Las administraciones deben seguir determinados trámites para adecuarse al Esquema Nacional de Seguridad. Simplificándolos, los agruparemos en tres fases concretas: Plan de Adecuación, Implantación y Auditoría.
Es lo mismo que cuando alguien desea construir una casa. Primero hace “los planos” y, a partir de ellos, el constructor la “edifica”. En nuestro caso, la construcción de un Sistema de Gestión de la Seguridad de la Información basado en el ENS, primero debe planificarse para poder implantarse después con todas las garantías.
FASE 1: Plan de Adecuación (ver Guía CCN-STIC-806):
- Se debe elaborar, aprobar y promulgar la política de seguridad, como se determina en la Guía CCN-STIC-805. Esto supone definir los roles y la asignación de responsabilidades relacionadas con el ENS, como se establece en la Guía CCN-STIC‐801. Los roles más relevantes son el responsable del servicio, el responsable de la información, el responsable de la seguridad y el administrador del sistema.
El responsable del servicio determinará los requisitos de los servicios prestados a la ciudadanía en el ámbito del ENS; el responsable de la información determinará los requisitos de la información tratada por esos servicios; el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, y el administrador del sistema asegurará técnicamente que dichos sistemas soporten los servicios siguiendo los requisitos de los anteriores. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de potenciales conflictos entre ellos.
- Categorizar los sistemas atendiendo a la valoración de los servicios prestados y la información que éstos tratan (ver Guía CCN-STIC-803). Este es un aspecto fundamental para poder determinar las medidas de seguridad más adecuadas que deberán implantarse para la protección del sistema y de los datos y servicios que soportan.
Una categorización realista y adecuada de los servicios prestados a la ciudadanía permitirá mitigar el riesgo de que se produzca un posible incidente de seguridad.
- Realizar un análisis de riesgos, considerando la valoración de las medidas de seguridad existentes. Los resultados del análisis de riesgos permiten evaluar aquellos riesgos considerados intolerables para la organización y elegir para mitigarlos las medidas de seguridad apropiadas. La gestión de la seguridad basada en el riesgo es el mejor modo para reducir al mínimo su potencialidad, optimizando los recursos al destinarse éstos proporcionalmente al nivel de riesgo obtenido.
- Efectuar un análisis de insuficiencias o diferencial. Consiste en estudiar la situación real en la organización de cada una de las medidas de seguridad que determina el Anexo II del ENS. Debe recordarse que dichas medidas vendrán determinadas por la categorización de los sistemas realizada previamente.
- Preparar y aprobar la Declaración de aplicabilidad de las 75 medidas del Anexo II del ENS. Esta declaración debe especificar, de forma motivada para cada medida, si aplica o no, y cómo se implementará dicha medida de seguridad. Para quién no esté muy familiarizado con ellas, engloban aspectos como el control de acceso, asegurar la red interna, la protección contra incendios o los deberes y obligaciones del personal.
- Elaborar un plan de mejora de la seguridad, sobre la base de las insuficiencias detectadas y del análisis de riesgos, incluyendo plazos estimados de ejecución y recursos necesarios. Suele dividirse en acciones para ser abordadas de forma inmediata, acciones a corto y acciones a medio plazo. Es conveniente detallar al máximo como se implantará cada acción, como si de un conjunto de mini proyectos se tratara.
FASE 2: Implantación (ver Guía CCN-STIC-806):
A mayor nivel de detalle en el Plan de mejora de la seguridad, más fácil será implantarlo llevándolo del plano teórico al práctico.
- La fase de implantación no solo incluye la materialización del citado Plan, sino la operación y monitorización continuada de las diferentes medidas de seguridad aplicadas, ya sean técnicas u organizativas en base a normas internas y procedimientos que las desarrollen. Se marca así la diferencia entre un puñado de medidas de seguridad y la seguridad gestionada en base a un sistema de gestión del ENS basado en la mejora continua.
- También es conveniente formar y concienciar asiduamente al personal respecto a la seguridad, de forma que reforcemos aquella célebre frase que señala a las personas como el eslabón más débil de la cadena de protección de los servicios y la información que tratan.
FASE 3: Auditoría (ver Guía CCN-STIC-802):
- Deberán realizarse auditorías periódicas que permitan detectar desviaciones respecto a lo previsto en el Plan de Adecuación al ENS y en el propio RD 3/2010 y modificaciones posteriores. Si los sistemas se han categorizado de nivel medio o alto, es obligatorio realizarlas bienales (cada dos años) por una entidad certificadora, que extenderá, caso de superarse positivamente, el correspondiente Certificado de Conformidad con el ENS para la categoría del sistema que corresponda. Caso de sistemas categorizados de nivel básico (los menos frecuentes), entonces la certificación independiente es opcional.
- Si como resultado de las auditorías se eleva alguna no conformidad menor, la organización auditada deberá presentar un Plan de Acciones Correctivas (PAC) dónde se identifica la solución que corregirá la no conformidad, y la planificación para su materialización.
Realizar el Plan de Adecuación primero e implementarlo después requiere de expertos que construyan un sistema de gestión de la seguridad acorde a las premisas que establece el Esquema Nacional de Seguridad.