedores que se encuentran ubicados en España, pero más difícil de materializar para proveedores en otros países del mundo. De todas formas, la primera alternativa suele ser más práctica que la segunda, dado que puede limitarse el alcance de la certificación únicamente al requerido por el cliente y más adelante ampliarlo de forma generalista.

2.2 Entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas

Como se detalla en la Guía de Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad” [2] hay que tener especial consideración, por suscitar posibles dudas, con las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, siendo como son sujetos obligados por el RD 3/2010:

• Las entidades de derecho privado pertenecientes al Sector Público Institucional, como pueden ser RENFE, AENA, INCIBE o TMB, entre muchas otras.
• Las entidades de derecho privado vinculadas o dependientes de las comunidades autónomas, como TVC Multimedia SL, Ciudad de las Artes y las Ciencias SA, Televisión Autonómica de Aragón, Empresa Municipal de Servicios de Tres Cantos SA o Circuito de Jerez SA, entre muchas otras. El ENS les será de aplicación cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por ésta.
• Las entidades de derecho privado vinculadas o dependientes de la Administración de las entidades locales, como pueden ser la Empresa Municipal de Transportes de Madrid SA, Barcelona de Serveis Municipals SA o Centro de Informática Municipal de Bilbao SA, entre muchas otras, en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta.
• Las entidades de derecho privado y fundaciones, como son RTVE, Fundación del Teatro Real, Empresa Nacional de Residuos Radiactivos SA, entre otras, en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.

 

3. El concepto de servicio y de Sistema

3.1 El concepto de servicio en el ENS desde la perspectiva del Sector Público

No podemos perder de vista que el objeto del Esquema Nacional de Seguridad es que se dé cumplimiento a los requisitos de seguridad de los servicios prestados por el Sector Público a la ciudadanía, apoyándose directa o indirectamente en medios electrónicos, velando para que se aseguren los sistemas de información en que se apoyan.

En consecuencia, este concepto de “servicio público”, entendido como el servicio en sí, junto a los datos por él tratados, es el que determinará la categoría del sistema que lo soporta o, en otras palabras, del sistema de información que es requerido para que pueda prestarse el servicio.

Dicho sistema puede ser titularidad de la Administración Pública, serlo únicamente en parte o no serlo en ninguna, por haberse externalizado parcial o totalmente en el Sector Privado.

3.2 El concepto de servicio en el ENS desde la perspectiva del Sector Privado

Como ya se ha visto, los operadores pertenecientes al Sector Privado que prestan servicios contratados o aportan soluciones contratadas al Sector Público, también están obligados por las disposiciones del ENS, según se determina en el capítulo VII de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad.

Figura 2. Diferencia entre SERVICIO PÚBLICO y servicio contratado

Pero dichos servicios contratados desde el Sector Público al operador privado, entendidos como una forma de materializar la externalización de sistemas o subsistemas públicos, o de su gestión, no deben confundirse con los servicios públicos que el organismo contratante presta a la ciudadanía. Estos últimos, los servicios públicos, son los denominados propiamente como SERVICIOS en el ENS. Los otros, los servicios contratados, son considerados por el ENS como SISTEMAS o SUBSISTEMAS externalizados, pese a que en ocasiones pueda haber total correspondencia entre unos y otros.

Dicho de otra manera, desde el prisma de la organización privada contratada:

• De puertas adentro (ad-intra) lo que presta son servicios al Sector Público.
• De puertas afuera (ad-extra) lo que le ha sido adjudicado es un sistema o subsistema en que se apoyan totalmente o en parte los servicios públicos prestados a la ciudadanía por el organismo contratante.

 

4. Valoraciones en interconexión de sistemas

Sobre valoraciones ante interconexión de sistemas puede consultarse el apartado 5.4 “Terceras partes” de la Guía CCN-STIC 803 (Valoración de los Sistemas) en cuya revisión han participado José Antonio Mañas y AUDERTIS.

4.1 Sistema que maneja información de terceros

Si un sistema maneja información de terceros, o le presta servicios, la valoración de esa información y esos servicios será la determinada por el tercero, titular de los servicios públicos prestados a la ciudadanía. Es irrelevante que el sistema que maneja la información sea titularidad del Sector Público o del Sector Privado.

Un ejemplo podría ser una Diputación Provincial que preste servicios a determinados Ayuntamientos (Público – Público) o un prestador de servicios de Cloud que presta servicios de IaaS a un Ayuntamiento (Privado – Público).

Figura 3. Sistema que maneja información de terceros

En ausencia de valoración, el Responsable de Seguridad del organismo que maneja el sistema de información externalizado, sea público o privado, la establecerá según su mejor criterio y, en consecuencia, categorizará el sistema acorde a dicha valoración.

 

4.2 Organismo que se apoya en sistemas de terceros

A “sensu contrario” de lo expresado en el apartado anterior, cuando el Sector Público utiliza sistemas de terceros para tratar información o para prestar servicios, la valoración propia será impuesta al tercero que colabora, que la tendrá en cuenta en su propio Plan de Adecuación. Es irrelevante que el tercero sea también del Sector Público, o sea del Sector Privado.

Figura 4. Sector Público que se apoya en sistemas de terceros

 

5. Roles en el Sector Público y en el Sector Privado

5.1 Responsable del Servicio y Responsable de la Información

Desde el punto de vista expresado en los apartados precedentes, los únicos servicios, según los entiende el ENS, son los prestados por el Sector Público.  En consecuencia, es el organismo público el que debe nombrar uno o varios Responsables del Servicio y uno o varios Responsables de la Información que esos servicios traten. En ocasiones asumen dicho rol los responsables del área entre cuyas competencias está la prestación de algunos de esos servicios a la ciudadanía. Se admite que ambos roles, Responsable de la Información y Responsable del Servicio, converjan en una misma persona, con las debidas cautelas [4].

