Primeros roces con el Esquema Nacional de Seguridad: pros y contras.

Lo que hoy quiero contar son mis primeras impresiones ya algo más fundadas tras unos meses trabajando a diario con el R.D. 3/2010 de desarrollo del Esquema Nacional de Seguridad. Este post va a ser como contar el diario de una relación tras unos meses de convivencia. Bueno, empecemos.Los primeros contactos fueron ya hace un par de años con la publicación del borrador y las primeras impresiones fueron ya objeto de una primera impresiones en el post "Esquema Nacional de Seguridad, las Administraciones Públicas se ponen las pilas en la materia". Poniendo en contexto el ENS respecto a la legislación que regulaba la seguridad de la información para Administraciones Públicas, el R.D. 3/2010 es una auténtica R-evolución. Por un lado, establece un marco de trabajo correcto, alineado con las normas internacionales que se van publicando en la materia dentro de la serie ISO 27000 y por otro, establece unos criterios mínimos y esenciales que todo Organismo debe contemplar para tener sus sistemas de información en unas mínimas condiciones. Por tanto, el ENS es un impulso a la seguridad que afecta a Administraciones Públicas y a otras entidades de derecho privado que se relacionan con ellas. Dejando claro de antemano que supone una ayuda, ahora empiezo ya con las primeras reflexiones basadas en los esfuerzos de desarrollo e implantación del R.D. 3/2010.


Lo que me gusta.
Las primeras virtudes son existenciales y tienen que ver con la regulación de los denominados "Principios básicos". Estos se contemplan en el Capitulo II y se extienden desde el Artículo 4 al Artículo 10. Todos ellos son auténticas apuestas estratégicas de cuales deben ser los pilares que deben regir la gestión de la seguridad y determinan aspectos tan relevantes como:

• Seguridad como proceso holístico: todas las partes suman y por tanto, la seguridad debe verse como un proceso integral de protección que contemple todos los aspectos relacionados: físicos, lógicos, organizativos, jurídicos, de gestión y seguimiento, etc.
• Seguridad basada en la prevención, detección y reacción: Es básica la proactividad para evitar incidentes y mitigar más las vulnerabilidades que los daños.
• Gestión basada en riesgos: es necesario analizar los riesgos para determinar y decidir si las medidas son suficientes o requieren de mejoras. La gestión del riesgo debe ir proporcionando como beneficio el incremento de la madurez de los controles y la evolución lógica hacia la mejora continua. Todo ello con el soporte de otro principio básico que es la reevaluación periódica para verificar que el grado de control de los riesgos es el esperado y que las medidas de seguridad funcionan tal como se tiene previsto.
• Lineas de defensa: Las Administraciones Públicas ya contemplan como principio de diseño que deben ser capaces de resistir porque serán atacadas desde agentes externos o internos. Por tanto, la seguridad debe ser un principio a contemplar desde el diseño de los sistemas de información para contar con las medidas y controles adecuados que eviten posibles incidentes.
• Segregación de funciones en las tareas de operación y seguridad: Este principio es esencial para evitar la acumulación de privilegios y disponer de personal que pueda hacer labores de control interno sobre las áreas técnicas implicadas en el desarrollo y operación o explotación de los sistemas de información. Por tanto, aparece un área control interno que debe velar por el correcto funcionamiento de las cosas y el cumplimiento de la legislación vigente.

Todos estos principios se desarrollan en el Capitulo III a través de los "Requisitos mínimos". Estos van desde el artículo 11 al 30 y desarrollan diferentes aspectos esenciales para poder garantizar que los principios básicos se encuentran correctamente aplicados. De ellos, merecen ser destacados especialmente los siguientes artículos:

• Artículo 12- Organización e implantación del proceso de la seguridad, donde se indica que debe establecerse una política que debe identificar unos claros responsables de velar por el cumplimiento. Detras de todo esto debe haber "PERSONAS" que hagan cosas en relación con las "RESPONSABILIDADES" atribuidas. Si algo contribuye en mucho a la seguridad es determinar quién tiene que hacer qué para que no exista la sensación de que la seguridad se gestiona sola y que "alguien se encarga" aunque eso sea sólo una sensación que no se concreta en nadie físico.
• Artículo 15. Profesionalidad, donde viene a decir que quien se dedique a estos temas debe saber lo que tiene entre manos. Además, como puntilla se dice que las Administraciones Públicas deben exigir a sus terceros que cuenten con unos niveles de seguridad adecuados en relación a los servicios prestados, o sea, deben acreditar que gozan de ciertos niveles de seguridad.
• Artículo 19. Seguridad por defecto, otro elemento esencial que debe empezar a formar parte de la cultura de la seguridad que debe implantarse en las áreas TI de las AA.PP. Las cosas se protegen antes de ser expuestas en los entornos de producción.
• Artículo 23. Registro de actividad, donde determina la necesidad de disponer de trazas y registros de auditoría que permitan la investigación frente a incidentes y lo que es quizás más importante, la depuración de responsabilidades.
• Artículo 26. Mejora continua del proceso de seguridad. Este es quizás un guiño del ENS para que las AA.PP. se planteen establecer un SGSI como marco de gestión del cumplimiento del R.D. 3/2010 siendo la ISO 27001 la norma certificable que demuestra el cumplimiento de ese compromiso por la mejora.

