martes, 6 de diciembre de 2016

Conformidad con el Esquema Nacional de Seguridad (ENS)


Resumen: Con la aprobación del Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, primero, y la aparición de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad, después, se alcanza la madurez y el despegue definitivo del ENS en España.


Autor del artículo
Colaboración
José Luis Colom Planas

Actualizado

6 de diciembre de 2016



Índice

1. Introducción
2. Marco jurídico
3. Diferencia entre Declaración y Certificación de Conformidad
3.1 Introducción
3.2 Declaración de Conformidad
3.3 Certificación de Conformidad
3.4 Operadores del sector privado
4. Ámbito de aplicación del ENS
5. El ENS y la norma ISO/IEC 27001:2013
6. Bibliografía consultada
7. Control de cambios del artículo
8. Derechos de autor
ANEXO I: Las 75 medidas de seguridad del ENS



1. Introducción

El año 2010 fue un año muy prolijo para el legislador, ya que se aprobaron leyes, y reformas de leyes, que han tenido una incidencia notable en la protección de la sociedad española en sus diferentes aspectos:




  • La primera que me viene a la cabeza es la LO 5/2010, de 22 de junio, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, que todos sabemos acabó con la célebre locución latina “Societas delinquere non potest”.
  • La segunda es la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, transposición de la Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo (tercera Directiva), desarrollada por la Directiva 2006/70/CE de la Comisión, de 1 de agosto de 2006.
  • Y como no, antes de las referidas se aprobó el RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica.

Ya que es en base a esta última Norma que escribo este artículo, motivado también por mi reciente incorporación profesional a la entidad certificadora AUDERTIS especializada en el ENS, diré que su ratio legis es la protección de los servicios prestados a la ciudadanía, y la información que éstos tratan, asegurando los sistemas de información de las Administraciones públicas que los soportan, ya sea directamente, o bien apoyados, o externalizados, en operadores privados.

Como señala la Guía CCN-STIC 809 “Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento[2] en su introducción: “Una de las piezas fundamentales que vertebran lo que se ha dado en llamar la Administración Electrónica: la seguridad de los sistemas de información de las Administraciones Públicas, seguridad entendida como el conjunto de principios básicos y requisitos mínimos requeridos para una protección adecuada de la información tratada y los servicios prestados por las entidades del sector público de su ámbito de aplicación”.

El esquema de conformidad asociado, mediante la Resolución de 13 de octubre de 2016 de la Secretaría de Estado de Administraciones Públicas, permite acreditar al organismo, o a la organización privada que colabora con él, que cumple con los requerimientos de seguridad determinados por el ENS.



2. Marco jurídico

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP), estableció el Esquema Nacional de Seguridad (ENS) que, aprobado mediante el RD 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación, conteniendo los principios básicos y requisitos mínimos que han de permitir una protección adecuada de los servicios, y la información que estos tratan, mediante el uso de sistemas de información.

Debe tenerse en cuenta la reforma de 2015 en base al  RD 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS.

 Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), recoge el Esquema Nacional de Seguridad en el artículo 156 apartado 2, en similares términos: “2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

Por otro lado, y como quiera que las medidas de seguridad contempladas en el ENS no son sólo exigibles a las relaciones ad intra (relaciones entre entidades o Administraciones Públicas), sino que deben extenderse también a las relaciones ad extra (relaciones entre las Administraciones y los ciudadanos), este ámbito de aplicación debe completarse con el recogido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Dicha ley contiene significativas referencias a la aplicación del Esquema Nacional de Seguridad y, en general, a la seguridad de la información, tales como las realizadas en el art. 13 (Derechos de las personas en sus relaciones con las Administraciones Públicas), art. 16 (Registros), art. 17 (Archivo de documentos), art. 27  (Validez y eficacia de las copias realizadas por las Administraciones Públicas), art. 31 (Cómputo de plazos en los registros), art. 56 (Medidas provisionales), Disposición Adicional Segunda (Adhesión de las Comunidades Autónomas y Entidades Locales a las plataformas y registros de la Administración General del Estado).

Si se asume que el objeto del ENS es proteger los sistemas que soportan los servicios prestados a la ciudadanía apoyándose en medios electrónicos, y que éstos tratan datos, algunos de ellos de naturaleza personal, implica que la legislación vigente en materia de protección de datos también deberá considerarse. No se cumple con lo dispuesto por el ENS si no se cumple con las disposiciones respecto a la protección de datos.