El operador perteneciente al Sector Privado no requiere nombrarlos, ya que seguirá las directrices de dichos roles en el organismo público al que le presta servicios para adecuar sus sistemas. Aunque un organismo público materialice sus servicios en base a servicios contratados externamente, sigue teniendo la responsabilidad de valorarlos a través de sus propios Responsables del Servicio y de la Información.

Puede ser aceptable, aunque no frecuente, que la organización perteneciente al Sector Privado nombre a su vez a un Responsable del Servicio y a un Responsable de la Información, según los entiende el ENS. Esto puede ser con Roles específicos o equiparando otros roles existentes. En ese caso lo sustancial es que no pueden llevar la iniciativa, sino coordinarse y asumir las valoraciones y disposiciones de sus homónimos en el organismo público, que a la postre son los que se responsabilizan de los servicios públicos prestados a la ciudadanía, estén externalizados o no.

En la práctica lo que ocurre es que únicamente se coordinan a través de Responsable de Seguridad del organismo público o, lo más común, que la organización del Sector Privado se adscriba a determinada categoría del sistema para poder participar en los pliegos de contratación, ya sea para esa categoría o inferior, y ni se plantee nombrar al Responsable del Servicio ni al Responsable de la Información.

5.2 Comité de Seguridad y roles del ENS

El operador perteneciente al Sector Privado deberá disponer de un Responsable de Seguridad, que deberá velar por el cumplimiento de las medidas de seguridad en los sistemas de información, en su área de competencia delegada, debiendo coordinarse de ser necesario con el Responsable de Seguridad del organismo, que tendrá una visión holística al tener responsabilidad sobre todos los sistemas, propios y externalizados. Lo mismo debe considerarse respecto al Comité de Seguridad.

Análogamente se requerirá un Responsable del Sistema para todo aquello que requiera ser administrado técnicamente respecto al servicio contratado, por lo que es también una figura imprescindible en el Operador Privado que administra sistemas o subsistemas por cuenta del Sector Público.

El organismo público que contrata, en el hipotético caso de que no dispusiera de ningún sistema debido a tenerlos todos externalizados, ya no requerirá asignar internamente la figura de Responsable del Sistema, y se apoyará en la del operador privado contratado. Si en vez de uno, los operadores contratados son varios, entonces sí que tiene sentido disponer de Responsable del Sistema en el organismo público, aunque sea a efectos de coordinación.

Se vislumbra que deberá estudiarse detenidamente cada caso particular, para encontrar la solución más efectiva en función del nivel de externalización, de los recursos disponibles y de la estructura y categoría de los sistemas.

5.3 Organizaciones multinacionales del Sector Privado

Estamos inmersos en una economía global, por lo que cada vez es más frecuente que organizaciones pertenecientes al Sector Privado aporten soluciones, o presten servicios, al Sector Público en calidad de filial española de determinado grupo multinacional.

En esos casos, lo primero que solemos encontrarnos es que ya disponen de un sistema integrado de gestión (SIG) constituido por varias normas ISO, muchos de cuyos instrumentos organizativos – Por ejemplo políticas, normas internas, procedimientos, instrucciones operativas- se gestionan a nivel grupal.

Expresaré para empezar que debe estudiarse cada caso particular, siendo arriesgado e injusto generalizar. No obstante, no podemos olvidar, a diferencia de lo que ocurre con la norma ISO 27001, que el ENS es una norma española, concretamente amparada por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Ello quiere decir que no puede aprovecharse la política general integrada del grupo multinacional que actúa como proveedor, habitualmente en inglés y muy generalista, sino que como mínimo debe definirse un anexo a la misma (o política local) que trate los requisitos del ENS, acorde a lo que dispone la medida de seguridad “Org.1 Política de Seguridad” del Anexo II del ENS, escrito en idioma español para facilitar su comprensión por parte del sujeto obligado por la norma, que requiera conocer dicha política.

Pensemos que es una práctica habitual que se le requiera al proveedor no únicamente el Certificado de Conformidad con las disposiciones del ENS, sino también el último informe detallado de auditoría y la política. Esta última para conocer a grandes rasgos cómo se gestiona la seguridad al amparo del ENS y el Informe de Auditoría para conocer cómo se garantizan las que sean de aplicación de las 75 medidas de seguridad que dispone el Anexo II del ENS. Es algo imprescindible para poder coordinar la seguridad entre ambas organizaciones.

En cuanto a los Roles, no deberían hacer referencia y materializarse en personas del grupo fuera del territorio Español, ya que a mi entender iría en contra de la “ratio legis” de la norma. Ya sé que, como indica el segundo párrafo del art. 3 del RS 3/2010, los sistemas que tratan información clasificada están excluidos del ámbito de aplicación del ENS, al estar regulados por Ley 9/1968, de 5 de abril, de Secretos Oficiales y demás normas de desarrollo, pero aun así estamos hablando de todo el Sector Público Español y organizaciones vinculadas o relacionadas, ya sea en base a sus competencias, o por ser proveedoras. En cualquier caso, deberían cumplir fielmente las funciones y requisitos que se especifican en la política, o el anexo a la política, o en el posible documento de roles y comités vinculado que suele disponerse en sistemas de gestión de seguridad de la información.

