AENOR, primera entidad acreditada para certificar conformidades con el ENS. Entrevista a Boris Delgado, su gerente TIC

AENOR

Las administraciones públicas tienen la obligación de certificar la conformidad de sus sistemas de información, de categorías media y alta, con el ENS. Sólo las organizaciones que tengan una acreditación especial pueden otorgar ese tipo de certificaciones. Y AENOR ha sido la primera en conseguirlo.

Las noticias que en los últimos meses se suceden en torno a incidentes de ciberseguridad, solo son el precedente de la importancia y relevancia pública que en los próximos años va a alcanzar la seguridad informática.

Si hoy en día todavía es una asignatura pendiente concienciar a los responsables de organizaciones públicas y privadas, sobre la necesidad de desarrollar políticas efectivas de seguridad para sus infraestructuras tecnológicas, en un futuro cercano parecerá incomprensible que en alguna momento fuera posible esta situación.

Sea como fuere, se van dando pasos en el camino correcto. Y buena muestra de ello son las iniciativas que está impulsado el Centro Criptológico Nacional, muchas de ellas con las Administraciones Públicas como principal destinatario y el Esquema Nacional de Seguridad como instrumento fundamental.

Una de las novedades más relevantes que introdujo la modificación del Esquema Nacional de Seguridad en el Real Decreto 951/2015, de 23 de octubre, fue la obligación de cumplir con un conjunto de instrucciones técnicas de seguridad, entre las que se incluyó una específica sobre conformidad. Esta instrucción técnica se publicó en mayo del año siguiente y establecía la obligación de conseguir la conformidad para sistemas de información de categorías media y alta, mediante la auditoria realizada por una entidad certificada a tal efecto.

Y muy pronto se presentó el esquema de acreditación de entidades que pudieran certificar el cumplimiento del ENS, que fue desarrollado por ENAC, en colaboración con el Ministerio de Hacienda y Función Pública (MINHAFP) y el Centro Criptológico Nacional (CCN)

La primera entidad en conseguir esta acreditación ha sido AENOR, hecho que se hizo público a finales del pasado abril. Un hecho muy relevante para el sector profesional de la ciberseguridad en España y de gran interés para responsables de seguridad y directivos del ámbito informático de las Administraciones Públicas. Pues aunque ya hay otras empresas en proceso de conseguir la misma acreditación, el hecho de haber sido la primera en lograrlo, sitúa a AENOR en un lugar de excepción como socio tecnológico clave para el sector público.

Para conocer de primera mano como ha sido el proceso para que AENOR consiguiera esta acreditación y la relevancia que para la propia entidad ha sido conseguir este logro, hemos entrevistado a Boris Delgado, su gerente TIC, y que ha tenido un papel importante en este hito.

ENS categoría altaPara nuestros lectores que conocen el ENS pero no son expertos en la materia. ¿En qué consiste exactamente la acreditación que ha conseguido AENOR?

La acreditación es el reconocimiento formal de la independencia y capacidad técnica de una entidad de evaluación de la conformidad (en este caso AENOR), para desarrollar actividades de certificación.

Esta acreditación realizada por Entidad Nacional de Acreditación – ENAC se ha desarrollado bajo la ISO 17065 que establece, entre otras, cuales deben ser las características organizativas de la entidad certificadora (por ejemplo, imparcialidad),  como debe ser el proceso de auditoría y la competencia técnica del equipo auditor.

¿Qué relación tiene esta acreditación relacionada con el ENS con la familia de normas ISO 27000?

La relación es muy directa. Recordemos que la familia de estándares ISO 27000 está orientada a la seguridad de la información y concretamente la ISO 27001 es una norma/estándar voluntaria certificable; el ENS se inspiró en su estructura y aplicación. (Ciclo PDCA-Mejora continua, Análisis de riesgos e implantación de medidas/controles)

De hecho una organización pública/privada que quiera certificarse en el ENS para un alcance concreto y disponga de una ISO 27001 para ese mismo alcance, estará cumpliendo la gran mayoría de los requisitos del ENS.

Hay que recordar que el CCN publicó en 2013 la Guía CCN-STIC 825 donde se compara la ISO 27001 y el ENS. Recientemente se ha publicado en inglés.

AENOR contaba ya con más de 140 acreditaciones. ¿Conseguir esta acreditación relacionada con el ENS, en un ámbito de tanta actualidad como la ciberseguridad, tenía algo de especial para la institución o era un hito más como todas la que se habían conseguido antes?

Es un hito muy importante para AENOR pero sobre todo para las AAPP y empresas privadas que prestan servicios a las AAPP, el que ya exista una entidad certificadora (AENOR) con todos los reconocimientos para poder certificar de conformidad con el ENS.

Recordemos que la exigencia de acreditación para entidades de certificación como AENOR se indica en la ITS-Instrucción Técnica de Seguridad de Conformidad con el ENS publicada en el BOE del 2 de Noviembre 2016 (BOE-A-2016-10109) y complementariamente en la Guía CCN-STIC 809- Declaración y Certificación de Conformidad ENS

¿Había algún interés especial en ser la primera entidad en conseguirlo o ha sido algo casual?

AENOR tiene un compromiso con las entidades/organizaciones públicas y privadas, en prestar sus servicios de acuerdo a lo que el mercado exija. Desde hace ya varios años, desde la Gerencia de TIC estamos en contacto con los creadores del ENS para conocer su enfoque y nos hemos ido alineando a lo que ellos iban informando de forma pública a través de la publicación de las guías CCN-STIC. El ser la primera entidad acreditada es fruto de este largo recorrido y esfuerzo y de la vocación de AENOR por innovar constantemente por ofrecer a las organizaciones soluciones con un valor añadido superior, que apoyan su competitividad.

