Tribulaciones de un auditor del ENS, a 10 años de su nacimiento

52

Al igual que en el final de Blade Runner, cuando el personaje de Rutger Hauer dice la famosa frase, que por cierto se inventó: “He visto cosas que no creeríais… “.

Y es que, como auditor del ENS, visto desde el punto de vista de la Norma que nos ocupa, el Esquema Nacional de Seguridad, y sus diez años de andadura, se podría decir que es así.

Creo que a ello contribuye un gran problema de percepción con respecto a esta Norma: la falacia de que puede compararse con otras certificaciones, como la ISO27001. Ante todo, porque éstas no son de obligada aplicación, dada su naturaleza de frameworks de buenas prácticas, lo que no se puede interpretar como de obligado cumplimiento (sólo si uno quiere obtener la certificación correspondiente), a diferencia del ENS. Y, sobre todo, porque los requerimientos de estas certificaciones no tienen ni la amplitud ni la profundidad en el nivel de detalle que requiere el proceso de auditoría de la Norma.

Nuestro ámbito de actuación han sido siempre las empresas del sector privado interesadas en obtener la certificación, por su trabajo de cara a las Administraciones Públicas. Y, aunque por suerte no es una situación extendida, en algún caso de los que he tenido durante este tiempo, disponer de la ISO27001 ha confundido a alguna que otra empresa, haciéndolas pensar que ya tenían ganado el ENS.  

Todo porque, muchas veces, no se lee con detenimiento la Norma que, ya en su descripción lo indica claramente:  Real Decreto 3/2010 de 8 de enero, (modificado por el Real Decreto 951/2015, de 23 de octubre), fija los principios básicos y requisitos mínimos así como las medidas de protección a implantar.

Porque, además, implica establecer una gradación o categorías de los sistemas: básica, media y alta, todo ello en función de lo restrictivas que sean las medidas implantadas, lo que permite reconocer el esfuerzo de las organizaciones auditadas, en pos de un mejor reconocimiento de su labor por parte de las AA PP. A diferencia de la ISO27001, que estandariza a todas las empresas.

Porque cualquiera de las ISOs, y quizá la ISO27001, con la que se puede establecer una comparativa de cumplimiento, se puede ver que tienen diferente tratamiento con respecto al ENS. La modulación de las medidas auditadas, así como la evidencia de su cumplimiento son, en el primer caso, a criterio del auditor, mientras que en el ENS por su carácter de ley, están reguladas en función de los activos y nivel de seguridad requeridos, así como auditados bajo una declaración de conformidad legal, previo dictamen favorable. Tal como se indica en la Guía CCN-TIC 825: Certificaciones 27001.

El camino que las empresas han de recorrer para llegar a disponer de la certificación ENS no es fácil. Implica un cambio de mentalidad importante. Las empresas han de tener claro que su orientación hacia la seguridad de la información, en cualquiera de sus vertientes, debe ser clara y manifiesta. 

Se ha de tener una mentalidad documentalista: recoger todo el conocimiento y plasmarlo en formato documental. Y no me refiero con ello a que se haya de reescribir la enciclopedia ESPASA, sino que, allí donde sea posible, si el conocimiento de una empresa se puede establecer (y demostrar) mediante un flujo de trabajo en algunas de las herramientas con las que se desarrollen sus operativas (procesos de altas/bajas con autorizaciones asociadas, a través de pasos que se van sucediendo mediante esta dinámica…), mejor.

También, y no menos importante, porque por desgracia es bastante común, que el respaldo de la dirección (estratégico, normativo, operativo, financiero…) sea manifiesto.  Porque es algo que impacta en ambas direcciones: me refiero a la “diligencia debida” que debe mostrar la gente del grupo de las C’s (CEOs, CIOs, CISOs, CTOs … ). A veces se echa en falta. Alcanzar los niveles de seguridad que requiere el ENS implica desplegar medidas específicas que, por supuesto, requieren presupuestos específicos.

Otro aspecto que bajo mi punto de vista es fundamental y que la Norma lo recoge claramente, es el de la Formación y Concienciación del personal, que también se echa mucho de menos y que supone que, en muchos casos, el eslabón más débil de la cadena, demuestre serlo. Como por desgracia, estamos acostumbrados a leer en las noticias cuando alguna compañía ha sido víctima de ransomware a través de algún phising en el correo de sus empleados.

Por categorías de evaluación, se puede decir que en la categoría Media, las medidas que más se echan en falta y que deberían ser el foco de los esfuerzos de los departamentos de TI estarían tanto el doble factor de autenticación (2FA) para acceder a los sistemas cuando éstos sean críticos o se acceda fuera de los entornos confiables (más de una empresa ha quedado fuera de juego por no tenerla implementada), el disponer de un análisis de impacto en el negocio (BIA), la detección de intrusiones (IDS/IPS) o, a nivel de personal, la segregación de funciones.

En la máxima categoría, la Alta, quizá el hecho de que los análisis de riesgos sean más estructurados, asociados a planes de continuidad eficientes, para lo cual se han de medir y extraer la eficiencia de las medidas de seguridad implantadas a través de unas métricas fiables. También la segregación de redes es algo fundamental, asociada también al uso de criptografía fuerte, certificada por el CCN.

Todo ello está disponible en la hoja excel:

 “CCN-STIC-808_Anexo_III_Verificacion_del_cumplimiento_del_ENS” de la web “https://www.ccn-cert.cni.es/“.

Hay que decir también que el proceso que lleva a la certificación puede sobrecargar a los equipos dedicados a ello, sobre todo a los de Cumplimiento. Motivo por el cual no suele ser mala práctica el que, o bien una auditoría interna realice una prueba de cumplimiento, o bien dicha empresa contrate una consultoría externa que les acompañe durante el proceso.

Sí es cierto que lo más importante, para evitar “malas interpretaciones” es leer atentamente la guía 808 indicada anteriormente y evitaremos con ello sorpresas al final.

Por recapitular, quizá sólo indicar que a veces (sólo a veces) el auditor no es el malo en esta película. Que cuando pedimos una evidencia no crean que pensamos “alégrame el día”.

Ánimo, y adelante. Si, además, compaginan esta certificación con la calificación de LEET Security, mucho mejor.

Un cordial saludo.

  • Rogelio Saavedra es auditor de seguridad de LEET Security.