En ese sentido, si ya existe un Comité de Seguridad o equivalente en la sede internacional de la organización privada, propongo se cree un sub-comité local en España o uno de específico para cumplir con las disposiciones del ENS. Igual sucede con el Responsable de Seguridad, con los Administradores de Seguridad si existen y con el Responsable del Sistema que, implícitamente, ya constituyen un grupo local, por lo que no ha de resultar demasiado difícil implementarlo.

Únicamente recordar que no debe depender jerárquicamente el Responsable de Seguridad del Responsable del Sistema, de modo que exista total imparcialidad y ausencia de conflictos de interés en las decisiones, en pro de la seguridad, por parte del primero de ellos.

6. Documentos consultados

– [1] BOE. “Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad”.

ITS de Conformidad

– [2] Carlos Galán y José María Molina. Guía del Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad”.

CCN-STIC-830

– [3] Apartado 5.4 “Terceras partes” de la Guía del Centro Criptológico Nacional “CCN-STIC-803 Valoración de los sistemas”, última edición revisada por José Antonio Mañas y AUDERTIS.

CCN-STIC-803

– [4] Guía del Centro Criptológico Nacional “CCN-STIC-801 ESQUEMA NACIONAL DE SEGURIDAD – RESPONSABILIDADES Y FUNCIONES”, marzo 2019.

CCN-STIC-801

Pese a lo que el ciudadano pueda percibir, el concepto de Administración Electrónica o e-Administración es un concepto mucho más amplio y va mucho más allá de la simple implantación de medidas tecnológicas en los diversos sectores que componen la Administración pública.

La e-Administración, en realidad, es un proyecto que busca no solamente hacer 100% tecnológica y accesible a la Administración pública para el ciudadano, sino que además supone una estrategia a largo plazo donde se busca la mejora de la productividad del funcionario mediante la simplificación de procesos que tradicionalmente han demostrado ser tediosos.

La e-Administración no es, por tanto, la búsqueda del escenario ideal de “oficina sin papel”, sino un nuevo entorno en el que se busca que la relación entre administrador y administrado sea más ágil y directa, con independencia del canal de comunicación empleado.

Para poder hablar de Administración Electrónica, pues, debemos considerar los siguientes aspectos:

• La orientación al servicio. El desarrollo de cualquier proyecto de e-Administración no puede ir desligado de la orientación del mismo a la prestación de servicios a la ciudadanía y, por tanto, se tienen que incluir todos aquellos trámites que comúnmente se requieren, de forma conjunta, para determinado servicio en el formato tradicional. No sería comprensible para el usuario realizar un trámite online de forma parcial, y que la presentación de un cierto documento requerido para completarlo debiera realizarse de forma presencial. Tampoco que, para un mismo servicio público, del conjunto de trámites necesarios algunos pudieran ser online y otros presenciales obligatoriamente.

• Un adecuado backoffice. Pese a que el objetivo de este tipo de proyecto no es el despliegue de tecnología por sí misma, sino el usar esa tecnología para facilitar la relación con el ciudadano, es innegable que, sin un adecuado trasfondo tecnológico, eso no sería posible. Se trata pues de analizar convenientemente las necesidades y requerimientos para que el sistema tecnológico sea el adecuado y no un lastre que frene la innovación.

• Respeto de los derechos. No solamente entendido como los derechos inherentes a cada persona en su relación con la administración, como puede ser la privacidad y protección de sus datos personales, sino los denominados ciberderechos que recogen, entre otros, la capacidad de los usuarios al libre acceso y expresión a través de Internet, con independencia de las tecnologías concretas empleadas por éstos. La e-administración no debe discriminar según el tipo de terminal desde el que interactúe el usuario, preservando la autodeterminación tecnológica del ciudadano.

• La interoperabilidad. La e-Administración debe garantizar a los usuarios que su información será accesible por cualquier estamento de la administración pública (del estado, autonómica, local, etc.), sin tener necesidad de aportar la misma información a estamentos distintos ya que éstos también deben poder interactuar entre sí.

• La disponibilidad. La sociedad en que vivimos demanda a las empresas estar siempre disponibles para cualquier tipo de gestión. No sería comprensible para el usuario un horario de venta limitado para una tienda online. En el caso de la e-Administración, estamos en el mismo escenario. Los usuarios demandan poder interactuar con la Administración en cualquier momento, independientemente del día de la semana que sea y la hora.

• El ahorro de tiempo. El tiempo es un bien escaso para los usuarios y, por tanto, los trámites que se realicen a través de medios electrónicos deben suponer un ahorro de tiempo para estos usuarios. Se deben implantar procedimientos sencillos y ágiles que sean transparentes al usuario y le hagan percibir el ahorro de tiempo.

• La facilidad de acceso. La e-Administración debe estar preparada para acceder a ella a través de múltiples canales: in-situ, a través de un ordenador portátil, una tablet, un smartphone, etc. Cada vez más los usuarios se relacionan entre ellos y con las empresas a través de sus teléfonos móviles, por tanto, no tiene sentido limitar el acceso a ciertos dispositivos o a determinados sistemas operativos.

• Cumplimiento del ENS. Por descontado, cualquier proyecto de e-Administración llevará implícito el cumplimiento del Esquema Nacional de Seguridad a fin de garantizar a los usuarios la seguridad de los servicios públicos y de la información de los ciudadanos gestionada por ellos. La razón de ser del ENS es precisamente asegurar los servicios públicos prestados o que se apoyen en medios electrónicos. Para ello aporta, entre otras muchas ventajas, una gestión de riesgos, la prevención y la recuperación ante desastres y un compromiso de evaluación y mejora continua de los procedimientos y medidas de seguridad implantadas en la organización.

