Resumen: Con este artículo se pretende plantear posibles soluciones generalistas
ante algunas cuestiones suscitadas durante la Certificación de Conformidad respecto
a las disposiciones del Esquema Nacional de Seguridad (ENS) en organizaciones
pertenecientes al Sector Privado, ya sea que proporcionan soluciones, o prestan
servicios, sustanciales para los sistemas que soportan los servicios prestados
a la ciudadanía por parte de organismos del Sector Público, o bien al
encontrarse vinculadas o dependientes de las Administraciones Públicas.
Basándome en la experiencia práctica adquirida auditando esta tipología de
organizaciones pertenecientes al Sector Privado, aprovecho para incidir en
algunas cuestiones específicas que las diferencian de las pertenecientes al
Sector Público, en el ámbito del ENS.
Autor del artículo
|
Colaboración
|
|
José Luis Colom Planas
|
||
Actualizado
|
31 de julio
de 2017
|
|
Índice
1. Ámbito de aplicación del ENS
(sujetos obligados)
2.
Doble vía de obligación para organizaciones pertenecientes al Sector Privado
2.1
Operadores
pertenecientes al Sector Privado que prestan servicios o proveen soluciones
2.2
Entidades
de derecho privado vinculadas o dependientes de las Administraciones Públicas
3. El concepto de servicio y de
Sistema
3.1 El concepto de servicio en el ENS desde la perspectiva
del Sector Público
3.2 El concepto de servicio en el ENS desde la perspectiva
del Sector Privado
4. Valoraciones en interconexión de
sistemas
4.1 Sistema que maneja información de terceros
4.2 Organismo que se apoya en sistemas de terceros
5. Roles en el Sector Público y en
el Sector Privado
5.1 Responsable del Servicio y Responsable de la Información
5.2 Comité de Seguridad y roles del ENS
5.3 Organizaciones multinacionales del Sector Privado
6.
Bibliografía consultada
7.
Control de cambios del artículo
8.
Derechos de autor
1. Ámbito de
aplicación del ENS (sujetos obligados)
Por un lado, el ENS se encuentra legislado por el Real Decreto 3/2010, de 8 de enero, por el
que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica y modificado posteriormente por el Real Decreto
951/2015, de 23 de octubre.
Por otro lado, su ámbito subjetivo de aplicación se determina en el artículo
2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público
(LRJSP), que señala:
“1.
La presente Ley se aplica al sector público que comprende:
a) La Administración General del Estado.
b) Las Administraciones de las Comunidades
Autónomas.
c) Las Entidades que integran la
Administración Local.
d) El sector público institucional.
2. El sector público institucional se integra por:
a) Cualesquiera organismos públicos y
entidades de derecho público vinculados o dependientes de las Administraciones
Públicas.
b) Las entidades de derecho privado
vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas
a lo dispuesto en las normas de esta Ley que específicamente se refieran a las
mismas, en particular a los principios previstos en el artículo 3, y en todo
caso, cuando ejerzan potestades administrativas.
c) Las Universidades públicas que se
regirán por su normativa específica y supletoriamente por las previsiones de la
presente Ley.
3. Tienen la consideración de Administraciones Públicas la
Administración General del Estado, las Administraciones de las Comunidades
Autónomas, las Entidades que integran la Administración Local, así como los
organismos públicos y entidades de derecho público previstos en la letra a) del
apartado 2”.
2. Doble vía de obligación para organizaciones pertenecientes al
Sector Privado
Las organizaciones
pertenecientes al Sector Privado pueden estar obligadas por el ENS, al igual
que las pertenecientes al Sector Público, dependiendo de:
- Si son sujetos obligados, al encontrarse vinculadas o dependientes de las Administraciones Públicas.
- Si proporcionan soluciones, o prestan servicios, directamente a algún sujeto obligado por el ENS, ya sea Admiración Pública u organización vinculada o dependiente.
NOTA:
Si son proveedores de proveedores, que a su vez se encuentra en la situación
del último punto anterior, constituyendo cadenas de suministro que terminan en
sujetos obligados por el ENS, todos los que conforman la cadena de suministro deben
estar Certificados de Conformidad respecto a las disposiciones del ENS (Para
categoría de sistemas MEDIA y ALTA). Si no lo está,
deberá der auditado, mediante una “auditoría de segunda parte” basada en el
ENS, por el proveedor que a su vez se apoye en él y sí que lo esté.
