miércoles, 25 de mayo de 2011

Cumplimiento del Esquema Nacional de Seguridad con tecnologías Microsoft

Hoy tengo buenas noticas. Vía el twitter de Hector Montenegro me he enterado que Microsoft, como viene siendo tradicional respecto al cumplimiento legal, ha publicado un excelente libro (Descargable de forma gratuita en la Red en este enlace ) sobre cómo garantizar el cumplimiento del R.D. 3/2010 de desarrollo del Esquema Nacional de Seguridad mediante tecnologías Microsoft.



A falta de poder realizar una lectura en profundidad que ya es mi primera tarea en el To-do de estos días, por lo que he podido mirar por encima, tiene muy buena pinta. Precisamente llevo este último mes completamente sumergido con el ENS elaborando un plan de adecuación y hoy habíamos terminado el diagnóstico diferencial del grado de cumplimiento siguiendo la guía 808 - Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad. Este libro va a ser de gran ayuda seguro porque muchas de las medidas que son completamente razonables siempre plantean problemas de implementación. Suele ser habitual encontrarse en AA.PP. también que la gestión de usuarios y equipos esté delegada en Directorio Activo por lo que el libro va a resolver muchas cuestiones técnicas a muy bajo nivel.

En mi caso, entiendo que para elaborar el informe de deficiencias es necesario que la Organización valore, siguiendo la guía de auditoría y no la guía de implantación, cual es el porcentaje de cumplimiento, con el objetivo de generar un plan de actuación que logre implantar las medidas al 100% generando así las evidencias suficientes para justificar el cumplimiento. La sensación general cuando hablamos de seguridad de la información en AA.PP. es que falta un largo camino por recorrer. En general, cuando cuentas las medidas de seguridad todo el mundo las valora como razonables, deseables, etc... pero son consideradas más deseos que requisitos. Además, por desgracia, la seguridad de la información no cuenta como área con personal propio y estas movidas o caen a la gente de sistemas o a la gente de comunicaciones, personas que ya de por si tienen a sus espaldas bastante trabajo. A ello se suma la actual coyuntura económica que pone bastante dificultades a la viabilidad de los proyectos necesarios para que el cumplimiento sea garantizado.

En cualquier caso, hoy toca alabar a Microsoft por esta excelente iniciativa que va a facilitar mucho a los responsables de TI de muchas organizaciones el resolver la problemática relacionada con el cumplimiento. Por desgracia los consultores les decimos lo que habría que hacer y les asesoramos en cuales son los motivos y los objetivos a lograr. Microsoft como fabricante además les va a decir en este libro cómo lograrlo y hacerlo real.

Quien a estas alturas no tenga muy localizado de qué estoy hablando, os dejo también el enlace a la Web del Centro Criptológico Nacional donde se están publicando las diferentes guías de ayuda a la puesta en marcha del CCN.

Al Centro Criptológico Nacional también hay que alabarle el esfuerzo por concretar y asesorar a las AA.PP. en el duro camino de implantar seguridad de la información. En este caso además, el CCN no ha permitido con la publicación de estas guías que exista ambigüedad interpretativa y ha marcado unas directrices claras respecto al qué hacer y por qué. En algunas organizaciones se ven estos temas como de otra galaxia pero al igual que la LOPD, esto es legislación y por tanto, de obligado cumplimiento.
 
;