Como hemos podido ver, la implantación de un modelo de e-Administración no es simplemente dotarse de una estructura con recursos técnicos, sino que se requiere asumir el cambio de escenario que representa y saber adecuarse plenamente a esta nueva situación que la ciudadanía demanda.

La seguridad informática y la protección de datos son dos ejes clave para el buen funcionamiento de la contratación electrónica, obligada a partir del próximo 9 de marzo por la ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

Sin embargo, para los expertos en Derecho de las nuevas tecnologías, la regulación al respecto es dispersa, como han explicado en el III Congreso Nacional de Contratación Pública Electrónica que finalizaba hoy mismo, Carlos Galán Pascual (doctor en Informática y abogado especialista en Derecho de las TIC), Jorge Fontevila Antolín (jefe de Asesoría Jurídica de la Consejería de Presidencia y Justicia del Gobierno de Cantabria) y Rubén Martínez Gutiérrez (profesor titular de Derecho Administrativo en la Universidad de Alicante).

A juicio de Fondevila, la ley 9/2017 es «asistemática en los contenidos de seguridad, no incluye referencias sobre aspectos como el archivo electrónico o la firma de empleados públicos y tampoco al Esquema Nacional de Seguridad que se aplica a todas las administraciones públicas».

Así lo expresa el profesor Martínez Gutiérrez: «es un error adentrarnos en la Smart City sin tener la administración electrónica y la contratación pública electrónica implantadas porque seguramente se infringen los principios de seguridad».

Sin embargo, las tasas de cumplimiento del Esquema Nacional de Seguridad (ENS) son altas: «casi el 70% de las entidades públicas recogidas en el Informe Nacional del Estado de la Seguridad (INES) están cumpliendo con los requerimientos del ENS», afirma Carlos Galán. No obstante, no solo debe cumplirse con las disposiciones del ENS, sino también evidenciarse mediante la Certificación de Conformidad expedida por una entidad de certificación acreditada.

La seguridad informática y la contratación pública electrónica son indisolubles, ya que cuando hablamos de procesos de contratación pública, además de regirse éstos por la LCSP, también deben regirse por el ENS, como dispone la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

Dicha resolución en su apartado VII señala que cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el ENS, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos exigidos para las entidades públicas.

En relación a la confidencialidad y protección de datos, llama la atención el artículo 133.2 LCSP que señala: «El contratista deberá respetar el carácter confidencial de aquella información a la que tenga acceso con ocasión de la ejecución del contrato a la que se le hubiese dado el referido carácter en los pliegos o en el contrato, o que por su propia naturaleza deba ser tratada como tal. Este deber se mantºendrá durante un plazo de cinco años desde el conocimiento de esa información, salvo que los pliegos o el contrato establezcan un plazo mayor que, en todo caso, deberá ser definido y limitado en el tiempo».

La mayoría de normas de seguridad señalan un deber de secreto permanente que perdura incluso después de finalizar la relación contractual. Luego será responsabilidad de cada Administración pública que contrate, establecer en los pliegos o en el contrato particular un plazo mayor de los cinco años establecidos por defecto en la LCSP. Aunque deba limitarse en el tiempo, según el referido artículo, nada impide establecer el deber de secreto en, por ejemplo, 100 años.

En este caso, abordamos la segunda parte de nuestro post con el que pretendemos abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).

Si bien en el primero de los artículos hablábamos del  ámbito de aplicación del ENS (sujetos obligados) y los fundamentos jurídicos, en este caso hablamos del concepto de servicio en el ENS desde la perspectiva del Sector Público.

3.1 El concepto de servicio en el ENS desde la perspectiva del Sector Público
No podemos perder de vista que el objeto del Esquema Nacional de Seguridad es dar cumplimiento a los requisitos de seguridad de los servicios prestados por el Sector Público a la ciudadanía, apoyándose en medios electrónicos, asegurando los sistemas de información en que se apoyan.

En consecuencia, este concepto de “servicio público”, entendido como el servicio en sí, junto a los datos por él tratados, es el que determinará la categoría del sistema que lo soporta o, en otras palabras, del sistema que es requerido para que pueda prestarse el servicio.

Dicho sistema puede ser titularidad de la Administración Pública, serlo únicamente en parte o no serlo en ninguna, por haberse externalizado parcial o totalmente en el Sector Privado.

3.2 El concepto de servicio en el ENS desde la perspectiva del Sector Privado
Como ya se ha visto, los operadores pertenecientes al Sector Privado que prestan servicios contratados o aportan soluciones contratadas al Sector Público, también están obligados por las disposiciones del ENS, según se determina en el capítulo VII de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad.

Pero dichos servicios contratados desde el Sector Público al operador privado, entendidos como una forma de materializar la externalización de sistemas o subsistemas públicos, o de su gestión, no deben confundirse con los servicios públicos que el organismo contratante presta a la ciudadanía. Estos últimos, los servicios públicos, son los denominados propiamente como SERVICIOS en el ENS. Los otros, los servicios contratados, son considerados por el ENS como SISTEMAS o subsistemas externalizados, pese a que en ocasiones pueda haber total correspondencia entre unos y otros.

4. Valoraciones en interconexión de sistemas
Sobre valoraciones ante interconexión de sistemas puede consultarse el apartado 5.4 “Terceras partes” de la Guía CCN-STIC 803 (Valoración de los Sistemas) en cuya revisión han participado José Antonio Mañas y AUDERTIS.

4.1 Sistema que maneja información de terceros
Si un sistema maneja información de terceros, o le presta servicios, la valoración de esa información y esos servicios será la determinada por el tercero, titular de los servicios públicos prestados a la ciudadanía. Es irrelevante que el sistema que maneja la información sea titularidad del Sector Público o del Sector Privado.

