Esquema Nacional de Seguridad e ISO 27001 ¿Cómo puedo implantar ambos en mi empresa?

miércoles, 12 de septiembre de 2018

Esquema Nacional de Seguridad e ISO 27001 ¿Cómo puedo implantar ambos en mi empresa? imagen

Durante el año 2006 comenzaron las implantaciones de ISO-27001. En el 2008 al aparecer la Ley 11, las AAPP empezaban a ponerse las pilas en cuestiones de Ciberseguridad. En el mes de enero de 2010 se publicaron el RD 03/2010 “Esquema Nacional de Seguridad” (ENS) y el RD 04/2010 “Esquema Nacional de Interoperabilidad”.

Actualmente, se observa una mayor incertidumbre alrededor de las “certificaciones” en el ENS, fuera del ámbito de las AAPP. Cualquier empresa que tenga proyectos en vigor, o más aún, desee participar en ofertas y licitaciones con algún Organismo Oficial, como mínimo, el contar con esta certificación, le supondrá una diferencia competitiva importante, y en breve, es probable que sea una cláusula obligatoria para participar en una licitación. En mi empresa privada, ¿necesito certificar el ENS?.. ¿qué pasa ahora con el ISO-27001? Estas y más cuestiones son las que vamos a resolver a lo largo del post, aunque ya te adelantamos que si tu empresa guarda algún interés con las AAPP, la respuesta es sí.

1.¿Cuál es la certificación que necesito?
El 23 de octubre del año 2015 se publicó el Real Decreto 951, que modifica al Real Decreto 3/2010, de 8 de enero. En el mismo, se especifica por un lado, la fecha límite para las AAPP en cuanto a la implantación del ENS y por otro (y más importante para nosotros), la asignación al Centro Criptográfico Nacional (CCN) de la misión de velar por el ENS. En en su web podemos encontrar una serie de guías de la “familia 800” del CCN-STIC (Seguridad de Tecnologías de la Información y las teleComunicaciones), las cuáles son de libre descarga y sobre las que basaremos el post.

El Anexo I del ENS define tres categorías: Básica, Media o Alta. En su punto 1. “Fundamentos para la determinación de la categoría de un sistema”, esa categorización se basa en la valoración del impacto que tendría un incidente de seguridad sobre la organización. En el punto 2 del mismo Anexo, continúa definiendo las “Dimensiones de la seguridad” y a fin de poder determinar este impacto, se tendrán en cuenta las siguientes dimensiones: Autenticidad, Confidencialidad, Integridad, Disponibilidad, Accounting/Trazabilidad. El punto 3“Determinación del nivel requerido en una dimensión de seguridad” establece que si las consecuencias de un incidente de seguridad, afectan a alguna de las dimensiones de seguridad y suponen un determinado perjuicio sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados se clasificarán como:

Determinación del nivel requerido en  una dimensión de seguridad imagen
Tabla determinación del nivel requerido en  una dimensión de seguridad 

Por último, el punto 4. “Determinación de la categoría de un sistema de información”, hace referencia a que el máximo nivel de un sistema de información determinará su categoría.

Determinación de la categoria de un sistgema de información imagen

Nos hemos detenido especialmente en estos conceptos, ya que, para determinar el tipo de certificación que necesito, dependeremos estrictamente de la “Categoría” que le hayamos asignado a nuestros sistemas de información. Comencemos ahora con la guía que nos atañe a este punto. La guía CCN-STIC 809 "Declaración y Certificación de conformidad con el ENS y distintivos de cumplimiento". Lo primero que vemos en esta guía es una referencia al ENS en su Artículo 41. “Publicación de conformidad.” “Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad”. En su punto 2.2. "Procedimiento de determinación de la conformidad" , que se desprende del Anexo I (del ENS) mencionado, se establece que la conformidad con la norma pasa necesariamente por adoptar y manifestar la implantación de las medidas de seguridad requeridas para tal sistema, atendiendo a su categoría (básica, media o alta). Ahora, sólo nos queda aclarar cómo se obtiene esta conformidad, lo cual, es bastante claro y sencillo y también se desprende del ENS, esta vez, en su Anexo III:


Procedimiento de determinación de la conformidad imagen
Procedimiento de determinación de la conformidad

En el punto del párrafo anterior. “Publicidad de la conformidad”, también nos aclara que cuando se trate de sistemas de información de categoría media o alta, el CCN y la Entidad Nacional de Acreditación (ENAC), atendiendo a un procedimiento regulado, participarán en la acreditación de las Entidades de Certificación del ENS. La Certificación de Conformidad con el ENS a la que se refiere el punto anterior, deberá́ ser expedida por una Entidad Certificadora. El CCN mantiene en su sede electrónica una relación actualizada de las Entidades de Certificación, las cuales al día de hoy son:

Entidades certificadoras del CNN imagen
Entidades certificadoras del CNN 

La Certificación de Conformidad con el ENS podrá representarse mediante un Distintivo de Certificación de Conformidad. Cuando la provisión de las soluciones o la prestación de los servicios sujetos al cumplimiento del ENS sean realizados por organizaciones del sector privado, estas, utilizarán los mismos modelos documentales utilizados para las Declaraciones, las Certificaciones o los Distintivos de Conformidad recogidos en la presente guía. Del mismo modo, los Distintivos de Conformidad cuando se exhiban por parte de dichos operadores privados, deberán enlazar con las correspondientes Declaraciones o Certificaciones de Conformidad, que permanecerán siempre accesibles en la página web del operador. El Centro Criptológico Nacional mantiene en su página web una relación de las entidades públicas o privadas que han obtenido Certificaciones de Conformidad. Ver listado actualizado aquí

Tipos de certificaciones de Conformidad imagen
Tipos de certificaciones de Conformidad

2.¿Cómo se adecua mi empresa para obtener la misma?
El CCN se describe con máximo detalle la adecuación ordenada al ENS, la cual requiere el tratamiento de diversas cuestiones:

• Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (CCN-STIC 805 Política de seguridad de la información)
• Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.(CCN-STIC 803 Valoración de sistemas en el Esquema Nacional deSeguridad)
• Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Magerit versión 3 y programas de apoyo –Pilar- )
• Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. (CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad)
• Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. (CCN-STIC 806 Plan deadecuación del Esquema Nacional de Seguridad)
• Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. (serie CCN-STIC)
• Informar sobre el estado de la seguridad (CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC 824 Informe del Estado de Seguridad). Para ejecutar esta adecuación nos presenta el siguiente esquema.

Adecuacion al Esquema Nacional de Seguridad imagen
Adecuación al esquema Nacional de Seguridad

3.¿Cómo obtengo la certificación?
Lo más importante como punto de partida y metodología concreta a seguir para obtener esta certificación es, nuevamente, recurrir al CCN y considerar los “Instrumentos para la adecuación” que ponen a nuestra disposición en el siguiente enlace. Desde los siguientes enlaces podremos descargar todas las guías que necesitamos para completar este punto:

• CCN-STIC 802 Guía de Auditoría 
• CCN-STIC 804 Guía de Implantación 
• CCN-STIC 808 Verificación cumplimiento medidas del ENS 
• CCN-STIC 815 Métricas e Indicadores 
• CCN-STIC 809 Declaración y Certificación Conformidad ENS. DistintivosCumplimiento.
• CCN-STIC 824 Informe Estado Seguridad 
• CCN-STIC 844 INES 
• CCN-STIC 47X Manual de uso PILAR 

4.¿Me sirve o no el ISO-27001?
Nada mejor que utilizar la guía CCN-STIC 825 “Esquema Nacional de Seguridad - Certificaciones 27001” lanzada en noviembre de 2013 para contestar a este punto.

