Desde hace ya bastante tiempo venimos trabajando muy intensamente en proyectos directamente relacionados con la Administración Electrónica y los planes de modernización de las Administraciones Públicas.
Uno de los trabajos más solicitados en los últimos tiempos, tanto por Administraciones Públicas, como proveedores de tecnologías de la información para éstas, está siendo la adecuación de las entidades públicas o en su caso de las herramientas al Esquema Nacional de Seguridad e Interoperabilidad.
Con frecuencia nos encontramos con entidades que cumplen, y con muy buena nota, las disposiciones establecidas en los estándares internacionales de Seguridad de la Información, ISO 27.001 e ISO 27.002, y que consideran que dado que es así, cumplen al 100% con el Real Decreto 3/2010 del Esquema Nacional de Seguridad, pero…nada más lejos de la realidad.
Hay varias cuestiones que debemos tener en cuenta para poder diferenciar claramente las diferencias existentes entre las serie ISO 27.001 y el RD 3/2010.
- La primera de todas ellas es que, las normas ISO, lejos de ser normas de obligado cumplimiento, son estrictamente voluntarias, mientras que el RD 3/2010 es una norma de obligado cumplimiento, es una norma jurídica parte del ordenamiento jurídico español y por tanto exigible a todas aquella entidades comprendidas dentro de su ámbito de aplicación.
- La segunda es que, las normas ISO no tienen un ámbito de aplicación definido expresamente definido, pudiendo ser adoptadas, tanto por Administraciones Públicas, como por privadas, por entidades de escaso tamaño o por multinacionales, por entidades de un sector alejado de las tecnologías de la información o muy cercanos, mientras que el RD 3/2010 cuenta en su artículo 2 con una definición clara de cuál es su ámbito de aplicación, cuestión ésta que ha sido tratada desde diferentes blogs relacionados con el sector.
- La tercera es que, las normas ISO son normas que tienen como objetivo la GESTIÓN de la seguridad de la información, es decir, el establecimiento de los métodos, procedimientos y controles para garantizar la seguridad de la información de las entidades, mientras que el RD 3/2010 tiene como objetivo la PROTECCIÓN de la información y los activos de las entidades públicas.
- La cuarta es que, las normas ISO adolecen de una gran concreción en lo que se refiere a los controles y medidas de protección a adoptar para garantizar la seguridad de la información, quedando la selección y establecimiento de éstas en manos del propio auditor encargado del proceso de análisis y adecuación, mientras que el RD 3/2010 es extraordinariamente prolijo en relación a cuáles son los controles y medidas de protección, que para cada nivel de información, debe adoptar la entidad, no dejando lugar a dudas el tipo de medida adoptar, sin perjuicio de que se permita una cierta flexibilidad en la forma de la aplicación de las mismas, siempre que se obtenga el mismo resultado y/u objetivo.
- Le quinta es que, las normas ISO no tratan determinados aspectos, directamente relacionados con la Administración Electrónica, que son considerados piedras angulares según la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, tales como los Sellados de Tiempo, Certificación Electrónica, Phishing, Pharming, Inyección de Código Malicioso,…que sin embargo sí tratados expresamente por parte del RD 3/2010, lo que sin duda alguna sitúa al ENS en nivel superior de concreción y por tanto de exigibilidad.
Por todo ello, debemos tener en cuenta que el echo de encontrarse certificado y cumpliendo la ISO 27.001 no implica que se esté cumpliendo con el RD 3/2010 del Esquema Nacional de Seguridad, sin embargo, sí podemos afirmar que una entidad que cumpla con la ISO 27.001 y tenga implantado un sistema de gestión de seguridad de la información cuenta con gran cantidad de puntos exigibles conforme al Esquema Nacional de Seguridad, por lo que el proceso de adaptación al ENS será extraordinariamente más sencillo.