Ir al contenido principal

Una reflexión rápida sobre el ENS y la Administración Local

El pasado viernes, 8 de septiembre, acudí a la primera sesión de un curso que la Diputación de Valencia organizaba sobre la Aplicación Práctica del Esquema Nacional de Seguridad, dirigido a personal TIC de las Administraciones Locales de la provincia. El interés de la materia se detecta fácilmente sabiendo que sólo había 20 plazas y hubo más de 250 solicitudes para asistir al curso, y no sólo de personal TIC, sino de Habilitados Nacionales y otros perfiles.
El curso, a cargo de profesionales altamente experimentados en la materia de una consultora, y pese al interés y el buen hacer de los mismos, por su contenido es un pelín árido, y, sobretodo, sirve para demostrarnos a todos lo mal que nos encontramos en esta materia a menos de dos meses de su entrada en vigor completa.
Si algo quedó claro para todos, asistentes y docentes, es que el ENS no es una normativa que tuviese en cuenta a la Administración Local, que es la que representa a la inmensa mayoría de las Administraciones afectadas por el mismo. Está claramente pensado para las Administraciones Central y Autonómica (ni siquiera tengo claro que pensaran en las Diputaciones). EL CCN-CERT ha tenido desde el primer día el interés, y ha realizado el esfuerzo, en aclarar muchos de los aspectos del Decreto 3/2010 por el que se aprobó el ENS (y de su modificación de Octubre de 2015) en forma de guías de la Serie 800. Sin embargo, nadie se ha molestado en hacer un downgrade de esa norma para facilitar su aplicación en las Administraciones Locales, básicamente, en los Ayuntamientos. ¿Cómo definir los diferentes roles obligatorios del ENS en un Ayuntamiento con sólo un técnico TIC? ¿Qué papel han de jugar aquí las Diputaciones (por cierto, lo mismo ocurrirá en breve con la figura del DPO obligatoria según el GDPR)? ¿Cómo conseguir los fondos para la realización de los Planes de Adaptacion? ¿Y cómo conseguir personal para mantener actualizado el nivel de cumplimiento y entrar en el ciclo de mejora continua de la seguridad, dado el marco legal actual? Lo dije en 2015: este es un plomo más en el fondo del bote de las AA.LL. destinado a facilitar su hundimiento.

Por esa razón, desde ATIAL creamos un grupo de trabajo sobre esta materia, con el objetivo de ayudar a nuestros asociados a definir claramente la hoja de ruta a seguir para implantar el ENS, y apoyarles en la realización de la misma en la medida de las posibilidades de nuestra Asociación. Espero que los resultados sean de utilidad para nuestra comunidad...

Comentarios

  1. Breve y acertado análisis de la aplicación del ENS en las corporaciones locales. Cuestiones planteadas reflejando la precaria realidad de muchas corporaciones.
    En la medida el legislador empatice con el día a día de los Ayuntamientos y Diputaciones, será capaz de realizar mejor su trabajo.
    Gracias Manuel por tu aportación.

    ResponderEliminar
  2. Totalmente deacuerdo con Manuel y Carlos. La mayoria de AALL no realizaran esta adaptació, otros contrataran a una auditora para que les diga lo que el informático (si tienen) ya sabe pero no podran asumir los Planes de Adaptación que deriven de dicha auditoria por falta de recursos. Pero eso es solo una pequeña parte de la llamada Administración Electrónica que las AAPP tienen que cumplir por mandato legal, pero sin apenas recursos. Un plomo?,esto es el ancla del Titanic amigo Manuel!!

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

Malas praxis en certificados del ENS

 ¡Ojo con los certificados de conformidad con el Esquema Nacional de Seguridad! Recientemente, he tenido acceso a un certificado de conformidad con el ENS emitido por la Empresa A a la Empresa B . La Empresa B se dedica a servicios de desarrollo de software, entre otras cosas, y la Empresa A es una consultora de certificación en diferentes normas. En determinadas circunstancias las AA.PP. han de exigir el cumplimiento del ENS a sus proveedores de servicios, para lo cual se han de obtener los correspondientes certificados de conformidad, que permiten utilizar los distintivos cuyo uso se describe en la Guia CCN-STIC 809 . El certificado al que tuve acceso tenía como título " Certificado de conformidad con el Esquema Nacional de Seguridad ", indicaba que se había emitido a nombre de Empresa B por parte de Empresa A, para una serie de servicios de TI, disponía del distintivo oficial de nivel Medio (en este caso), tenía su número de registro, su fecha de emisión y caducidad, y l

Entrevista para Computerworld University

El pasado 9 de enero se publicó el video de la entrevista que Marlon Molina me hizó unos días antes para Computerworld University, centrada en la temática de mis artículos para Tecnología y Sentido Común sobre la respuesta ante incidentes de ciberseguridad, y el impacto que la improvisación en esta materia puede tener para nuestras organizaciones. Espero que les guste.

Una vez más, La Ley Privacidad publica uno de mis artículos

En el número 14 de La Ley Privacidad (Wolters-Kluwer) se publica nuevamente uno de mis artículos. En este caso, titulado "Seguridad y privacidad en situaciones fuera de las TIC", y del cual dejo por aquí el extracto. "Los profesionales de la Privacidad y de la Seguridad de la Información estamos acostumbrados a enfocar nuestros esfuerzos en los sistemas de tratamientos automatizados de datos, basados en el uso de las Tecnologías de la Información y las Comunicaciones (TIC). Sin embargo, otros tipos de profesionales dentro de las organizaciones no siempre tienen en cuenta los requisitos de Seguridad y Privacidad en sus ámbitos de actividad, dándose situaciones que, a posteriori, requieren de actuaciones por parte de los expertos en la materia que pueden resultar muy gravosas para la organización. En este artículo analizaremos estas situaciones, para ayudar a que se minimice su ocurrencia. " El artículo puede leerse, bajo suscripción, en la web de la publicación .