Un ejemplo podría ser una Diputación Provincial que preste servicios a determinados Ayuntamientos (Público – Público) o un prestador de servicios de Cloud que presta servicios de IaaS a un Ayuntamiento (Privado – Público).

Figura 3. Sistema que maneja información de tercerosEn ausencia de valoración, el Responsable de Seguridad del organismo que maneja el sistema de información externalizado, sea público o privado, la establecerá según su mejor criterio y, en consecuencia, categorizará el sistema acorde a dicha valoración.

4.2 Organismo que se apoya en sistemas de terceros
A “sensu contrario” de lo expresado en el apartado anterior, cuando el Sector Público utiliza sistemas de terceros para tratar información o para prestar servicios, la valoración propia será impuesta al tercero que colabora, que la tendrá en cuenta en su propio Plan de Adecuación. Es irrelevante que el tercero sea también del Sector Público, o sea del Sector Privado.

La próxima semanas abordaremos el tercer y último artículo con el que cerraremos esta serie relacionada con las Organizaciones privadas en el Esquema Nacional de Seguridad.

José Luis Colom Planas

Con este serie de tres artículos pretendemos abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).

Se basa en la experiencia práctica adquirida auditando y certificando la conformidad respecto a las disposiciones del ENS a diferentes organizaciones de esta naturaleza. Me permito apuntar posibles soluciones generalistas ante algunas cuestiones suscitadas durante la Certificación de Conformidad, que siempre deben ser tomadas con las correspondientes cautelas ante el caso particular.

Jamás un artículo de ámbito general debe sustituir a la labor de asesoramiento que realizan consultoras especializadas.

1. Ámbito de aplicación del ENS (sujetos obligados). Fundamentos jurídicos.

Por un lado, el ENS se encuentra legislado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y modificado posteriormente por el Real Decreto 951/2015, de 23 de octubre. Su ámbito subjetivo de aplicación se determina en el artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) que, focalizando en el sector privado señala en su apartado 1 “La presente Ley se aplica al sector público que comprende: (…) d) El sector público institucional”, continuando en el apartado 2 “El sector público institucional se integra por: (…) b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas”.

Vemos así que las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas adoptan la condición de sujeto obligado por el ENS, a todos los efectos.

Por otro lado, el capítulo “VII. Soluciones y servicios prestados por el sector privado” de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad [1], dispone que “cuando los operadores del Sector Privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas. Será responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondientes Certificaciones de Conformidad”.

Es un requisito que ya se está viendo materializado en los pliegos de condiciones para los diferentes concursos públicos, con la solicitud de los correspondientes Certificados de Conformidad como condición ineludible de contratación.

Vemos así que los proveedores de las Administraciones Públicas, con incidencia relevante en los servicios prestados por éstas, adoptan también la condición de sujeto obligado por el ENS, a todos los efectos.

2. Doble vía de obligación para organizaciones pertenecientes al Sector Privado.

Hemos deducido, a partir de los fundamentos jurídicos anteriores, que las organizaciones pertenecientes al Sector Privado pueden estar obligadas por el ENS, en igual medida que las pertenecientes al Sector Público, dependiendo de:

• Si son sujetos obligados, al encontrarse vinculadas o dependientes de las Administraciones Públicas.
• Si proporcionan soluciones, o prestan servicios, directamente a algún sujeto obligado por el ENS, ya sea Admiración Pública u organización vinculada o dependiente.

2.1 Operadores pertenecientes al Sector Privado que prestan servicios o proveen soluciones

Hemos visto a partir de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad la obligación inferida a los operadores del Sector Privado que presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS por ser relevantes pasa los servicios públicos ofrecidos a la ciudadanía.

Un caso particular, bastante habitual en la práctica, son las cadenas de subcontratación de proveedores, en la que un proveedor presta servicios a otro que a su vez se encuentra en la situación del último punto anterior. En este escenario, todos los proveedores que forman parte de la cadena deben estar Certificados de Conformidad respecto a las disposiciones del ENS (Para categoría de sistemas MEDIA y ALTA).

Una alternativa, si uno de ellos todavía no está en posesión de la correspondiente certificación de conformidad acreditada, impidiendo de facto la certificación de las demás organizaciones que dependen de ella, consiste en que la entidad de certificación lo audite por cuenta de quién desea certificarse y no puede debido a que su proveedor no lo está. Viene a ser algo así como una auditoría de certificación (tercera parte) con formato de auditoría de proveedor (segunda parte).

Pongamos un ejemplo para aclarar conceptos: Imaginemos un desarrollador de software que trabaja para la Administración mediante su plataforma imaginaria “GESPADM”. Dicha plataforma se entrega en modalidad SaaS de prestación de servicios en la Nube, que se apoya en un tercer proveedor de IaaS. Si el desarrollador de “GESPADM” desea certificarse, pero el proveedor de IaaS no dispone de la certificación de conformidad con el ENS, deberá acordar con ambos -su proveedor de IaaS y la entidad de certificación- que se extienda el alcance de la auditoría también al proveedor de IaaS, aunque éste no opte de momento a la certificación.

Este proceder es común para proveedores en España, pero algo bastante más difícil de materializar para proveedores en otros países del mundo.

