EQA, entidad acreditada por ENAC para la certificación del Esquema Nacional de Seguridad
# Episodio 6
En este podcast contamos con la intervención de Hono Diez, Auditora Jefe y Responsable Técnica en Certificación de Sistemas en EQA.
Transcripción
Bienvenidos a certifica el podcast de EQA sobre el mundo de la certificación de empresas. Bienvenidos a todos a un nuevo episodio de certifica el podcast de EQA. Hoy vamos a hablar de la reciente acreditación para la certificación del Esquema Nacional de Seguridad. La estructura de este esquema, el esquema nacional de Seguridad está inspirada en la de un sistema de gestión, concretamente el de seguridad de la información basado en la norma ISO 27001. Para hablar de ello y contamos con Hono Diez.
Hono es auditora jefe y responsable de área técnica para la certificación de sistemas en EQA. Hono es además Ingeniero Superior de Telecomunicación en la especialidad de Transmisión Comunicación por la Universidad Politécnica de Madrid. Tiene más de 20 años de experiencia en gestión de proyectos desde banca digital y comercio electrónico hasta consultoría de sistemas de gestión, pasando por arquitectura de sistemas y gestión de red. Y además se ha encargado de auditorías, implantaciones y conferencias sobre el Esquema Nacional de Seguridad desde el año 2010.
Hola, buenos días. Muy bien, vamos a empezar a charlar un poco sobre esta nueva acreditación. Pero antes de ello, para centrar un poco el tema, que es el Esquema Nacional de Seguridad.
El esquema nacional de seguridad, lo que se conoce como ENS habitualmente es una ley con comillas, porque en realidad es viene de un real decreto el 3 del 2010, que lo que intenta es generar las condiciones necesarias para la confianza de los ciudadanos en el uso de los medios electrónicos. Para ello establece una serie de medidas que garantizar seguridad de sistemas de los datos, de las comunicaciones, de los servicios electrónicos, a la vez que permita el ejercicio de derechos y cumplimiento de deberes a través de estos medios.
Es decir, lo que se pretende es generar la confianza necesaria para que el ciudadano utilice todos los medios electrónicos que pone a su disposición la administración pública para agilizar todas las transacciones y permitir de una forma amplia a todo el abanico de ciudadanos del Estado. Pues todos aquellos derechos y deberes que tienen que cumplir. No viene solo del del 2010, es decir, en el 2010 salió el Real Decreto o Sedes, se publicó en el BOE el Real Decreto, pero esto está basado ya en la ley del 2007, que hablaba ya del acceso electrónico de los ciudadanos a los servicios públicos, en concreto del artículo 42.
Pero nos tenemos que remontar todavía antes a directivas europeas, en la que ya se instaba a que se establecieran medidas para asegurar esta confianza de los ciudadanos en las administraciones públicas a nivel europeo. Con lo cual el MS, aunque con la Ley 39 y 40 de 2015 se le da un impulso y es cuando quizá a nivel más amplio, se empieza a tener conocimiento de esta obligación de la implantación del NS. Esto viene ya de los años 90, con lo cual no es una cosa, una novedad, ni algo nuevo que viene a raíz de estos últimos avances tecnológicos.
Hay una inquietud ya a nivel de autoridades europeas desde los años 90, en que todos estos medios electrónicos sean seguros y se haga una publicidad de estos medios a los ciudadanos de una forma que el ciudadano tenga percepción de seguridad. Qué pasa? Que últimamente, con todas las brechas de seguridad, todas las noticias, toda la avalancha de información que tiene el ciudadano acerca de brechas, de seguridad, de hackers, de robos, de identidad, toma más relevancia.
Precisamente porque la sensación de inseguridad, cosa paradójica, crece a la vez que los avances tecnológicos. Hace turnos? Sí, perdona, perdona si lo importante de este esquema y de este real decreto, aparte de que es una obligación legal, es tener la conciencia de que no es algo fiscalizador para atar más a los ciudadanos o para atar más a las empresas, sino que es algo que intenta promover una cultura de confianza y de buen hacer a nivel de todas las administraciones y empresas privadas que dan servicios a las administraciones para que el ciudadano pueda.
