lunes, 31 de julio de 2017

Las organizaciones del Sector Privado y el ENS


Resumen: Con este artículo se pretende plantear posibles soluciones generalistas ante algunas cuestiones suscitadas durante la Certificación de Conformidad respecto a las disposiciones del Esquema Nacional de Seguridad (ENS) en organizaciones pertenecientes al Sector Privado, ya sea que proporcionan soluciones, o prestan servicios, sustanciales para los sistemas que soportan los servicios prestados a la ciudadanía por parte de organismos del Sector Público, o bien al encontrarse vinculadas o dependientes de las Administraciones Públicas.
Basándome en la experiencia práctica adquirida auditando esta tipología de organizaciones pertenecientes al Sector Privado, aprovecho para incidir en algunas cuestiones específicas que las diferencian de las pertenecientes al Sector Público, en el ámbito del ENS.



Autor del artículo
Colaboración
José Luis Colom Planas

Actualizado

31 de julio de 2017


Índice
1. Ámbito de aplicación del ENS (sujetos obligados)
2. Doble vía de obligación para organizaciones pertenecientes al Sector Privado
2.1 Operadores pertenecientes al Sector Privado que prestan servicios o proveen soluciones
2.2 Entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas

3. El concepto de servicio y de Sistema
3.1 El concepto de servicio en el ENS desde la perspectiva del Sector Público
3.2 El concepto de servicio en el ENS desde la perspectiva del Sector Privado
4. Valoraciones en interconexión de sistemas
4.1 Sistema que maneja información de terceros
4.2 Organismo que se apoya en sistemas de terceros
5. Roles en el Sector Público y en el Sector Privado
5.1 Responsable del Servicio y Responsable de la Información
5.2 Comité de Seguridad y roles del ENS
5.3 Organizaciones multinacionales del Sector Privado
6. Bibliografía consultada

7. Control de cambios del artículo
8. Derechos de autor


1. Ámbito de aplicación del ENS (sujetos obligados)
Por un lado, el ENS se encuentra legislado por el  Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y modificado posteriormente por el Real Decreto 951/2015, de 23 de octubre.

Por otro lado, su ámbito subjetivo de aplicación se determina en el artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), que señala:

 1. La presente Ley se aplica al sector público que comprende:
a) La Administración General del Estado.
b) Las Administraciones de las Comunidades Autónomas.
c) Las Entidades que integran la Administración Local.
d) El sector público institucional.

2. El sector público institucional se integra por:
a) Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.
b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas.
c) Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley.

3. Tienen la consideración de Administraciones Públicas la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público previstos en la letra a) del apartado 2”.

2. Doble vía de obligación para organizaciones pertenecientes al Sector Privado

Las organizaciones pertenecientes al Sector Privado pueden estar obligadas por el ENS, al igual que las pertenecientes al Sector Público, dependiendo de:
  • Si son sujetos obligados, al encontrarse vinculadas o dependientes de las Administraciones Públicas.
  • Si proporcionan soluciones, o prestan servicios, directamente a algún sujeto obligado por el ENS, ya sea Admiración Pública u organización vinculada o dependiente.


NOTA: Si son proveedores de proveedores, que a su vez se encuentra en la situación del último punto anterior, constituyendo cadenas de suministro que terminan en sujetos obligados por el ENS, todos los que conforman la cadena de suministro deben estar Certificados de Conformidad respecto a las disposiciones del ENS (Para categoría de sistemas MEDIA y ALTA). Si no lo está, deberá der auditado, mediante una “auditoría de segunda parte” basada en el ENS, por el proveedor que a su vez se apoye en él y sí que lo esté.


2.1 Operadores pertenecientes al Sector Privado que prestan servicios o proveen soluciones
Fue a raíz del capítulo “VII. Soluciones y servicios prestados por el sector privado” de la “Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad”, que viene a decir que cuando los operadores del Sector Privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas. Será responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondientes Certificaciones de Conformidad.