2.2 Entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas

Como se detalla en la Guía de Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad” [2] hay que tener especial consideración, por suscitar posibles dudas, con las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, siendo como son sujetos obligados por el RD 3/2010:

• Las entidades de derecho privado pertenecientes al Sector Público Institucional, como pueden ser RENFE, AENA, INCIBE o TMB, entre muchas otras.
• Las entidades de derecho privado vinculadas o dependientes de las comunidades autónomas, como TVC Multimedia SL, Ciudad de las Artes y las Ciencias SA, Televisión Autonómica de Aragón, Empresa Municipal de Servicios de Tres Cantos SA o Circuito de Jerez SA, entre muchas otras. El ENS les será de aplicación cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por ésta.
• Las entidades de derecho privado vinculadas o dependientes de la Administración de las entidades locales, como pueden ser la Empresa Municipal de Transportes de Madrid SA, Barcelona de Serveis Municipals SA o Centro de Informática Municipal de Bilbao SA, entre muchas otras, en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta.
• Las entidades de derecho privado y fundaciones, como son RTVE, Fundación del Teatro Real, Empresa Nacional de Residuos Radiactivos SA, entre otras, en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.

En próximas semanas abordaremos un próximo artículo de esta serie en el que hablaremos sobre el concepto de servicio y de Sistema.

AUDERTIS, el único organismo de certificación 100% especializado en el Esquema Nacional de Seguridad, recibe la acreditación de ENAC

El ENS es el marco requerido legalmente para proteger la información de los ciudadanos y los servicios prestados por el sector público

• Audertis se convierte en una de las dos únicas entidades que en España han sido acreditadas y, por tanto, pueden certificar el ENS
• De las dos entidades que pueden certificar el ENS, Audertis es la única 100% especializada en el Esquema Nacional de Seguridad
• 2018 es el año de la Administración Electrónica en la que la acreditación del ENS resulta imprescindible
• El pasado 5 de noviembre finalizó el plazo para que todas las Administraciones Públicas y todas las empresas con sistemas utilizados por el sector público certifiquen sus sistemas de categoría MEDIA y ALTA.

La Entidad Nacional de Acreditación, ENAC, es el órgano competente de conceder la acreditación necesaria que permite a los organismos de certificación poder acreditar el Esquema Nacional de Seguridad con todas las garantías legales exigidas.

ENAC ha decidido conceder a AUDERTIS dicha acreditación como reconocimiento a su elevada competencia técnica, siendo, además, una de las dos únicas entidades que la han obtenido y la única 100% especializada en el Esquema Nacional de Seguridad.

Una certificación esencial para el ciudadano y la Administración Electrónica

En un momento en el que la Administración Pública adopta el camino de la Administración Electrónica de forma decidida y definitiva, el Esquema Nacional de Seguridad cobra una importancia fundamental, siendo el marco requerido legalmente para proteger la información de los ciudadanos y los servicios prestados por el sector público, tanto directamente como a través de, o en colaboración con, operadores del sector privado.

La Certificación de Conformidad con el ENS es obligatoria para todos los sistemas de información de categoría Media o Alta y discrecional, pero altamente recomendada, en los sistemas de categoría Básica, tal y como recoge la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad.

La certificación de un sistema por una entidad acreditada supone las máximas garantías para el ciudadano existentes en España de que la seguridad de su información y de los servicios prestados por las administraciones públicas es gestionada conforme a las mejores prácticas, cumpliendo con todos los requisitos legales relacionados y que ésta se mejora de forma continua para adaptarse a las nuevas amenazas en el ciberespacio.

El esquema de acreditación ha sido desarrollado por la propia ENAC, en estrecha colaboración con el Ministerio de Hacienda y Función Pública (MINHAFP) y el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI).

 

La economía digital ha cambiado por completo el funcionamiento de las organizaciones por el desarrollo de Internet y los entornos digitales. En este ecosistema, con profusión de dispositivos inteligentes interconectados, los usuarios demandan mayor confianza digital.  Ya nadie duda que las organizaciones pertenecientes a cualquiera de ambos sectores, público y privado, deban garantizar el uso transparente y seguro de los datos que tratan mediante sus servicios en la red.

Transparencia, Protección de Datos y confianza digital

Los ciudadanos desean, con las excepciones previstas legalmente, conocer el tipo de información que disponen las Administraciones públicas, para qué se está utilizando esa información e incluso les resulta importante controlar el uso de la que les afecta. Parte de esos deseos se expresan en forma de principios que se conocen como transparencia, por un lado, y como autodeterminación informativa, por otro. Es decir, de una parte tener el derecho a conocer y, de otra, poder decidir qué se permite hacer, o no, con la información que las organizaciones disponen de uno mismo.

Las organizaciones deben garantizar que todos esos datos están en un entorno seguro y que se usan solo con los fines legítimamente establecidos respecto al titular de esos datos.

Por transparencia  no nos referimos únicamente a conocer la actividad pública y, en su caso, conocer que datos disponen y su posible acceso, sino también qué medidas de seguridad aplican para protegerlos, de modo que se genere confianza en un entorno en el que, efectivamente, la seguridad es un aspecto que preocupa cada vez más a la sociedad.

En un mundo híper-conectado, la ciberseguridad no sólo es una tendencia necesaria y demandada, sino que es una parte fundamental de la seguridad de la información en general, y los cimientos en la construcción digital de una organización, ya sea pública o privada.

La Agenda Digital

Las Administraciones Públicas están llevando a cabo una importante transformación tecnológica con la incorporación de la digitalización, incluyendo en algunos casos  tratamientos de Big Data, tanto de puertas para dentro como de cara al ciudadano. El objetivo de la Agenda Digital es que en 2020 la Administración española sea digital. También en este entorno es clave la ciberseguridad manteniendo siempre un equilibrio entre seguridad y facilidad de acceso por parte de los ciudadanos.