En espera de que sea de aplicación en mayo de 2018 el ya aprobado Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), significa que en base al Derecho vigente se debe considerar la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su Reglamento de desarrollo, el RD 1720/2007, de 21 de diciembre.

Además, el Real Decreto 3/2010, de 8 de enero, en su artículo 29 apartado 2, sobre Instrucciones Técnicas de Seguridad (ITS) y guías de seguridad, dispone:  “2. El Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica previsto en el artículo 40 de la Ley 11/2007, de 22 de junio, y a iniciativa del Centro Criptológico Nacional, aprobará las instrucciones técnicas de seguridad de obligado cumplimiento y se publicarán mediante resolución de la Secretaría de Estado de Administraciones Públicas. Para la redacción y mantenimiento de las instrucciones técnicas de seguridad se constituirán los correspondientes grupos de trabajo en los órganos colegiados con competencias en materia de administración electrónica.

En el preámbulo de una de esas Resoluciones, se señala: “Dichas instrucciones técnicas de seguridad son esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el Esquema” y también “Estas instrucciones técnicas de seguridad se desarrollarán y perfeccionarán a lo largo del tiempo, en paralelo al progreso de los servicios de Administración electrónica, las infraestructuras que los apoyan, la evolución tecnológica y los riesgos derivados de operar en el ciberespacio”.

En consecuencia la certificación se basa también en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, [1] que viene a actualizar el contenido de la Guía de seguridad CCN-STIC 809 “Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento”, de mayo de 2016. [2]



3. Diferencia entre Declaración y Certificación de Conformidad

3.1 Introducción

Es responsabilidad de las entidades públicas que el esfuerzo desarrollado para poder garantizar la seguridad  sus sistemas de información se publicite adecuadamente, trasladando a la ciudadanía la confianza respecto a los servicios que prestan, conforme éstos son eficaces y seguros. Viene a ser similar al certificado que se otorga por parte de una entidad acreditada de certificación a una organización cuyo Sistema de Gestión de la Seguridad de la Información (SGSI) cumple con las disposiciones de la norma de adscripción voluntaria ISO/IEC 27001:2013. [Vid. Apartado 5 de este mismo artículo].

Ante esta necesidad de dar publicidad a las garantías adoptadas en el desenvolvimiento de las Administraciones Públicas y el desarrollo del procedimiento administrativo prestado apoyándose en medios electrónicos, como muestra de transparencia, el artículo 41 del ENS señala: “Artículo 41. Publicación de conformidad. Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”.

Esta publicidad, también es extensiva a los operadores económicos del sector privado que participen en la prestación de servicios y la aportación de soluciones a las entidades públicas.

Recordaré que el ENS, partiendo de la valoración de los servicios y la información en cinco dimensiones de la seguridad: Confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (La norma ISO/IEC 27001:2013 únicamente considera las tres primeras dimensiones), se categorizan los sistemas de información que los soportan en nivel básico, medio y alto. Esta clasificación es necesaria para determinar si se puede optar a la simple Declaración (si no se dispone de ningún sistema de categoría media o alta, circunstancia poco probable según mi experiencia) o bien debe optarse a la Certificación.



3.2 Declaración de Conformidad

La Declaración de Conformidad con el Esquema Nacional de Seguridad únicamente es posible para sistemas de categoría BÁSICA y será expedida por la propia entidad (auto-declaración) bajo cuya responsabilidad se encuentren dichos sistemas.

Se completará mediante un Distintivo de Declaración de Conformidad cuyo uso estará condicionado a la antedicha Declaración de Conformidad.

Para publicar la Declaración de Conformidad con el Esquema Nacional de Seguridad bastará con la exhibición en la sede electrónica de la entidad pública titular o usuaria del sistema de información en cuestión, del Distintivo de Declaración de Conformidad que incluirá un enlace al documento de Declaración de Conformidad correspondiente, que también permanecerá accesible a través de dicha sede electrónica.

La entidad que disponga únicamente de sistemas de categoría BÁSICA puede optar, en vez de la Declaración, por la Certificación de Conformidad, aportando mayores garantías a la ciudadanía respecto a su cumplimiento.