2.1 Operadores
pertenecientes al Sector Privado que prestan servicios o proveen soluciones
Es un requisito que ya se está viendo
materializado en los pliegos de condiciones de los diferentes concursos
públicos, con la solicitud de los correspondientes Certificados de Conformidad
como condición ineludible de contratación.
2.2 Entidades de derecho privado vinculadas o dependientes de
las Administraciones Públicas
Como se detalla en la Guía
de Centro Criptológico Nacional “CCN-STIC-830
Ámbito de aplicación del Esquema Nacional de Seguridad” [2] hay
que tener especial consideración, por suscitar posibles dudas, con las
entidades de derecho privado vinculadas o dependientes de las Administraciones
Públicas, siendo como son sujetos obligados por el RD 3/2010:
- Las entidades de derecho privado pertenecientes al Sector Público Institucional, como pueden ser RENFE, AENA, INCIBE o TMB, entre muchas otras.
- Las entidades de derecho privado vinculadas o dependientes de las comunidades autónomas, como TVC Multimedia SL, Ciudad de las Artes y las Ciencias SA, Televisión Autonómica de Aragón, Empresa Municipal de Servicios de Tres Cantos SA o Circuito de Jerez SA, entre muchas otras. El ENS les será de aplicación cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por ésta.
- Las entidades de derecho privado vinculadas o dependientes de la Administración de las entidades locales, como pueden ser la Empresa Municipal de Transportes de Madrid SA, Barcelona de Serveis Municipals SA o Centro de Informática Municipal de Bilbao SA, entre muchas otras, en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta.
- Las entidades de derecho privado y fundaciones, como son RTVE, Fundación del Teatro Real, Empresa Nacional de Residuos Radiactivos SA, entre otras, en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.
3. El concepto de
servicio y de Sistema
3.1 El concepto de
servicio en el ENS desde la perspectiva del Sector Público
En consecuencia, ese concepto de “servicio público”, entendido como el
servicio en sí, junto a los datos por él tratados, es el que determinará la categoría del sistema que lo soporta o, en otras
palabras, del sistema que es requerido
para que pueda prestarse el servicio.
Dicho sistema puede ser titularidad de la Administración Pública, serlo
únicamente en una parte o no serlo en ninguna, por haberse externalizado
parcial o totalmente en el Sector Privado.
3.2 El concepto de
servicio en el ENS desde la perspectiva del Sector Privado
Como ya se ha visto, los operadores pertenecientes al Sector Privado que
prestan servicios contratados o
aportan soluciones contratadas al Sector Público, también están obligados por
las disposiciones del ENS, según se determina en el capítulo VII de la
Resolución de 13 de octubre de 2016, de la Secretaría de Estado de
Administraciones Públicas, por la que se aprueba la Instrucción Técnica de
Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad. [1]
Pero dichos servicios contratados desde el Sector Público al
operador privado, entendidos como una forma de materializar la externalización
de sistemas o subsistemas públicos, o de su gestión, no deben confundirse con los servicios
públicos que el organismo contratante presta a la ciudadanía. Estos
últimos, los servicios públicos, son los denominados propiamente como SERVICIOS
en el ENS. Los otros, los servicios contratados, son considerados por el ENS
como SISTEMAS o subsistemas externalizados, pese a que en ocasiones pueda haber
total correspondencia entre unos y otros.
4. Valoraciones en interconexión
de sistemas
4.1 Sistema que maneja
información de terceros
Si un sistema maneja información de terceros, o le presta servicios, la valoración de esa información y esos servicios
será la determinada por el tercero, titular de los servicios públicos
prestados a la ciudadanía. [3]
Es irrelevante que el sistema que maneja la información sea titularidad del
Sector Público o del Sector Privado. Un ejemplo podría ser una Diputación
Provincial que preste servicios a determinados Ayuntamientos (Público –
Público) o un prestador de servicios de Cloud que presta servicios de IaaS a un
Ayuntamiento (Privado – Público).
Figura 1. Sistema que maneja información de terceros
En ausencia de valoración, el Responsable de Seguridad del organismo público u
operador privado que maneja el sistema de información externalizado, la
establecerá según su mejor criterio y, en consecuencia, categorizará el sistema acorde a dicha valoración.
4.2 Organismo que se
apoya en sistemas de terceros
A “sensu contrario” de lo expresado
en el apartado anterior, cuando el Sector Público utiliza sistemas de terceros
para tratar información o para prestar servicios, la valoración propia será
impuesta al tercero que colabora, que la tendrá en cuenta en su propio Plan de
Adecuación. Es irrelevante que el tercero sea también del Sector Público, o del
Sector Privado.