Estamos ante una revolución imparable que, pese a entrañar riesgos, es una gran oportunidad para desarrollar una Administración electrónica extremadamente útil y ágil para el ciudadano. En consecuencia, es el momento de adoptar medidas que demuestren que tanto las Administraciones públicas como las empresas privadas que les proveen soluciones o les prestan servicios, están a la altura que la sociedad demanda. La misión, al fin y al cabo, es desarrollar la seguridad para que aumente la confianza digital de los ciudadanos respecto al Sector Público y a las empresas estratégicas.

Existe una certificación capaz de acreditar con total transparencia ese compromiso con la seguridad y su materialización práctica, que es el Certificado de Conformidad con el Esquema Nacional de Seguridad, dónde una organización independiente evalúa y, en su caso, certifica la conformidad con las disposiciones del ENS.

Garantizar unas condiciones de seguridad

Tanto las empresas públicas que prestan servicios a la ciudadanía, como las empresas privadas que colaboran en esos servicios, deben garantizar al ciudadano unas condiciones mínimas respecto a la seguridad.

Los servicios prestados y la información que éstos tratan están sometidos a amenazas, lo que implica riesgos de que se éstas se materialicen. Pueden provenir de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres. Por eso, es tan importante ajustarse al Esquema Nacional de Seguridad (ENS). Su objetivo principal es reforzar la protección de las Administraciones Públicas frente a las «ciberamenazas» que evolucionan a gran velocidad.

El ciudadano utiliza cada vez más los medios electrónicos en trámites con la Administración Pública y, en este sentido, es necesario que esta relación se realice en unas condiciones de seguridad y confianza. El ENS crea esas condiciones necesarias de confianza en el uso de los medios electrónicos y establece las medidas necesarias para preservar derechos fundamentales de los ciudadanos. Principalmente, garantiza los servicios soportados por los sistemas mediante seguridad gestionada y, por extensión, también la protección de la información incluyendo los datos de carácter personal. Recordemos que el derecho a la intimidad y a la protección de datos son Derechos fundamentales.

La legislación en materia de seguridad

De hecho, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizando la protección de los datos de carácter personal, y facilitando preferentemente la prestación conjunta de servicios a los interesados. El Esquema Nacional de Seguridad se recoge expresamente en el artículo 156 LRJSP.

Es muy importante remarcar la importancia del ENS ya que todos los proveedores de las Administraciones Públicas deben garantizar que sus tecnologías soluciones y servicios prestados al Sector Público cumplen íntegramente con los requisitos dispuestos por el Esquema Nacional de Seguridad. Con la protección adecuada se garantiza que los sistemas en el alcance del ENS funcionen de forma segura y controlada.

Medidas del ENS

Se puede enfocar la seguridad desde diferentes perspectivas, pero siempre en el sentido más amplio ya que se trata de una cuestión global. Si ponderamos determinados aspectos en detrimento de otros haremos buena aquella frase de -la cadena y el eslabón- que nos recuerda que la fortaleza de un sistema de seguridad es equivalente a la más débil de cualquiera de sus componentes.

El primer enfoque está basado en atender a cuestiones organizativas, legales y técnicas: Organizativas ya que hablamos de seguridad gestionada para que no solo perdure en el tiempo, sino que persiga la mejora continuada; legales para proporcionar la suficiente seguridad jurídica respecto a las diferentes partes interesadas que intervienen y con las que se relaciona el sistema; y técnicas para materializar los mecanismos oportunos de protección que nos brinda la tecnología.

El propio ENS tiene en cuenta estos mismos conceptos en las 75 medidas de seguridad determinadas en su Anexo II, aunque agrupados de distinta manera: marco organizativo, dónde se contemplan la política de seguridad, los roles y responsabilidades, las normas internas y los procedimientos relacionados con la gestión de la seguridad; Marco operacional, donde se planifica el sistema de gestión de la seguridad orientado al ENS, la gestión del riesgo, procedimientos de gestión de incidencias, de cambios, de la capacidad, control de acceso, control de los servicios externalizados, gestión de la continuidad según la categoría del sistema…; y Medidas de protección ya sea de las instalaciones, de las comunicaciones, de las propias aplicaciones incluyendo su desarrollo, de la información y de los servicios, sin olvidar las de gestión del personal.

Certificado de Conformidad

AUDERTIS realiza el servicio de certificación de conformidad con el ENS después de una minuciosa auditoria, según el anexo II del Real Decreto 3/2010 y modificaciones posteriores. Se basa en los requisitos de la norma ISO 17065:2012 y en las orientaciones de la Guía CCN-STIC 802 de Auditoría, revisada en abril de 2017, en la que hemos tenido el placer de colaborar.

El Certificado de Conformidad con las disposiciones del ENS no es únicamente una obligación legal; es un reconocimiento que posiciona a las organizaciones, ya sean pertenecientes al Sector Público o Privado, garantizando que cumplen las actuales exigencias en materia de seguridad. En relación a la certificación de conformidad del ENS para el Sector Privado y como afirmó en las pasadas Jornadas de Ciberseguridad Óscar Bou, socio de AUDERTIS, los proveedores de la Administración estarán certificados, o no lo serán.

Auditorías para reducir riesgos de seguridad: Cloud Computing

Hasta que el 13 de octubre de 2016 se promulgó por la Secretaría de Estado de Administraciones Públicas la Resolución que obliga a la ITS de Certificación de la Conformidad, los proveedores que querían trabajar con una Administración Pública debían adoptar una serie de medidas de seguridad que, en el mejor de los casos, establecía la administración contratante en el pliego de condiciones de contratación.

Ahora, según dispone la citada Resolución, es obligación de la Administración que contrata exigir en el pliego al futuro adjudicatario que esté en posesión del correspondiente certificado de conformidad con las disposiciones del Esquema Nacional de Seguridad (ENS).

