En este caso, abordamos la segunda parte de nuestro post con el que pretendemos abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).
Si bien en el primero de los artículos hablábamos del ámbito de aplicación del ENS (sujetos obligados) y los fundamentos jurídicos, en este caso hablamos del concepto de servicio en el ENS desde la perspectiva del Sector Público.
3.1 El concepto de servicio en el ENS desde la perspectiva del Sector Público
No podemos perder de vista que el objeto del Esquema Nacional de Seguridad es dar cumplimiento a los requisitos de seguridad de los servicios prestados por el Sector Público a la ciudadanía, apoyándose en medios electrónicos, asegurando los sistemas de información en que se apoyan.
En consecuencia, este concepto de “servicio público”, entendido como el servicio en sí, junto a los datos por él tratados, es el que determinará la categoría del sistema que lo soporta o, en otras palabras, del sistema que es requerido para que pueda prestarse el servicio.
Dicho sistema puede ser titularidad de la Administración Pública, serlo únicamente en parte o no serlo en ninguna, por haberse externalizado parcial o totalmente en el Sector Privado.
3.2 El concepto de servicio en el ENS desde la perspectiva del Sector Privado
Como ya se ha visto, los operadores pertenecientes al Sector Privado que prestan servicios contratados o aportan soluciones contratadas al Sector Público, también están obligados por las disposiciones del ENS, según se determina en el capítulo VII de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad.
Pero dichos servicios contratados desde el Sector Público al operador privado, entendidos como una forma de materializar la externalización de sistemas o subsistemas públicos, o de su gestión, no deben confundirse con los servicios públicos que el organismo contratante presta a la ciudadanía. Estos últimos, los servicios públicos, son los denominados propiamente como SERVICIOS en el ENS. Los otros, los servicios contratados, son considerados por el ENS como SISTEMAS o subsistemas externalizados, pese a que en ocasiones pueda haber total correspondencia entre unos y otros.
4. Valoraciones en interconexión de sistemas
Sobre valoraciones ante interconexión de sistemas puede consultarse el apartado 5.4 “Terceras partes” de la Guía CCN-STIC 803 (Valoración de los Sistemas) en cuya revisión han participado José Antonio Mañas y AUDERTIS.
4.1 Sistema que maneja información de terceros
Si un sistema maneja información de terceros, o le presta servicios, la valoración de esa información y esos servicios será la determinada por el tercero, titular de los servicios públicos prestados a la ciudadanía. Es irrelevante que el sistema que maneja la información sea titularidad del Sector Público o del Sector Privado.
Un ejemplo podría ser una Diputación Provincial que preste servicios a determinados Ayuntamientos (Público – Público) o un prestador de servicios de Cloud que presta servicios de IaaS a un Ayuntamiento (Privado – Público).
Figura 3. Sistema que maneja información de tercerosEn ausencia de valoración, el Responsable de Seguridad del organismo que maneja el sistema de información externalizado, sea público o privado, la establecerá según su mejor criterio y, en consecuencia, categorizará el sistema acorde a dicha valoración.
4.2 Organismo que se apoya en sistemas de terceros
A “sensu contrario” de lo expresado en el apartado anterior, cuando el Sector Público utiliza sistemas de terceros para tratar información o para prestar servicios, la valoración propia será impuesta al tercero que colabora, que la tendrá en cuenta en su propio Plan de Adecuación. Es irrelevante que el tercero sea también del Sector Público, o sea del Sector Privado.
La próxima semanas abordaremos el tercer y último artículo con el que cerraremos esta serie relacionada con las Organizaciones privadas en el Esquema Nacional de Seguridad.
José Luis Colom Planas