Hacer todos aquellos trámites que necesite de una forma segura y confiable. Te iba a preguntar a raíz de esto que has comentado, a quien aplica entonces ENS. Pues en principio, cuando salió en el 2010 con el primer real decreto, digo el primero, porque luego en el 2015 hubo otro Real Decreto que lo modificó, pero fue una modificación. Digamos que lo que está vigente es el Real Decreto 3 2010, consolidado con las modificaciones del 2015. Bueno, pues en principio parecía que quien estaba bajo ese paraguas del Esquema Nacional de Seguridad era sólo administración pública, porque habla de administración pública, pero luego con el resto de leyes ya se fue aclarando, porque no tenemos que olvidar que la administración pública por sí sola no tiene capacidad para dar servicio a todos los ciudadanos con sus vamos a decir, con sus propias infraestructuras, con todos estos avances tecnológicos, con todo esto que estaba comentando antes, depende de empresa privada a través de concursos públicos.
No olvidemos, nunca es responsabilidad, siempre es de la administración pública, pero depende de esas empresas privadas para poder facilitar todos estos servicios al ciudadano. Es decir, dentro de lo que vemos, su portal de una sede electrónica detrás no está solo un ministerio. Hay una serie de entidades tanto privadas como públicas, que se juntan para dar ese servicio al ciudadano, con lo cual el ENS aplica administraciones públicas de carácter nacional, de carácter autonómico, de carácter local, que aplica desde ministerios hasta ayuntamientos y entidades de derecho público.
Y empresas privadas. Que prestar servicios a estas administraciones públicas para el ejercicio electrónico de más de los derechos del ciudadano, con lo cual cualquier empresa que esté prestando servicios a una administración pública va a acabar siendo sujeto, obligado de cumplir con el Esquema Nacional de seguridad y cómo se adecúa una entidad al Esquema Nacional de Seguridad.
Bueno, en el Real Decreto 3 del 2010 vienen una serie de artículos y unos anexos con los que se pretende dar, no se pretende o no se da unas pautas para cumplimiento del ENS establece sobre todo bueno, están todo el articulado, luego está el anexo 1 y el anexo 2 en el articulado, que se establece en hitos como el desarrollo de una política de seguridad que tiene que tener una serie de puntos que están totalmente definidos. Y no olvidemos que esto es una norma, es una norma de carácter legal, vamos a decir, y por ser carácter legal está totalmente definido y todo lo que viene en ese real decretos de obligado cumplimiento.
Con lo cual, si en la política el artículo relativo a política dice que tiene que tener los puntos A, B y C, pues es tan fácil o difícil en su caso como coger esos puntos y redactar una política adecuada a tu empresa, a tu ámbito, a tu entidad, que cumpla esos puntos. Y hay modelos por Internet que pueden servir de base, pero nunca debemos olvidar que todo lo que es la documentación que exige el ENS y todas las medidas tienen que estar aplicadas dentro del ámbito de la entidad sujeto de ENS. Lo cual no nos vale con coger una política genérica ya tengo mi política, no tu política tiene que cumplir toda esa serie de puntos y totalmente adecuada al negocio en el que tú estás dedicado negocio o ámbito o servicios al ciudadano, como se quiera llamar.
Aparte de esa política, hay una categorización de sistemas. El ENS habla no sabe. El ENS nos habla de básico medio alto, en función de qué información, de qué servicios estemos prestando, pues el alcance estará metido dentro de unos de esos 3 básico medio alto. Lo podemos complicar mucho. Aquí estamos intentando dar una serie de pinceladas porque dentro de una misma entidad puede haber sistemas de nivel básico, de nivel alto, pero bueno, esto ya sería entrar ya en el detalle de lo que sería la implantación por dar unas pinceladas.
Pues eso, quedarnos con una política de seguridad, una categorización de sistemas, un análisis de riesgos. Esto es también fundamental, porque a partir de este análisis de riesgo va a venir luego todas las medidas y todo lo que vamos a implantar y todo lo que vamos a tener que hacer para ir mejorando ese sistema. Y para ir, vamos a decir, cerrando esas posibles brechas que pudiéramos haber encontrado al hacer el análisis de riesgos, hay que hacer una declaración de aplicar.