3.3 Certificación de Conformidad

La Certificación de Conformidad con el Esquema Nacional de Seguridad, preceptiva para sistemas de categorías MEDIA o ALTA y discrecional para los de categoría BÁSICA, será expedida por una entidad certificadora y se completará mediante un Distintivo de Certificación de Conformidad cuyo uso estará condicionado a la antedicha Certificación de Conformidad.

Dicha Certificación de Conformidad así como su distintivo se expresarán en documentos electrónicos, en formato no editable.

Para publicar la Certificación de Conformidad con el Esquema Nacional de Seguridad, bastará con la exhibición en la sede electrónica de la entidad pública titular o usuaria del sistema de información en cuestión, del Distintivo de Certificación de Conformidad que incluirá un enlace al documento de Certificación de Conformidad correspondiente, que también permanecerá accesible a través de dicha sede electrónica.














3.4 Operadores del sector privado

Según la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad: “Cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a las que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas”.

Es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la antedicha Instrucción Técnica de Seguridad.

Análogamente a las entidades públicas, los Distintivos de Conformidad, cuando se exhiban por parte de los operadores privados, deberán enlazar con las correspondientes Declaraciones o Certificaciones de Conformidad, que permanecerán siempre accesibles en la página Web del operador de que se trate.

Además del Centro Criptológico Nacional y la Entidad Nacional de Acreditación, las entidades públicas usuarias de soluciones o servicios provistos o prestados por organizaciones del sector privado que exhiban una Declaración o Certificación de Conformidad con el Esquema Nacional de Seguridad podrán solicitar en todo momento a tales operadores privados los Informes de Autoevaluación o de Auditoría correspondientes, al objeto de verificar la adecuación e idoneidad de las antedichas manifestaciones.



4. Ámbito de aplicación del ENS

El artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, señala:

Artículo 2. Ámbito Subjetivo.

1. La presente Ley se aplica al sector público que comprende:
a) La Administración General del Estado.
b) Las Administraciones de las Comunidades Autónomas.
c) Las Entidades que integran la Administración Local.
d) El sector público institucional.
2. El sector público institucional se integra por:
a) Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.
b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas.
c) Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley.
3. Tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público previstos en la letra a) del apartado 2”.

Este ámbito de aplicación debe completarse con el recogido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.:

“4. Las Corporaciones de Derecho Público se regirán por su normativa específica en el ejercicio de las funciones públicas que les hayan sido atribuidas por Ley o delegadas por una Administración Pública, y supletoriamente por la presente Ley”.

En consecuencia, quedan también obligadas por el ENS las entidades de Derecho privado pertenecientes al sector público institucional, como pueden ser, por citar algunas, la Agencia Efe SA, Aeropuertos Españoles y Navegación Aérea (AENA), Red Nacional de Ferrocarriles Españoles (RENFE) (…) y las entidades de Derecho privado vinculadas o dependientes de las comunidades autónomas, como pueden ser, por citar también algunas, Ciudad de las Artes y las Ciencias SA, Instituto Valenciano de Investigaciones Económicas SA, Centro Alto Rendimiento Región de Murcia SAU, etc.

Luego, según la Guía CCN-STIC 830 “Ámbito de aplicación del Esquema Nacional de Seguridad”, de septiembre de 2016 [3]:   El RD 3/2010 será de aplicación a las entidades de derecho privado vinculadas o dependientes de las Comunidades Autónomas cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta”.

También quedan obligadas al ENS las entidades de Derecho privado vinculadas o dependientes de la Administración de las entidades locales, como pueden ser, por citar algunas, Barcelona de Serveis Municipals SA, Empresa Municipal de Transportes de Madrid SA, Asociación Navarra de Informática Municipal SA, etc.

Luego, según la Guía CCN-STIC 830 “Ámbito de aplicación del Esquema Nacional de Seguridad”, de septiembre de 2016:  El RD 3/2010 será de aplicación a las entidades de derecho privado vinculadas o dependientes de la Administración de las Entidades Locales en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta”.

También quedan obligadas las entidades de Derecho privado vinculadas o dependientes de las Administraciones Públicas en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.

