Al igual que en el final de Blade Runner, cuando el personaje de Rutger Hauer dice la famosa frase, que por cierto se inventó: "He visto cosas que no creeríais... ".
Y es que, como auditor del ENS, visto desde elpunto de vista de la Norma que nos ocupa, el Esquema Nacional de Seguridad, ysus diez años de andadura, se podría decir que es así.
Creo que a ello contribuye un gran problema depercepción con respecto a esta Norma: la falacia de que puede compararse conotras certificaciones, como la ISO27001. Ante todo, porque éstas no son deobligada aplicación, dada su naturaleza de frameworks de buenasprácticas, lo que no se puede interpretar como de obligado cumplimiento (sólosi uno quiere obtener la certificación correspondiente), a diferencia del ENS.Y, sobre todo, porque los requerimientos de estas certificaciones no tienen nila amplitud ni la profundidad en el nivel de detalle que requiere el proceso deauditoría de la Norma.
Nuestro ámbito de actuación han sido siemprelas empresas del sector privado interesadas en obtener la certificación, por sutrabajo de cara a las Administraciones Públicas. Y, aunque por suerte no es unasituación extendida, en algún caso de los que he tenido durante este tiempo,disponer de la ISO27001 ha confundido a alguna que otra empresa, haciéndolaspensar que ya tenían ganado el ENS.
Todo porque, muchas veces, no se lee condetenimiento la Norma que, ya en su descripción lo indica claramente: Real Decreto 3/2010 de 8 de enero,(modificado por el Real Decreto 951/2015, de 23 de octubre), fija losprincipios básicos y requisitos mínimos así como las medidas de protección aimplantar.
Porque, además, implica establecer unagradación o categorías de los sistemas: básica, media y alta, todo ello enfunción de lo restrictivas que sean las medidas implantadas, lo que permitereconocer el esfuerzo de las organizaciones auditadas, en pos de un mejor reconocimientode su labor por parte de las AA PP. A diferencia de la ISO27001, queestandariza a todas las empresas.
Porque cualquiera de las ISOs, y quizá laISO27001, con la que se puede establecer una comparativa de cumplimiento, sepuede ver que tienen diferente tratamiento con respecto al ENS. La modulaciónde las medidas auditadas, así como la evidencia de su cumplimiento son, en elprimer caso, a criterio del auditor, mientras que en el ENS por su carácter deley, están reguladas en función de los activos y nivel de seguridad requeridos,así como auditados bajo una declaración de conformidad legal, previo dictamenfavorable. Tal como se indica en la Guía CCN-TIC 825:Certificaciones 27001.
El camino que las empresas han de recorrerpara llegar a disponer de la certificación ENS no es fácil. Implica un cambiode mentalidad importante. Las empresas han de tener claro que su orientaciónhacia la seguridad de la información, en cualquiera de sus vertientes, debe serclara y manifiesta.
Se ha de tener una mentalidad documentalista:recoger todo el conocimiento y plasmarlo en formato documental. Y no me refierocon ello a que se haya de reescribir la enciclopedia ESPASA, sino que, allídonde sea posible, si el conocimiento de una empresa se puede establecer (ydemostrar) mediante un flujo de trabajo en algunas de las herramientas con lasque se desarrollen sus operativas (procesos de altas/bajas con autorizacionesasociadas, a través de pasos que se van sucediendo mediante esta dinámica…),mejor.
También, y no menos importante, porque pordesgracia es bastante común, que el respaldo de la dirección (estratégico,normativo, operativo, financiero...) sea manifiesto. Porque es algo que impacta en ambasdirecciones: me refiero a la "diligencia debida" que debe mostrar lagente del grupo de las C's (CEOs, CIOs, CISOs, CTOs ... ). A veces se echa enfalta. Alcanzar los niveles de seguridad que requiere el ENS implica desplegarmedidas específicas que, por supuesto, requieren presupuestos específicos.
Otro aspecto que bajo mi punto de vista esfundamental y que la Norma lo recoge claramente, es el de la Formación yConcienciación del personal, que también se echa mucho de menos y que suponeque, en muchos casos, el eslabón más débil de la cadena, demuestre serlo. Comopor desgracia, estamos acostumbrados a leer en las noticias cuando algunacompañía ha sido víctima de ransomware a través de algún phisingen el correo de sus empleados.
Por categorías de evaluación, se puede decirque en la categoría Media, las medidas que más se echan en falta y que deberíanser el foco de los esfuerzos de los departamentos de TI estarían tanto el doblefactor de autenticación (2FA) para acceder a los sistemas cuando éstos seancríticos o se acceda fuera de los entornos confiables (más de una empresa haquedado fuera de juego por no tenerla implementada), el disponer de un análisisde impacto en el negocio (BIA), la detección de intrusiones (IDS/IPS) o, anivel de personal, la segregación de funciones.
En la máxima categoría, la Alta, quizá elhecho de que los análisis de riesgos sean más estructurados, asociados a planesde continuidad eficientes, para lo cual se han de medir y extraer la eficienciade las medidas de seguridad implantadas a través de unas métricas fiables.También la segregación de redes es algo fundamental, asociada también al uso decriptografía fuerte, certificada por el CCN.
Todo ello está disponible en la hoja excel:
"CCN-STIC-808_Anexo_III_Verificacion_del_cumplimiento_del_ENS"de la web "https://www.ccn-cert.cni.es/".
Hay que decir también que el proceso que llevaa la certificación puede sobrecargar a los equipos dedicados a ello, sobre todoa los de Cumplimiento. Motivo por el cual no suele ser mala práctica el que, obien una auditoría interna realice una prueba de cumplimiento, o bien dichaempresa contrate una consultoría externa que les acompañe durante el proceso.
Sí es cierto que lo más importante, paraevitar "malas interpretaciones" es leer atentamente la guía 808indicada anteriormente y evitaremos con ello sorpresas al final.
Por recapitular, quizá sólo indicar que aveces (sólo a veces) el auditor no es el malo en esta película. Que cuandopedimos una evidencia no crean que pensamos "alégrame el día".
Ánimo, y adelante. Si, además, compaginan estacertificación con la calificación de LEET Security, mucho mejor.
Un cordial saludo.
- Rogelio Saavedra es auditor de seguridad de LEET Security.