Es un requisito que ya se está viendo materializado en los pliegos de condiciones de los diferentes concursos públicos, con la solicitud de los correspondientes Certificados de Conformidad como condición ineludible de contratación.

2.2 Entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas
Como se detalla en la Guía de Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad[2] hay que tener especial consideración, por suscitar posibles dudas, con las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, siendo como son sujetos obligados por el RD 3/2010:
  • Las entidades de derecho privado pertenecientes al Sector Público Institucional, como pueden ser RENFE, AENA, INCIBE o TMB, entre muchas otras.
  • Las entidades de derecho privado vinculadas o dependientes de las comunidades autónomas, como TVC Multimedia SL, Ciudad de las Artes y las Ciencias SA, Televisión Autonómica de Aragón, Empresa Municipal de Servicios de Tres Cantos SA o Circuito de Jerez SA, entre muchas otras. El ENS les será de aplicación cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por ésta.
  • Las entidades de derecho privado vinculadas o dependientes de la Administración de las entidades locales, como pueden ser la Empresa Municipal de Transportes de Madrid SA, Barcelona de Serveis Municipals SA o Centro de Informática Municipal de Bilbao SA, entre muchas otras, en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta.
  • Las entidades de derecho privado y fundaciones, como son RTVE, Fundación del Teatro Real, Empresa Nacional de Residuos Radiactivos SA, entre otras, en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.

3. El concepto de servicio y de Sistema

3.1 El concepto de servicio en el ENS desde la perspectiva del Sector Público
No podemos perder de vista que el objeto del Esquema Nacional de Seguridad es dar cumplimiento a los requisitos de seguridad de los servicios prestados por el Sector Público a la ciudadanía, apoyándose en medios electrónicos.

En consecuencia, ese concepto de “servicio público”, entendido como el servicio en sí, junto a los datos por él tratados,  es el que determinará la categoría del sistema que lo soporta o, en otras palabras,  del sistema que es requerido para que pueda prestarse el servicio.
Dicho sistema puede ser titularidad de la Administración Pública, serlo únicamente en una parte o no serlo en ninguna, por haberse externalizado parcial o totalmente en el Sector Privado.


3.2 El concepto de servicio en el ENS desde la perspectiva del Sector Privado
Como ya se ha visto, los operadores pertenecientes al Sector Privado que prestan servicios contratados o aportan soluciones contratadas al Sector Público, también están obligados por las disposiciones del ENS, según se determina en el capítulo VII de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad. [1]

Pero dichos servicios contratados desde el Sector Público al operador privado, entendidos como una forma de materializar la externalización de sistemas o subsistemas públicos, o de su gestión,  no deben confundirse con los servicios públicos que el organismo contratante presta a la ciudadanía. Estos últimos, los servicios públicos, son los denominados propiamente como SERVICIOS en el ENS. Los otros, los servicios contratados, son considerados por el ENS como SISTEMAS o subsistemas externalizados, pese a que en ocasiones pueda haber total correspondencia entre unos y otros.




4. Valoraciones en interconexión de sistemas

4.1 Sistema que maneja información de terceros
Si un sistema maneja información de terceros, o le presta servicios, la valoración de esa información y esos servicios será la determinada por el tercero, titular de los servicios públicos prestados a la ciudadanía. [3]

Es irrelevante que el sistema que maneja la información sea titularidad del Sector Público o del Sector Privado. Un ejemplo podría ser una Diputación Provincial que preste servicios a determinados Ayuntamientos (Público – Público) o un prestador de servicios de Cloud que presta servicios de IaaS a un Ayuntamiento (Privado – Público).


Figura 1. Sistema que maneja información de terceros


En ausencia de valoración, el Responsable de Seguridad del organismo público u operador privado que maneja el sistema de información externalizado, la establecerá según su mejor criterio y, en consecuencia, categorizará  el sistema acorde a dicha valoración.


4.2 Organismo que se apoya en sistemas de terceros
A “sensu contrario” de lo expresado en el apartado anterior, cuando el Sector Público utiliza sistemas de terceros para tratar información o para prestar servicios, la valoración propia será impuesta al tercero que colabora, que la tendrá en cuenta en su propio Plan de Adecuación. Es irrelevante que el tercero sea también del Sector Público, o del Sector Privado.


