Saturday, September 26, 2020
Canal de Noticias de Buenas Prácticas de Gobierno y Gestión de Tecnología de itSMF España

El ENS como oportunidad de mejora de la gestión TI.

By Contenidos , in itSMF España , at 30/04/2020 Etiquetas: , , , ,

El ENS como oportunidad de mejora de la gestión TI.

 

La obligatoriedad del Esquema Nacional de Seguridad no sólo afecta a la Administración Pública, sino también al resto de las empresas que le prestan sus servicios. Esta circunstancia debe ser considerada como una oportunidad de mejora de los sistemas de gestión de TI existentes.

 

El Esquema Nacional de Seguridad (ENS), aprobado mediante Real Decreto 3/2010, de 8 de enero (modificado mediante Real Decreto 951/2015, de 23 de octubre), tiene por objeto determinar la política de seguridad en el ámbito de la administración electrónica y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. https://bit.ly/2Yfgzhb

En Andalucía, al igual que en otras partes de España, la Administración Pública tiene que adecuar sus sistemas de información y servicios de administración electrónica ya que el ENS es una ley de obligado cumplimiento y no es opcional. Para ello, en el caso particular de Andalucía, se han desarrollado planes que contemplan llegar a finales de 2020 con todos los organismos provistos de una Política de Seguridad, un Comité de Seguridad y un Responsable de Seguridad, y con sus sistemas en el ámbito del ENS declarados o certificados.

Pero la Administración no presta esos servicios únicamente con personal propio, sino que mantiene un amplio ecosistema de proveedores principales y secundarios, formado por un gran número de empresas que participan de forma directa o indirecta en la cadena de suministro de estos servicios. Estas empresas se están viendo también en la necesidad de adecuar sus propios sistemas al ENS, para conseguir el cumplimiento extremo a extremo.

Muchas de estas empresas y departamentos de servicios de TI afectados ya disponían de un sistema de gestión de seguridad de la información basado en la norma ISO 27001 así como de un sistema de gestión de servicios basado en la norma ISO 20000-1, generalmente integrados con mayor o menor éxito en un único sistema de gestión. Los más avanzados incluso integran los requisitos de un sistema de gestión de continuidad según la norma ISO 22301.

Las empresas que al menos tengan un sistema de gestión de seguridad de la información certificado según ISO 27001 gozan de innegables ventajas a la hora de cumplir el ENS, acrecentadas en el caso en que los alcances tratados sean coincidentes: Muchos requisitos del ENS se solapan con los correspondientes a ISO 27001.

Además, y de forma excepcional en la historia de la gestión de TI en España, se dispone de una completa y actualizada información en forma de guías del CCN-Cert, que proporcionan un detalle muy preciso de todos los pasos a seguir para el cumplimiento del ENS.

(https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html)

Así pues, nos encontramos en un escenario donde aparece una gran oportunidad de mejorar nuestro sistema de gestión de TI debido a la necesidad de adecuarlo al ENS, cumpliendo nuevos requisitos y revisando el cumplimiento de otros supuestamente ya superados.

Y aunque el ENS en un potente refuerzo de la gestión de la seguridad de la información (ISO 27001), no hay que olvidar el punto de vista de la gestión de los servicios (ISO 20000-1). Para mantener correctamente los servicios de TI es imprescindible controlar la prestación del servicio extremo a extremo:

Conclusión: No veamos el ENS como una amenaza, sino como una oportunidad de consolidar, mejorar y publicitar nuestros sistemas de gestión de TI, aprovechando para darles un lavado de cara, incorporando los nuevos requisitos y actualizándolos de acuerdo con las nuevas tendencias de agilidad y eficacia.

Moisés Robles Gener

Comité de Andalucía de itSMF España