Las fundaciones, tanto las privadas como las del sector público estatal, tienen personalidad jurídica privada y, por tanto, también les resulta de aplicación el ENS en los mismos casos que ya se han indicado.

Los operadores privados que prestan servicios u ofrecen servicios al sector público, o a las entidades de Derecho privado obligadas,  también quedan sometidos a dicha ley en el ámbito de los servicios o soluciones que aporten. Adicionalmente, su Certificación de Conformidad les situará en óptimas condiciones, si no obligadas como condición sine qua non, para poder presentarse a pliegos de la Administración pública.



5. El ENS y la norma ISO/IEC 27001:2013

Como se afirma en la Guía CCN-STIC 825 “Esquema Nacional de Seguridad: Certificaciones 27001”, de noviembre de 2013 [4] la correspondencia no es una relación matemática de equivalencia. (…) Si el organismo tiene una certificación 27001 y se han cubierto los controles referenciados de la 27002, con incorporar lo adicional se puede considerar cumplido el Anexo II del ENS”.


Lo primero que se debe tener en cuenta es:



  • La norma ISO/IEC 27001:2013 es una norma internacional certificable y de adscripción voluntaria para cualquier Sistema de Gestión de Seguridad de la Información (SGSI). Su cumplimiento se evidencia erga omnes mediante una certificación, expedida por un auditor certificado, perteneciente a una entidad certificadora acreditada, y previa auditoría con resultado satisfactorio.
  • Por su parte, el ENS es una disposición de carácter legal, de obligado cumplimiento para los sistemas de información del ámbito de aplicación de la Ley 11/2007. Su cumplimiento se evidencia erga omnes mediante una [Declaración aparte] Certificación de conformidad legal, previa auditoría por una entidad certificadora acreditada, y previa auditoría con resultado satisfactorio.

Debo decir, no obstante, que la norma ISO/IEC 27001:2013 y el ENS, pese a tener muchos elementos de similitud, no son completamente equivalentes. La fundamental diferencia radica en el alcance: Mientras que el alcance de la norma ISO lo decide la Organización de forma subjetiva en base a su particular criterio, el alcance del ENS viene determinado de forma objetiva por los servicios que el organismo presta a la ciudadanía apoyándose en medios electrónicos en aplicación de la Ley 11/2007.

Además, como evidencia  de esa falta de correspondencia directa, la simple comparación de los controles o medidas de seguridad determinados en ambos anexos nos muestra una apreciable diferencia: 75 en el “anexo II” del ENS y 114 en el “anexo A” de la norma ISO/IEC 27001:2013. No obstante, esa diferencia en el número no debe hacernos creer que es más completa la norma ISO que el ENS, ya que algunos controles de una norma se desarrollan en varios de la otra.

Podemos plantear el siguiente cuadro resumen:

Concepto
ISO/IEC 27001:2013
RD 3/2010 (ENS)
Ontología
Norma internacional de seguridad, sin rango legal.
Regulación legal de carácter estatal, perteneciente al ordenamiento jurídico español derivado de la Ley 11/2007.
Carácter
Certificación voluntaria
Cumplimiento obligatorio
Ámbito de aplicación
Para cualquier sistema de gestión de seguridad de la información.
Para los sistemas de información de las Administraciones públicas comprendidos en el ámbito de aplicación de la Ley 11/2007.
Modulación de las medidas
Según criterio del auditor, en base a la norma internacional.
Regulado en función de los tipos de activos y los niveles de seguridad requeridos
Evidencia de cumplimiento o Conformidad
Mediante certificación, expedida por un auditor perteneciente a una entidad acreditada, previa auditoría con resultado satisfactorio.
Mediante Certificación de Conformidad legal, previa auditoría por entidad acreditada por ENAC con resultado satisfactorio.

Cuadro actualizado partiendo de la Guía CCN-STIC 825

En el apartado 5.1 de la Guía CCN-STIC 825 “Esquema Nacional de Seguridad: Certificaciones 27001”, de noviembre de 2013, [4] puede verse una tabla a modo de cuadro resumen con las diferencias que cabe esperar entre una certificación ISO 27001 y el cumplimiento de cada una de las 75 medidas de seguridad que determina el ENS.