Personalmente creo que el quíd de la cuestión respecto a cómo se cumplen estos requisitos mínimos queda establecido por el artículo 27 que voy a copiar integramente.

Artículo 27. Cumplimiento de requisitos mínimos.
1. Para dar cumplimiento a los requisitos mínimos establecidos en el presente Real Decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II

1. Los activos que constituyen el sistema.
   
2. La categoría del sistema, según lo previsto en el artículo 43.
   
3. Las decisiones que se adopten para gestionar los riesgos identificados.

2. Cuando un sistema al que afecte el presente Real Decreto maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad.
3. Los medidas a las que se refieren los apartados 1 y 2 tendrán la condición de mínimos exigibles, y podrán ser ampliados por causa de la concurrencia indicada o del prudente arbitrio del responsable de la seguridad del sistema, habida cuenta del estado de la tecnología, la naturaleza de los servicios prestados y la información manejada, y los riesgos a que están expuestos.

Por tanto, todos estos requisitos son concretados en el Anexo II donde se encuentra el listado de medidas de seguridad que deben servir para garantizar dichos requisitos. Como se puede ver, el criterio de selección de "LO MÍNIMO" a aplicar queda establecido en el siguiente orden por:

1. El tipo de activo y su valoración de las dimensiones A-C-I-D-T
2. La categoría que corresponde al sistema de información como valoración global de los activos que contiene y que siempre será asignada atendiendo al máximo valor de los activos.
3. Las decisiones que se adopten en base a la gestión de los riesgos identificados en el proceso de análisis.

Toda esta parte filosófica y de establecimiento de las lineas estratégicas de trabajo me parecen perfectas y muy alineadas con la tendencia general que viene siendo consensuada como el marco de trabajo de la "gestión de la seguridad de la información".

Lo que no me gusta.
El primer gran problema es un tema de recursos. La seguridad por desgracia no se encuentra dentro de la cultura organizativa de las Administraciones Públicas (Al menos de las que conozco) y por tanto, este R.D. 3/2010 viene a sumar una serie de obligaciones que van a recaer sobre las áreas TI de las organizaciones que ya están bastante saturadas. Además, se añade el principio de la función diferenciada pero en general no existen "Responsables de seguridad" que tengan atribuida esa función como labor que suponga el 100% de su tiempo. Por tanto, la primera queja es que por desgracia este incremento de obligaciones no parece que venga con un incremento de los recursos y por tanto, va a costar ponerlo en marcha y más en los tiempos de crisis que han producido recortes en los presupuestos de todas las áreas TI.

El segundo gran problema son las categorías de los sistemas de información. En el ánimo de hacer sencilla la aplicación del R.D. se han establecido tres niveles de seguridad. Sin embargo, el hecho de tener que determinar un único valor para la categoría del sistema siendo éste el máximo valor de cualquiera de sus dimensiones "se carga" el principio de proporcionalidad. Si la intención es aplicar las medidas en base a los impactos o los riesgos, no tiene mucha coherencia que las medidas a aplicar se correspondan con un nivel Alto, Medio o Básico ignorando cuales son los valores de cada dimensión. Pongo un ejemplo para que se entienda claro. Si tenemos un activo que tiene una valoración Básica para la confidencialidad, integridad y disponibilidad pero Alto para la trazabilidad, ese activo tiene una valoración final de Alto. Según interpreto yo y establece así el Anexo I, la categoría final de este sistema de información será Alto. Por tanto, habrá que aplicar unas medidas de seguridad bastante fuertes a dimensiones del activo que realmente no tiene un valor de impacto alto, lo que contradice el principio de proporcionalidad que trata de poner más resistencia en las partes que son más importantes pero no generalizarlo para todo. Por tanto, esta necesidad de hacer sencilla la asignación de niveles contradice el aplicar más seguridad en las partes más importantes y puede incluso ir en contra de la filosofía basada en riesgo. Cuando un sistema tenga un activo de nivel alto, tendrá que aplicar TODAS las medidas del ENS y por tanto, será raro que además de ellas tenga que añadir alguna más para mitigar riesgos.