Esto consiste, pues, en decir que en función de la categoría de mi sistema, qué medidas tengo que aplicar? Y aquí sí que digo tengo que aplicar y no tengo que escoger, porque el esquema es bastante claro y dependiendo de que estés en básico medio alto, te aplican unas medidas u otras y no las puedes escoger. Eh, digamos que el único motivo de no aplicabilidad es que no lo tengas. Por ejemplo, si tú no usas USB es porque tu empresa está prohibido usar USB, ves discos externos, soportes informáticos, que hoy en día es un poco raro que no haya ninguna empresa o entidad que los use, pero vamos a suponer que no se usan.
Entonces las medidas que aplican a soporte externo, soporte de información no te aplican, pero si los usas los tienes que aplicar. No puedes escoger si quiero o no quiero. Una vez hecho todo esto, pues en un plan de mejora con un desarrollo de normativa y procedimientos. Operativos que esto también el ENS tiene unos puntos en que deja claro que es lo que tienes que documentar y lo que no. Todo aquel sitio donde se hable de información documentada o procedimiento formal quiere decir que tenemos que tener un soporte escrito.
Tengo soporte porque es papel electrónico en una un gestor de flujo, un gestor documental que lo publica, pues tipo diapositivas. Ahí nadie dice como lo tienes que hacer, pero sí que lo tienes que tener. Una vez que tenemos todo esto, tenemos que entrar un poco en el ciclo de mejora continua, es decir, esto no consiste en lo implanto y ya me echo a dormir. La tecnología evoluciona, las empresas y los organismos evolucionan. Hay cambios estructurales?
Bueno, pues esto es un sistema que va a ir evolucionando con los años y vamos a intentar mejorar. Esto es como cualquier sistema de gestión, que siempre se tiende a la excelencia. Sabes que nunca vas a llegar y en seguridad de la información nunca vas a estar seguro por todo lo que hablamos. La evolución de la técnica, la evolución de los malos que evolucionan mucho más rápido que los buenos, por desgracia. Entonces siempre vas a estar sometidos a cambios y tienes que estar preparado para afrontarlos y seguir con esa mejora continua.
Y finalmente llegamos a lo que sería la auditoría de certificación. Una vez que tienes implantado que estás adecuado al esquema, pues hay que pasar por una auditoría de certificación. Luego hay que pasar porque todos estos sujetos obligados a la implantación del ENS están obligados a certificarse ENS. De hecho, en la mayor parte de los concursos públicos y empiezan a aparecer exigencias. De presentar los certificados básico medio alto en función de los servicios que se pretende acceder. No, en ese concurso hay que tener en cuenta que esta obligación no viene de ahora.
No es que ahora con estos nuevos avances de los hackers, alguien lo descubrió. Esto, esta obligación ya viene impuesta desde el 2010. Con la evolución de la técnica, la evolución incluso del propio Real Decreto, pues se fue especificando, se fue aclarando. Detrás de este esquema nacional de seguridad tenemos al Centro Cristológico Nacional, que depende del CNI, del Centro Nacional de Inteligencia. Es una entidad que está promocionando y sustentando todo el desarrollo y toda la implantación y certificación del esquema nacional.
Y una de las cosas muy importantes es que genera y publica una serie de guías, la serie 800, que ahora mismo está en el orden de unas 80 90 guías que son básicas para la implantación de un sistema y para la certificación, porque en ellas se va hablando de todos los pasos que hay que hacer, da medidas y amplía mucho lo que es la información que o los requisitos que vienen en el Real Decreto. O no, y yo creo que un punto importante para todos aquellos que nos están escuchando es si la empresa está certificada en ISO 27001, uno lo está también en ENS.
La respuesta es no y tajante no. Esta es una cosa que se pregunta muchas veces y que erróneamente la gente o las empresas dicen no lo es, que estoy en 27 y ya tengo el ENS hecho. Sí que es cierto que el esquema nacional de seguridad está basado, no es, insisto, no es un sistema de gestión al uso.
No es una 27001, pero sí que está basado en gran medida en la 27001, con diferencias muy importantes, ya no solo que por un lado el NS tiene, pues habla de unas 75 medidas que aplicamos o no. Como ya comenté, en función de la categoría del sistema, la ISO 27001 tiene 114 controles en el anexo A. Hay una correlación y de hecho hay una guía del CCN en el que nos habla de esa correlación entre las medidas de control del ENS y los controles del anexo.