Advierto que debe analizarse con precaución ya que la mayor o menor exactitud de dicha tabla dependerá de:

  • Que la medida de seguridad se haya visto modificada, o no, por el RD 951/2015, de 23 de octubre, de modificación del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Que el alcance del SGSI coincida, o no, con el ámbito del ENS en el ente u organización que le presta servicios o aporta soluciones.
  • De la categorización de los sistemas, dado que algunas medidas de seguridad del ENS son más o menos restrictivas en función de dicha categorización en (BÁSICO, MEDIO O ALTO).
  • De los controles excluidos justificadamente en ambas Declaraciones de Aplicabilidad: la que se establece en el Plan de Adecuación del ENS y la que se determina en el apartado 6.1.3 d) de la norma ISO/IEC 27001:2013 (SOA) y, en su caso, los controles compensatorios alternativos.



6. Bibliografía consultada

- [1] Secretaría de Estado de Administraciones Públicas.  Resolución de 13 de octubre de 2016, por la que se aprueba la Instrucción Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad”.

- [2] Ministerio de Hacienda y Administraciones Públicas. Centro Criptológico Nacional. Guía de seguridad CCN-STIC 809. “Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento”. Mayo de 2016.

- [3] Ministerio de Hacienda y Administraciones Públicas. Centro Criptológico Nacional. Guía de seguridad CCN-STIC 830. “Ámbito de aplicación del Esquema Nacional de Seguridad”. Septiembre de 2016.

- [4] Ministerio de Hacienda y Administraciones Públicas. Centro Criptológico Nacional. Guía CCN-STIC 825. “Esquema Nacional de Seguridad: Certificaciones 27001”. Noviembre de 2013.



7. Control de cambios del artículo

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
06/12/2016
Redacción inicial del artículo
Autor


















8. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.
Tablas adaptadas por el autor.

 

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.



ANEXO I: Las 75 medidas de seguridad del ENS

Se detallan a continuación de forma esquemática las 75 medidas de seguridad que determina el Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, contemplando el RD 951/2015, de 23 de octubre, de modificación del ENS.

Pueden verse las medidas que aplican en función de la categorización de los sistemas y, en su caso, de la dimensión de seguridad afectada.

Categoría de los Sistemas

Medidas de seguridad
Dimensión
B
M
A


org
Marco organizativo
categoría
aplica
=
=
org.1
Política de seguridad
categoría
aplica
=
=
org.2
Normativa de seguridad
categoría
aplica
=
=
org.3
Procedimientos de seguridad
categoría
aplica
=
=
org.4
Proceso de autorización


op
Marco operacional




op.pl
Planificación
categoría
aplica
+
++
op.pl.1
Análisis de riesgos
categoría
aplica
+
++
op.pl.2
Arquitectura de seguridad
categoría
aplica
=
=
op.pl.3
Adquisición de nuevos componentes
D
n.a.
aplica
=
op.pl.4
Dimensionamiento/Gestión de capacidades
categoría
n.a.
n.a.
aplica
op.pl.5
Componentes certificados




op.acc
Control de acceso
A T
aplica
=
=
op.acc.1
Identificación
I C A T
aplica
=
=
op.acc.2
Requisitos de acceso
I C A T
n.a.
aplica
=
op.acc.3
Segregación de funciones y tareas
I C A T
aplica
=
=
op.acc.4
Proceso de gestión de derechos de acceso
I C A T
aplica
+
++
op.acc.5
Mecanismo de autenticación
I C A T
aplica
+
++
op.acc.6
Acceso local (local logon)
I C A T
aplica
+
=
op.acc.7
Acceso remoto (remote login)




op.exp
Explotación
categoría
aplica
=
=
op.exp.1
Inventario de activos
categoría
aplica
=
=
op.exp.2
Configuración de seguridad
categoría
n.a.
aplica
=
op.exp.3
Gestión de la configuración
categoría
aplica
=
=
op.exp.4
Mantenimiento
categoría
n.a.
aplica
=
op.exp.5
Gestión de cambios
categoría
aplica
=
=
op.exp.6
Protección frente a código dañino
categoría
n.a.
aplica
=
op.exp.7
Gestión de incidentes
T
aplica
+
++
op.exp.8
Registro de la actividad de los usuarios
categoría
n.a.
aplica
=
op.exp.9
Registro de la gestión de incidentes
T
n.a.
n.a.
aplica
op.exp.10
Protección de los registros de actividad
categoría
aplica
+
=
op.exp.11
Protección de claves criptográficas