Ya no basta con que el proveedor afirme en la oferta que está en disposición de cumplir determinadas medidas de seguridad en los servicios que se le contratan, sino que debe acreditarlo mediante el correspondiente Certificado de Conformidad con el ENS.

Las auditorías de conformidad son el proceso para garantizar una evaluación precisa del entorno de seguridad del proveedor, de sus controles, de sus procesos y de su efectividad actual para proporcionar productos o prestar servicios al Sector Público.

A través de esta auditoría se pueden identificar vulnerabilidades, y carencias en los controles necesarios para mitigarlas, evidenciando que no han sido tratadas adecuadamente para reducir el riesgo respecto a la seguridad.

Tanto los elementos de tratamiento, como las redes a través de las que circula la información, deberán estar adecuadamente protegidos, asegurándose de que no existen accesos no controlados ni conexiones cuyos riesgos no estén apropiadamente gestionados y supervisados por el proveedor de los servicios.

La protección del cloud computing 

Las empresas prestadoras de servicios de Cloud Computing que trabajen para la Administración han de cuidar especialmente la seguridad. Pero, ¿qué es el Cloud Computing o, como popularmente se le conoce, la Nube? Dicho de una manera sencilla, son los servicios informáticos que se prestan cumpliendo cinco características esenciales simultáneamente: Acceso desde Internet, permitir una rápida elasticidad en la capacidad contratada, servicio medible que permita el “pago por uso”, autoservicio bajo demanda desde un portal y que el proveedor disponga de un amplio “pool de recursos” para satisfacer la demanda de todos sus clientes dando la sensación de capacidad infinita.

Entre los servicios más habituales tenemos: servidores virtuales, bases de datos, almacenamiento, correo electrónico y otras aplicaciones especializadas bajo el modelo de SaaS, etc.

Este tipo de empresas están obligadas a mantener la seguridad de la información en todas sus dimensiones, incidiendo en la integridad, la confidencialidad y la disponibilidad de la misma. Esto es así  debido a que el Cloud Computing es un modelo de entrega de servicios basado en un entorno virtual al que se accede a través de Internet y eso implica que las amenazas sean constantes.

Un mal uso del Cloud Computing, sin las debidas garantías de seguridad por parte del proveedor, y del cliente en su acceso, puede dar lugar a ciberataques por parte de cibercriminales que  tienen en Internet su campo de operaciones. Los interfaces deben diseñarse de forma segura, evitando así los problemas de seguridad, tanto los que son intencionados como los que se producen de forma accidental. Incibe nos da una serie de recomendaciones en este sentido.

Cloud pública, privada e híbrida

Existen tres posibles modelos de despliegue de Cloud,  que en su caso hay que proteger: la pública, la privada y la híbrida.

La Cloud pública se refiere a que el “pool de recursos” del prestador del servicio, es compartido por todos los clientes. En la Cloud privada, ese “pool de recursos” es específico para determinado cliente y no es compartido con nadie más. Una Cloud hibrida es un entorno mixto entre los dos anteriores.

Además existen tres modelos de entrega de servicios por parte del prestador de servicios de Cloud: La Infraestructura como Servicio (IaaS) que consiste, simplificándolo mucho, aprovisionar máquinas virtuales vacías (únicamente con el sistema operativo); La Plataforma como Servicio (PaaS) que consiste en proporcionar adicionalmente a la IaaS herramientas de desarrollo, bases de datos, etc. en un entorno especializado; Y el Software como Servicio (SaaS) que es el acceso a determinadas aplicaciones que corren en la Nube, como es el caso de Gmail.

La infraestructura contratada para trabajar en la nube debe ser segura, ya sea una nube privada o pública, o un servicio SaaS, PaaS o IaaS. Es importante conseguir:

• Seguridad de los componentes: la nube debe estar diseñada por parte del proveedor para ser segura, creada con componentes seguros y certificados, con interfaces sólidas y con procesos de evaluación que creen confianza.
• Debe disponer de un estudiado diseño en las interfaces específicas para los accesos de los clientes, minimizando los riesgos mediante las correspondientes capas de seguridad.
• A medida que las necesidades de un cliente se modifican, el proveedor de servicios debe ofrecer la posibilidad de aumentar o desactivar esos recursos (ancho de banda, procesadores, almacenamiento y memoria en cada máquina virtual, o reducir el número de éstas) según corresponda a los requisitos del cliente.
• Esta gestión del ciclo de vida del servicio debe administrarse con la responsabilidad por parte del proveedor para crear confianza. Por ejemplo, borrando completamente el área de datos ya no requerida por un cliente, de modo que no pueda ser accedida por el nuevo cliente al que se le reasigne ese recurso de almacenamiento del “pool general”.
• El prestador de servicios de Cloud debe garantizar también la portabilidad de los datos, de modo que al finalizar el servicio le sean retornados al cliente en un formato estándar o convenido.

Las soluciones de seguridad pasan por medidas técnicas como la protección de la red virtual, el control de los accesos a los recursos, el aislamiento del software, la protección de datos de forma segura, etc., y otras organizativas y jurídicas como el establecimiento de específicas cláusulas contractuales.

La contratación de servicios de Cloud Computing exige la realización de auditorías de seguridad ordinarias y extraordinarias, tal y como contempla el artículo 34 del ENS. Este artículo exige requisitos específicos sobre los criterios y métodos de trabajo empleados. En este proceso AUDERTIS es la entidad 100% especializada en el Esquema de Seguridad que ofrece un  proceso independiente y riguroso que transmite la máxima confianza.