ENS categoría MediaHasta el momento había muchas empresas, de diversos tamaños, haciendo auditorías sobre ENS. ¿La creación de estas acreditaciones supone que muchas de esas empresas quedarán fuera de juego?

Como indicaba anteriormente, la acreditación es un reconocimiento formal de la independencia y capacidad técnica de una entidad para certificar. Las empresas que hasta ahora realizaban estas actividades y lo hicieran de forma correcta no deberían encontrar ninguna dificultad en el proceso de acreditación.

¿Se creo un equipo de trabajo especialmente dedicado a conseguir esta acreditación? ¿Cuántas personas lo formaban? ¿Qué perfiles tenían?

Para este caso tan novedoso, ha sido un trabajo conjunto con un equipo pluridisciplinar, coordinado desde la Gerencia de TIC, compuesto por profesionales de la Gerencia de TIC, y de la Subdirección de Calidad y Acreditación perteneciente a la Dirección de Calidad y Acreditación de AENOR.

¿Ha sido un trabajo fundamentalmente técnico, administrativo o burocrático?

Diría que ha sido un trabajo fundamentalmente técnico, donde la labor administrativa ha sido necesaria y al final como todo proceso oficial, tiene una carga que desde AENOR se ha gestionado de forma muy diligente.

¿Cuáles han sido los principales retos para conseguir la acreditación?

Al ser los primeros en acreditarnos y ser una acreditación piloto por ENAC, el principal reto ha sido interpretar adecuadamente los requisitos de acreditación para estas nuevas certificaciones.

¿Supone una oportunidad especial de negocio para AENOR esta etapa en la que todavía no hay otras entidades con la misma acreditación?

Sin duda es un elemento diferenciador. También hay que considerar que actualmente AENOR es la única entidad acreditada por ENAC para ENS e ISO 27001. Como ya hemos comentado, AENOR tiene una dilatada experiencia en la certificación de ISO 27001 con más de 300 empresas certificadas a nivel mundial.

El ENS se publicó en 2010 y se actualizó en 2016. ¿Cree que hay una conciencia real, y un compromiso para cumplir esa legislación de forma generalizada, en las AAPP?

Nuestra percepción, es que si existe una conciencia generalizada en las AAPP y en los proveedores privados de servicios para las AAPP; sin embargo la coyuntura económica vivida en nuestro país en los últimos años ha ralentizado la aplicación completa del ENS en las AAPP.

Y el hecho de que el ENS exija, en principio, las mismas medidas para administraciones públicas de tamaños muy diferentes… ¿Cree que es un hándicap para su aceptación masiva?

En principio, el ENS propone determinados mecanismos como es la categorización de los sistemas de información que permiten aplicar unas u otras medidas/controles en función de unos criterios. Es por ellos que posiblemente para organismos más pequeños con alcances mas reducidos, el esfuerzo de implantación del ENS sea menor que para una administración pública de gran tamaño con un alcance superior.

¿Cuáles son los tipos de AAPP que AENOR ha detectado más interesadas en cumplir el ENS y conseguir certificarse?

En nuestra experiencia, las AAPP que disponían de una ISO 27001 y concretamente aquellas que son Organismos Pagadores han sido las primeras interesadas. Esto es debido a la exigencia por parte de Europa de que estos Organismos dispusieran de una ISO 27001 certificada desde hace unos años, lo que les ha motivado a hacer el esfuerzo adicional para adecuarse al ENS.

Hay quien critica al ENS, tratándole de ser un conjunto de prácticas tediosas, principalmente administrativas, pero que no garantizan una protección técnica real. ¿Cuál es vuestra valoración? ¿Realmente contribuye desde el punto de vista de AENOR una forma efectiva de mejorar la seguridad “real”?

La estructura del ENS esta basada en 6 principios básicos y 15 requisitos mínimos. Para el cumplimiento de ambos se aplican 75 medidas de 3 tipos (organizacional, operacional y técnico). Desde la perspectiva puramente técnica el ENS si que dispone de medidas/controles que implantadas correctamente garantizan una protección técnica adecuada sobre aquello que protegen.

Muchas de estas medidas/controles ya existían en las AAPP/organizaciones privadas. Finalmente es una reordenación de las mismas y un fortalecimiento de otras medidas que no se tenían tan en cuenta.

ENS categoría básica¿Qué ventajas tienen para las AAPP conseguir certificaciones, como la del ENS u otras?

El ENS es de obligado cumplimiento para las AAPP. La ventaja es el poder tener un sistema gestionado y controlado con medidas/controles que aseguren la correcta protección de sus sistemas de información ante amenazadas internas y externas.

¿En qué otras líneas de trabajo relacionadas con la ciberseguridad está trabajando AENOR en la actualidad?

AENOR innova permanentemente en certificaciones que den respuesta a las necesidades actuales de las organizaciones en un mercado más complejo y global.

Actualmente desde la Gerencia de TIC se está trabajando constantemente en mejorar y evolucionar los referenciales del Modelo de Gobierno y Gestión de las TIC de AENOR que se desarrolló e implantó en 2006 (donde se encuentra la ISO 27001), para así adaptarse a los nuevos entornos y tecnologías como es la transformación digital y como es SMAC (Social, Mobility, Analytics, Cloud) + IoT (Internet of Things).

Estamos en proceso de diseño de nuevas certificaciones relacionadas con la Ciberseguridad, Cloud, IoT, etc.

Gracias por su tiempo y atención. ¿Desea añadir algo más nuestros lectores?

Agradecer a su blog y sus lectores su tiempo, esperando que esta información sea de utilidad.

 

 

Post By Florián Manuel Pérez Sánchez (51 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

, ,

No comments yet.

Deja un comentario

Leave your opinion here. Please be nice. Your Email address will be kept private.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Translate »