op.ext
Servicios externos
categoría
n.a.
aplica
=
op.ext.1
Contratación y acuerdos de nivel de servicio
categoría
n.a.
aplica
=
op.ext.2
Gestión diaria
D
n.a.
n.a.
aplica
op.ext.9
Medios alternativos




op.cont
Continuidad del servicio
D
n.a.
aplica
=
op.cont.1
Análisis de impacto
D
n.a.
n.a.
aplica
op.cont.2
Plan de continuidad
D
n.a.
n.a.
aplica
op.cont.3
Pruebas periódicas




op.mon
Monitorización del sistema
categoría
n.a.
aplica
=
op.mon.1
Detección de intrusión
categoría
n.a.
n.a.
aplica
op.mon.2
Sistema de métricas

mp
Medidas de protección




mp.if
Protección de las instalaciones e infraestructuras
categoría
aplica
=
=
mp.if.1
Áreas separadas y con control de acceso
categoría
aplica
=
=
mp.if.2
Identificación de las personas
categoría
aplica
=
=
mp.if.3
Acondicionamiento de los locales
D
aplica
+
=
mp.if.4
Energía eléctrica
D
aplica
=
=
mp.if.5
Protección frente a incendios
D
n.a.
aplica
=
mp.if.6
Protección frente a inundaciones
categoría
aplica
=
=
mp.if.7
Registro de entrada y salida de equipamiento
D
n.a.
n.a.
aplica
mp.if.9
Instalaciones alternativas




mp.per
Gestión del personal
categoría
n.a.
aplica
=
mp.per.1
Caracterización del puesto de trabajo
categoría
aplica
=
=
mp.per.2
Deberes y obligaciones
categoría
aplica
=
=
mp.per.3
Concienciación
categoría
aplica
=
=
mp.per.4
Formación
D
n.a.
n.a.
aplica
mp.per.9
Personal alternativo




mp.eq
Protección de los equipos
categoría
aplica
+
=
mp.eq.1
Puesto de trabajo despejado
A
n.a.
aplica
+
mp.eq.2
Bloqueo de puesto de trabajo
categoría
aplica
=
+
mp.eq.3
Protección de equipos portátiles
D
n.a.
aplica
=
mp.eq.9
Medios alternativos




mp.com
Protección de las comunicaciones
categoría
aplica
=
+
mp.com.1
Perímetro seguro
C
n.a.
aplica
+
mp.com.2
Protección de la confidencialidad
I A
aplica
+
++
mp.com.3
Protección de la autenticidad y de la integridad
categoría
n.a.
n.a.
aplica
mp.com.4
Segregación de redes
D
n.a.
n.a.
aplica
mp.com.9
Medios alternativos




mp.si
Protección de los soportes de información
C
aplica
=
=
mp.si.1
Etiquetado
I C
n.a.
aplica
+
mp.si.2
Criptografía
categoría
aplica
=
=
mp.si.3
Custodia
categoría
aplica
=
=
mp.si.4
Transporte
C
aplica
+
=
mp.si.5
Borrado y destrucción




mp.sw
Protección de las aplicaciones informáticas
categoría
n.a.
aplica
=
mp.sw.1
Desarrollo
categoría
aplica
+
++
mp.sw.2
Aceptación y puesta en servicio




mp.info
Protección de la información
categoría
aplica
=
=
mp.info.1
Datos de carácter personal
C
aplica
+
=
mp.info.2
Calificación de la información
C
n.a.
n.a.
aplica
mp.info.3
Cifrado
I A
aplica
+
++
mp.info.4
Firma electrónica
T
n.a.
n.a.
aplica
mp.info.5
Sellos de tiempo
C
aplica
=
=
mp.info.6
Limpieza de documentos
D
aplica
=
=
mp.info.9
Copias de seguridad (backup)




mp.s
Protección de los servicios
categoría
aplica
=
=
mp.s.1
Protección del correo electrónico
categoría
aplica
=
+
mp.s.2
Protección de servicios y aplicaciones web
D
n.a.
aplica
+
mp.s.8
Protección frente a la denegación de servicio
D
n.a.
n.a.
aplica
mp.s.9
Medios alternativos»