Figura 2. Sector Público que se apoya en sistemas de terceros
NOTA: Puede también consultarse el apartado 4.1 “Terceras
partes” de la Guía CCN-STIC 803 (Valoración de los Sistemas) [2] en proceso de revisión.
5. Roles en el Sector
Público y en el Sector Privado
5.1 Responsable del
Servicio y Responsable de la Información
Desde el punto de vista expresado anteriormente, los únicos servicios,
según los entiende el ENS, son los prestados por el Sector Público, luego es el
organismo público el que debe nombrar un Responsable del Servicio y un Responsable
de la Información que esos servicios traten. En ocasiones asumen dicho rol
los responsables del área entre cuyas competencias está la prestación de algunos
de esos servicios a la ciudadanía.
El operador perteneciente al Sector Privado no, ya que seguirá las directrices de dichos roles en el
organismo público para adecuar los sistemas, aunque los materialice en base a
servicios contratados, tal y como hemos analizado en el apartado anterior.
Puede llegar a ser aceptable, aunque no frecuente, que la organización
perteneciente al Sector Privado nombre a su vez a un Responsable del Servicio y
un Responsable de la Información, según los entiende el ENS. Esto puede ser con
Roles específicos o equiparando otros roles existentes. En ese caso lo sustancial
es que no pueden llevar la iniciativa, sino coordinarse y asumir las valoraciones y disposiciones de sus homónimos
en el organismo público, que a la postre son los que se responsabilizan de
los servicios públicos prestados a la ciudadanía, estén externalizados o no. En
la práctica lo que ocurre es que únicamente se coordinan a través de
Responsable de Seguridad del organismo público.
5.2 Comité de
Seguridad y roles del ENS
Lo mismo debe considerarse respecto al Comité de
Seguridad, si se dispone en
cualquiera de ambos (El Sector Público que contrata y/o el Sector Privado que
es contratado).
Análogamente se requerirá un Responsable o Administrador del sistema
para todo aquello que requiera ser administrado técnicamente respecto al servicio
contratado, por lo que es imprescindible en el Operador Privado que
administra sistemas por cuenta del Sector Público.
El organismo público que contrata, en el hipotético caso de que no dispusiera de ningún sistema debido a tenerlos
todos externalizados, ya no requerirá la figura de Administrador del Sistema, y
se apoyará en la del operador privado contratado. Si en vez de uno, los
operadores contratados son varios, entonces sí que quizá tenga sentido disponer
de dicha figura a efectos de coordinación.
Se vislumbra que deberá estudiarse detenidamente cada caso particular, para
encontrar la solución más efectiva en función del nivel de externalización, de
los recursos disponibles y de la estructura y categoría de los sistemas.
5.3 Organizaciones multinacionales del Sector Privado
En esos casos, lo primero que solemos encontrarnos es que
ya disponen de un sistema integrado de gestión (SIG) constituido por varias
normas ISO, muchos de cuyos instrumentos organizativos – Por ejemplo políticas,
normas internas, procedimientos, instrucciones operativas- se gestionan a nivel
grupal.
Expresaré para empezar que debe estudiarse cada caso
particular, siendo arriesgado e injusto generalizar. No obstante no podemos
olvidar, a diferencia de lo que ocurre con la norma ISO 27001, que el ENS es
una norma Española, concretamente
amparada por el Real Decreto 3/2010, de 8 de enero, por el que se regula
el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Ello quiere decir que no puede aprovecharse la política general integrada
del grupo multinacional que actúa como proveedor, habitualmente en inglés y
muy generalista, sino que como mínimo debe definirse un anexo a la misma que
trate los requisitos del ENS, acorde a lo que dispone la medida de seguridad “Org.1 Política de Seguridad” del Anexo
II del ENS, escrito en idioma Español para facilitar su comprensión por parte
del sujeto obligado por la norma, que requiera conocer dicha política.
Pensemos que es una práctica habitual que se le requiera
al proveedor no únicamente el Certificado de Conformidad con las disposiciones
del ENS, sino también el último informe detallado de auditoría y la política.
Esta última para conocer a grandes rasgos cómo se gestiona la seguridad al
amparo del ENS y el Informe de Auditoría para conocer cómo se garantizan las
que sean de aplicación de las 75 medidas de seguridad que dispone el Anexo II
del ENS. Es algo imprescindible para poder coordinar la seguridad entre ambas
organizaciones.