Figura 2. Sector Público que se apoya en sistemas de terceros

NOTA: Puede también consultarse el apartado 4.1 “Terceras partes” de la Guía CCN-STIC 803 (Valoración de los Sistemas) [2] en proceso de revisión.


5. Roles en el Sector Público y en el Sector Privado

5.1 Responsable del Servicio y Responsable de la Información
Desde el punto de vista expresado anteriormente, los únicos servicios, según los entiende el ENS, son los prestados por el Sector Público, luego es el organismo público el que debe nombrar un Responsable del Servicio y un Responsable de la Información que esos servicios traten. En ocasiones asumen dicho rol los responsables del área entre cuyas competencias está la prestación de algunos de esos servicios a la ciudadanía.

El operador perteneciente al Sector Privado no, ya que seguirá las directrices de dichos roles en el organismo público para adecuar los sistemas, aunque los materialice en base a servicios contratados, tal y como hemos analizado en el apartado anterior.

Puede llegar a ser aceptable, aunque no frecuente, que la organización perteneciente al Sector Privado nombre a su vez a un Responsable del Servicio y un Responsable de la Información, según los entiende el ENS. Esto puede ser con Roles específicos o equiparando otros roles existentes. En ese caso lo sustancial es que no pueden llevar la iniciativa, sino coordinarse y asumir las valoraciones y disposiciones de sus homónimos en el organismo público, que a la postre son los que se responsabilizan de los servicios públicos prestados a la ciudadanía, estén externalizados o no. En la práctica lo que ocurre es que únicamente se coordinan a través de Responsable de Seguridad del organismo público.


5.2 Comité de Seguridad y roles del ENS
El operador perteneciente al Sector Privado deberá disponer de un Responsable de Seguridad, que deberá velar por el cumplimiento de las medidas de seguridad en los sistemas, en su área de competencia delegada, debiendo coordinarse de ser necesario con el Responsable de Seguridad del organismo, que tendrá una visión holística al tener responsabilidad sobre todos los sistemas, propios y externalizados.

Lo mismo debe considerarse respecto al Comité de Seguridad, si se dispone en cualquiera de ambos (El Sector Público que contrata y/o el Sector Privado que es contratado).
Análogamente se requerirá un Responsable o Administrador del sistema para todo aquello que requiera ser administrado técnicamente respecto al servicio contratado, por lo que es imprescindible en el Operador Privado que administra sistemas por cuenta del Sector Público.

El organismo público que contrata, en el hipotético caso de que no  dispusiera de ningún sistema debido a tenerlos todos externalizados, ya no requerirá la figura de Administrador del Sistema, y se apoyará en la del operador privado contratado. Si en vez de uno, los operadores contratados son varios, entonces sí que quizá tenga sentido disponer de dicha figura a efectos de coordinación.
Se vislumbra que deberá estudiarse detenidamente cada caso particular, para encontrar la solución más efectiva en función del nivel de externalización, de los recursos disponibles y de la estructura y categoría de los sistemas.



5.3 Organizaciones multinacionales del Sector Privado

Estamos inmersos en una economía global, por lo que cada vez es más frecuente que organizaciones pertenecientes al Sector Privado aporten soluciones, o presten servicios, a las Administraciones Públicas en calidad de filial española de determinado grupo multinacional.


En esos casos, lo primero que solemos encontrarnos es que ya disponen de un sistema integrado de gestión (SIG) constituido por varias normas ISO, muchos de cuyos instrumentos organizativos – Por ejemplo políticas, normas internas, procedimientos, instrucciones operativas- se gestionan a nivel grupal.
Expresaré para empezar que debe estudiarse cada caso particular, siendo arriesgado e injusto generalizar. No obstante no podemos olvidar, a diferencia de lo que ocurre con la norma ISO 27001, que el ENS es una norma Española, concretamente  amparada por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Ello quiere decir que no puede aprovecharse la política general integrada del grupo multinacional que actúa como proveedor, habitualmente en inglés y muy generalista, sino que como mínimo debe definirse un anexo a la misma que trate los requisitos del ENS, acorde a lo que dispone la medida de seguridad “Org.1 Política de Seguridad” del Anexo II del ENS, escrito en idioma Español para facilitar su comprensión por parte del sujeto obligado por la norma, que requiera conocer dicha política.