Es cierto que si tú tienes que implantar un certificado una 27001, tienes mucho camino hecho, pero no hay que olvidar que la ISO 27001 es una norma voluntaria. Nadie obliga a implantar la 27001, las empresas o los organismos la pueden implantar. Pues porque quieran acceder a determinados concursos públicos, porque ciertos clientes se la pidan para trabajar con ellos, pero no tiene carácter obligatorio, mientras que el esquema nacional de seguridad tiene carácter obligatorio.
Los requisitos del Esquema Nacional de Seguridad los hay que implantar sí o sí, y tal como nos dice el esquema, con ayuda de las guías en la 27001. La implantación, pues, la hace cada empresa en función de sus necesidades, de sus posibilidades y de cómo ven ellos la parte de su negocio. Aparte el alcance de la 27001, uno lo decide quien se certifica. El alcance del ENS viene definido por el NS. El principal, por resumir las principales diferencias el esquema nacional de seguridad es obligatorio, la 27001, una voluntaria, la 27001 tienes margen para implantar y para vamos a decir adecuarla a tu empresa y el Esquema Nacional de seguridad?
No, él te dice lo que tienes que hacer, como lo tienes que hacer. Y es obligatorio. Y estamos mencionando varias veces la certificación como entidad de certificación que somos. Vamos a explicarle al público que nos está escuchando cómo se pueden certificar las empresas ENS.
En primer lugar, aclarar que EQA ya está acreditada por ENAC y en la que es el organismo de acreditación nacional en España. Hay otros en Inglaterra, pues está abocadas a y otros en Alemania, en todo el mundo, pues hay un montón de ellos en España no se aplica en AT y ya estamos acreditados por ENAC para poder emitir certificaciones ENS. En este caso, como comentaba antes, tenemos por un lado Anak y por otro el CSN, que es quien también nos pone directrices y tenemos que estar aceptados para poder hacer este tipo de certificaciones.
Además, como cualquier entidad que certifique ENS, los auditores ENS estamos sujetos a restricciones más exhaustivas que las que son para cualquier otra norma. Normalmente, pues detrás de cualquier norma tú tienes solo vamos a decir solo con comillas en ATC y en el caso del Esquema Nacional de Seguridad tenemos AENA y tenemos alg CN. El CCN tiene una serie de herramientas tanto para las entidades que se certifican para cumplir y para intentar Secure y se lo máximo posible y herramientas para las entidades certificador as como somos nosotros para cumplir con esos requisitos que también nos impone.
Hay una instrucción técnica porque bueno, antes hablé de los reales, del Real Decreto del 2010, de la modificación del 2015, pero también hay una serie de instrucciones técnicas que son de obligado cumplimiento. Las instrucciones técnicas digamos que son para aquel que no tenga mucho conocimiento, viene a ser como normativa legal que emana de un ministerio. El ministerio, que se ocupa del Esquema Nacional de Seguridad, en su momento era el Ministerio de Presidencia, que ahora creo que se llama Ministerio de Administraciones Públicas.
Con cada gobierno va evolucionando, pero para que se tenga un poco una idea, entonces el Ministerio que en su caso le toque, emite e instrucciones técnicas, insisto, de obligado cumplimiento y entre ellas tenemos la de auditoría y la de conformidad con el esquema. Con lo cual, para el caso que estamos ahora hablando de la certificación, aplicarían los procedimiento de certificación. Pues una vez que la empresa tiene ya el en el ENS implantado y con un cierto margen de vida.
Una vez que la empresa tiene ya el en el ENS implantado y con un cierto margen de vida, esto e igual que en otras normas en las ISO es necesario que haya un poco de margen de vida desde que se implanta hasta que se certifica, para poder ver que efectivamente está funcionando, para que el auditor pueda comprobar que esos engranajes empiezan a funcionar y que hay unas bases sólidas que permiten que ese sistema, ese esquema en este caso pues tenga éxito y durante muchos años siga mejorando.
Entonces, una vez que ya tenemos la implantación, tenemos un margen de vida mínimo, pero un poco de unos registros. Y sería contactar con la empresa certificadora. En este caso contratarían con nosotros, veríamos que categoría de sistema tiene una serie de preguntas para ver el alcance de que estamos hablando, si tiene sentido ese alcance en esa empresa. Aquí insisto, no es como en una ISO al uso que te dicen el alcance, mirar si es correcto se cumple y ya criadita en el esquema nacional de seguridad, pues tienes una serie de requisitos previos.