En cuanto a los Roles, no deberían hacer referencia y
materializarse en personas del grupo fuera del territorio Español, ya que a mi
entender iría en contra de la “ratio
legis” de la norma. Ya sé que, como indica el segundo párrafo del art. 3
del RD 3/2010, los sistemas que tratan información clasificada están excluidos
del ámbito de aplicación del ENS, al estar regulados por Ley 9/1968, de 5 de
abril, de Secretos Oficiales y demás normas de desarrollo, pero aun así estamos
hablando de todo el Sector Público Español y organizaciones vinculadas o relacionadas,
ya sea en base a sus competencias, o por ser proveedoras. En cualquier caso
deberían cumplir fielmente las funciones y requisitos que se especifican en la
política, o el anexo a la política, o en el documento de roles y comités
vinculado.
En ese sentido, si ya existe un Comité de Seguridad o
equivalente en la sede internacional de la organización privada, propongo se
cree un sub-comité local en España o uno de específico para cumplir con las
disposiciones del ENS. Igual sucede con el Responsable de Seguridad, con los
Administradores de Seguridad si existen y con el Responsable o Administrador
del Sistema que, implícitamente, ya constituyen un grupo local, por lo que no ha
de resultar demasiado difícil implementarlo.
Únicamente recordar que no
debe haber dependencia jerárquica entre Responsable de Seguridad y Responsable
del Sistema, de modo que exista total imparcialidad en las decisiones, en pro
de la seguridad, por parte del primero de ellos.
6. Bibliografía consultada
- [2] Carlos Galán y José María Molina. Guía
de Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema
Nacional de Seguridad”.
- [3] Apartado 4.1 “Terceras partes” de la Guía de Centro Criptológico Nacional “CCN-STIC-803 Valoración de los sistemas”.
(En proceso de revisión).
7. Control de cambios del artículo
Siguiendo voluntariamente
las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se
incorpora el control de cambios a los artículos de este Blog permitiendo
conocer la trazabilidad de los mismos una vez han sido publicados por primera
vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión
de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
29/07/2017
|
Redacción
inicial del artículo
|
Autor
|
8. Derechos de autor
Tablas creadas por el autor.
La presente obra y su título
están protegidos por el derecho de autor. Las denominadas obras derivadas, es
decir, aquellas que son el resultado de la transformación de ésta para generar
otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre
el autor:
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC
y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales
(SEPBLAC).
A
nivel de especialización técnica y de gestión, ha
cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando
adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de
Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de
la Información) por AENOR (Asociación Española de Certificación y
Normalización). Leader Auditor
& Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor
del esquema de certificación STAR para prestadores de servicios de Cloud
Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación
internacional CISA (Certified Information Systems Auditor) by ISACA
(Information Systems Audit and Control Association). Dispone de las
certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service
Management by EXIN (Examination Institute for Information Science).
Desempeña su labor
profesional en la entidad de
certificación AUDERTIS
como Director Técnico (Auditoría y Cumplimiento Normativo). También colabora
con la entidad certificadora British Standards Institution (BSI) como auditor
jefe de certificación e impartiendo formación para la obtención de la
acreditación como lead auditor, en diferentes marcos normativos, incluidas las
especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo
Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT,
asesoramiento respecto a cumplimiento normativo, privacidad y auditorías
respecto a la seguridad de la información. Ha participado como lead
auditor de diferentes sistemas de gestión basados en Normas ISO y en la
optimización de sus procesos. Ha realizado diferentes niveles de auditorías de
cumplimiento legal ya sea para organizaciones sujetas a Derecho público o
privado. Anteriormente ha ostentado la posición de Director de Consultoría en
ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que
aportan las organizaciones profesionales, es vocal de la Junta Directiva -
miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en la prevención del Blanqueo de
Capitales y Financiación del Terrorismo), socio de ASCOM (Asociación Española de Compliance), CUMPLEN (Asociación
de Profesionales de Cumplimiento Normativo), asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de ENATIC (Asociación de expertos nacionales de la
abogacía TIC), miembro de itSMF (IT Service Management Forum) y ATI (Asociación
de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas
las referidas organizaciones. Ha obtenido, junto a algunos miembros de la
iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT),
un premio compartido otorgado por la AEPD y ha sido docente en varios cursos
jurídicos organizados por el ICAB.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.