Pensemos que es una práctica habitual que se le requiera al proveedor no únicamente el Certificado de Conformidad con las disposiciones del ENS, sino también el último informe detallado de auditoría y la política. Esta última para conocer a grandes rasgos cómo se gestiona la seguridad al amparo del ENS y el Informe de Auditoría para conocer cómo se garantizan las que sean de aplicación de las 75 medidas de seguridad que dispone el Anexo II del ENS. Es algo imprescindible para poder coordinar la seguridad entre ambas organizaciones.

En cuanto a los Roles, no deberían hacer referencia y materializarse en personas del grupo fuera del territorio Español, ya que a mi entender iría en contra de la “ratio legis” de la norma. Ya sé que, como indica el segundo párrafo del art. 3 del RD 3/2010, los sistemas que tratan información clasificada están excluidos del ámbito de aplicación del ENS, al estar regulados por Ley 9/1968, de 5 de abril, de Secretos Oficiales y demás normas de desarrollo, pero aun así estamos hablando de todo el Sector Público Español y organizaciones vinculadas o relacionadas, ya sea en base a sus competencias, o por ser proveedoras. En cualquier caso deberían cumplir fielmente las funciones y requisitos que se especifican en la política, o el anexo a la política, o en el documento de roles y comités vinculado.

En ese sentido, si ya existe un Comité de Seguridad o equivalente en la sede internacional de la organización privada, propongo se cree un sub-comité local en España o uno de específico para cumplir con las disposiciones del ENS. Igual sucede con el Responsable de Seguridad, con los Administradores de Seguridad si existen y con el Responsable o Administrador del Sistema que, implícitamente, ya constituyen un grupo local, por lo que no ha de resultar demasiado difícil implementarlo.
Únicamente recordar que no debe haber dependencia jerárquica entre Responsable de Seguridad y Responsable del Sistema, de modo que exista total imparcialidad en las decisiones, en pro de la seguridad, por parte del primero de ellos.


6. Bibliografía consultada
  


- [1] BOE. “Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad”.



- [2] Carlos Galán y José María Molina. Guía de Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad”.



- [3] Apartado 4.1 “Terceras partes” de la Guía de Centro Criptológico Nacional “CCN-STIC-803 Valoración de los sistemas”. (En proceso de revisión).


7. Control de cambios del artículo

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
29/07/2017
Redacción inicial del artículo
Autor


















8. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.

Tablas creadas por el autor.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, ya sean estos jurídicos o de adscripción voluntaria. Está especializado en aplicar normas ISO a entornos jurídicos como pueden ser el Derecho Penal-Económico y el Derecho de las nuevas tecnologías. También es especialista en marcos normativos relacionados con la seguridad de la información.  A partir de su dilatada experiencia, edita el Blog jurídico “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director Técnico (Auditoría y Cumplimiento Normativo). También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y auditorías respecto a la seguridad de la información.  Ha participado como lead auditor de diferentes sistemas de gestión basados en Normas ISO y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.

Convencido del valor que aportan las organizaciones profesionales, es vocal de la Junta Directiva - miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en la prevención del Blanqueo de Capitales y Financiación del Terrorismo), socio de ASCOM (Asociación Española de Compliance), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo), asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de ENATIC (Asociación de expertos nacionales de la abogacía TIC), miembro de itSMF (IT Service Management Forum) y ATI (Asociación de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. Ha obtenido, junto a algunos miembros de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT), un premio compartido otorgado por la AEPD y ha sido docente en varios cursos jurídicos organizados por el ICAB.








No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.