El tercer gran problema que además agrava mucho mas el tema de las categorías está en cómo se han establecido los criterios de valoración de los activos. En el Anexo I, punto 3 se determina que la valoración de los activos se realiza atendiendo al daño causado a la organización para:

• alcanzar objetivos.
• proteger activos a su cargo
• cumplir con las obligaciones diarias de proporcionar servicios.
• respetar la legislación vigente.
• respetar los derechos de las personas.

Es lógico que en la valoración se contemplen aspectos legales, operativos, económicos o de carácter organizativo. Sin embargo, el gran problema está en la descripción que ha sido redactada para estas escalas de valoración en los tres niveles establecidos.
Por poner un ejemplo, a un responsable de servicio o responsable de información se le deberá preguntar qué consecuencias tiene un incidente que afectara a la confidencialidad. Por tanto, debe determinar si supone un perjuicio limitado, grave o muy grave. Sin embargo, la justificación de estos tres grados se corresponde con las siguientes frases:

• BAJO: El incumplimiento formal de alguna ley o regulación, que tenga carácter subsanable.
• MEDIO: El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter subsanable.
• ALTO: El incumplimiento grave de alguna ley o regulación.

Estas frases abiertas y poco concretas por ser ausentes de contexto pueden dar lugar a diferentes interpretaciones y dificultan de forma extrema el seleccionar un valor que no dependa del criterio personal de quien valora. Además, los valores establecidos en las diferentes escalas deberían ser similares para que el nivel alto represente un tipo de incidente de gravedad similar en todas las escalas. Para representar esto segundo imaginemos que sobre un activo se diera un incidente que supusiera una infracción grave de la LOPD. Según el criterio de valoración sería un activo de nivel ALTO. Sin embargo, si miramos qué valores tiene el nivel alto en el resto de escalas tenemos la anulación de la capacidad de la organización para atender sus obligaciones o el perjuicio grave a un individuo de difícil reparación. No parecen del mismo rango los daños en las tres escalas y si a eso sumamos que por un problema de confidencialidad. Aun así, si consideramos que el hecho es grave, por el razonamiento anterior para proteger la confidencialidad del activo, se van a tener que aplicar medidas muy duras relacionadas con el resto de dimensiones.

El cuarto y quizás también muy relevante es que no se ha definido un organismo supervisión que vele por garantizar el cumplimiento ni se atribuye un régimen sancionador debido al incumplimiento. Al menos, para consuelo de todos, el Artículo 41. Publicación de conformidad establece lo siguiente:

Artículo 41. Publicación de conformidad.

Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad.

Según  se puede ver, todos los Organismos debieran decir en su sede electrónica cual es su declaración de conformidad respecto al cumplimiento del ENS y cualquier otro distintivo que acredite gestión de la seguridad como pudieran ser las certificaciones ISO 27001. En la Web del CCN-CERT hay incluso colgado un documento a modo de ejemplo de la redacción que debería tener esa declaración y que os animo a consultar en este enlace.  La base por la que se declara la conformidad con los requisitos esenciales del ENS, es la superación en conformidad de la evaluación efectuada, realizada por el Responsable de Seguridad, mediante la elaboración de un dictamen técnico en el que se señale, de forma expresa, que el sistema a que se refiere es conforme al Esquema Nacional de Seguridad.Esta información debiera estar colgada en la sede para que el ciudadano pueda comprobar que la Web de ese organismo goza de las medidas de protección adecuadas y por tanto, le genere la confianza que es el fin último por el que se ha desarrollado el ENS. Por tanto, no existe una Agencia supervisora que determine quién está en condiciones de dar servicios telemáticos y quien no pero al menos obliga a todas las AA.PP. a publicar una declaración donde digan que superan las medidas de seguridad. Por tanto, si hubiera un incidente se podría saber quién es el responsable en base a detectar qué medidas de las aplicadas fallaron.

Para terminar, os planteo un reto. Del directorio de Sedes que se publica en la Web del 060.es, mirar cuantas dan cumplimiento al citado artículo 41 y disponen de la publicación de conformidad. El listado está accesible aquí. Si encontráis alguna, indicarlo en los comentarios porque yo por más que busco, no encuentro...