Para asegurar el éxito de esa certificación, además, esta certificación el tiempo suele ser un poco más extensa. Que lo que es una ISO sin una ISO 27001, pues a lo mejor entre. Hay una fase 1 y una fase 2 que puede suceder un mínimo de 3 días. En un esquema nacional es distinto porque no hay esa fase 1. Aquí directamente lo que hacemos es, digamos, un estudio documental previo, sin informe, porque hasta ahora se emitía, pero ahora ya no se emite informes o son directrices que vienen de antes, donde nosotros lo que vamos a ver es si es cierto que existe ese esquema, que hay unas bases y luego lo que es el periodo de certificación suele abarcar unos 4 entre 3 y medio a partir de 3 y medio jornadas, con lo cual es bastante extenso es así.
Además tiene ciclos bienales, no es como las isos que te certificadas. Luego hay dos años que haces como un seguimiento más corto, te vuelves a certificar al que identificas los seguimientos. El tercer año te certificará más que sería el cuarto año. Vamos a decir otros dos seguimientos o te hago la certificación anual. No, aquí es bienal y cada vez que se renueva el certificado es una auditoría completa. Esto es importante porque es una diferencia sustancial con lo que es, digamos, la certificación de un sistema de gestión cada dos años.
Hay que pasar una auditoría completa. Si el primer año fueron cuatro jornadas y te vas a certificar, si no hubo ningún cambio en tu sistema, lo normal es que vuelvan a ser otras cuatro jornadas. Es una certificación un poco más dura. Siempre cuando afrontas una certificación no vamos. Esto no es vamos a decir como la auditoría de Hacienda, que está todo el mundo y temblando no. Aquí los auditores vamos a ayudar a la empresa a mejorar, ayudar a la empresa a que no tenga brechas de seguridad en lo posible.
No hay que olvidar que siempre hacemos auditorías por muestreo porque es imposible verlo todo. El auditor tiene 20 días para hacer las auditorías. Ni el cliente soporta un auditor 20 días en sus instalaciones, que acaban todos locos. Pues es aquí lo que intentases. Tienes los que intentes. Es que tienes que volver a verlo todo porque es lo que especifica el Real Decreto y las instrucciones técnicas. Las auditorías de certificación vuelven a ser como otra auditoría inicial.
No se ve la parte documental porque ya se vio. Ya sabes que hay una parte documental, ya sabéis que hay un sistema y lo que vas a hacer es revisar que sigue todo igual o mejor, porque no olvidemos que el objetivo es la mejora continua y que vayamos a mejor una vez que se hace la auditoría. Bueno, pues ahí tenemos una serie de gestión del expediente, que también es distinta que en las isos. Aquí entra también el CCN, incluso a veces a revisar informes de auditoría y a ver que se hizo todo de forma correcta.
Y una vez que está el visto bueno, pues ya se emite el informe de certificación. En el caso de que en el transcurso de la auditoría aparecieran no conformidades, eso no quiere decir que no vayas a tener el certificado cada caso habría que estudiar si son no conformidades menores, pues hay un mes para enviar el típico pack, pero aquí con resolución de no conformidades si son mayores, pues habría que ver qué tipo de mayores hay, si hay tiempo en un mes para solucionarlas o no, y quizá habría que ir a lo mejor a una auditoría extraordinaria.
Al cabo de un periodo máximo de unos seis meses. Pero bueno, esto ya son casos particulares que habría que ver en su punto. Pero lo que quiero manifestar es que no hay que tener preocupación de es que no lo tengo perfecto y me van a salir no conformidades de las no conformidades no son malas. Las no conformidades quieren decir que tú y plantaste las mejores prácticas como mejor supiste y que viene alguien que no tuvo que ver nada con ese sistema y que va a haber cómo está para ayudarte a mejorar y ayudarte a tapar brechas.
No olvidemos que aquí todo consiste. El objetivo es facilitar o asegurar la confianza del ciudadano, al menos en medios electrónicos. Entonces, toda esa cadena que está por debajo de toda esa transacción electrónica, de todo ese servicio que se le presta al ciudadano, tenemos que intentar asegurarla lo máximo posible. Y el auditor lo que va a hacer es ayudar a que tu empresa mejore todo lo posible, dentro de lo que insisto, el poco tiempo que tienes y que hay que ir por muestreo, pero simplemente es esto es tan fácil con comillas, pero tan fácil como esto.