Punto 2. “Objeto” de esta guía, nos indica claramente: b “Nótese que la correspondencia no es una relación matemática de equivalencia. Lo que se busca en esta guía es, en primer lugar, explicar la utilización de una certificación 27001 como soporte de cumplimiento del ENS y, en segundo lugar, determinar qué controles de la norma 27002 son necesarios para el cumplimiento de cada medida del Anexo II y, en su caso, qué elementos adicionales son requeridos”. El punto 5. “Cumplimiento del ENS a través de una Certificación 27001” es de sumo interés para nosotros pues nos da una premisa fundamental: El primer requisito para poder utilizar una certificación 27001 como soporte de cumplimiento del ENS es que el alcance de la certificación 27001 cubra lo exigido por la Ley 40/2015, tanto desde el punto de vista de los activos esenciales (Anexo I) como del equipamiento empleado. Por lo tanto es fundamental considerar el “Alcance” que definiremos para nuestro SGSI (Sistema de Gestión de la Seguridad de la Información), para que desde el inicio, podamos tener una analogía entre ambos. El Anexo II del ENS se definen cada uno de los requisitos en función de la categoría del sistema de información. Un ejemplo claro de ello es la imagen que aparece a continuación:

Requisitos del ENS en función de la categoría del sistema de información imagen
Requisitos del ENS en función de la categoría del sistema de información (Real Decreto 3/2010, de 8 de enero)

En el punto 5.1. de esta misma guía 825, “Cuadro resumen”, se presenta una tabla que resume las diferencias presentes entre una certificación 27001 y el cumplimiento del ENS y cuya utilización, resulta ser una excelente aportación para tener claro este punto tal y como podemos observar en la imagen inferior, en la apreciamos justamente algunos de los requisitos del ENS respecto al grado de cobertura o esfuerzo (1, 2, 3…) para asociarlo con los controles de ISO-27001.

Tabla resumen diferencias entre una certificación 27001 y el cumplimiento del ENS imagen
Tabla resumen diferencias entre una certificación 27001 y el cumplimiento del ENS ( guía CCN-STIC 825)

Como resumen final de este apartado, podemos afirmar que una certificación ISO 27001 cubre bastante más necesidades que el ENS. Si tenemos la opción de adecuar nuestra organización a ambos certificados en paralelo es el camino ideal. Si por el contrario ya dispones del ISO-27001, tendrás gran parte del camino recorrido y sólo quedará analizar en detalle el ámbito y “ajustar” los indicadores que se nos indican en esta tabla.

5.¿Puedo obtener ambas certificaciones?
Por supuesto que sí. Si está a nuestro alcance lanzar ambos en paralelo, nos ahorraremos mucho trabajo y en definitiva nuestro SGSI será bastante más sólido. Un importante consejo aquí, es preparar ambos de forma “sincrónica” para poder solicitar las dos certificaciones al unísono, y de ser posible, con la misma entidad de certificación. Si lo logramos, todo será más sencillo, tanto para nuestra empresa como para los auditores externos.

6.¿Qué pasos debo seguir?
Los pasos que propone el CCN-CERT son los siguientes:

Pasos a seguir para obtener una certificación imagen
Pasos a seguir para la obtención de una certificación 

Marcados en verde podemos ver los pasos que iremos desarrollando en este punto, así como el orden que creemos más práctico para abordarlos:

Paso 1: Definir roles y asignar personas. (tomaremos como referencia la guía CCN_STIC 801 )
Paso 2: Preparar y aprobar la política de seguridad.(tomaremos como referencia la guía CCN_STIC 805)
Paso 3: Valorar/Categorizar el sistema. (guía CCN_STIC 803)
Paso 4: Realizar el análisis de riesgo. El CNN hace referencia a Magerit (Metodología de Anális y Gestión de Riesgos de los Sistemas de Información)
Paso 5: Preparar y aprobar la Declaración de Aplicabilidad. (emplearemos la guía  de implantación CCN_STIC804)
Paso 6: Implantar, operar y monitorizar el sistema (utilizaremos la guía Criptología de empleo en el Esquema Nacional de Seguridad CCN_STIC 807)

Podrás acceder al artículo completo aquí.

Alejandro Corletti Estrada

No hay comentarios:

Publicar un comentario