Ir al contenido principal

Malas praxis en certificados del ENS

 ¡Ojo con los certificados de conformidad con el Esquema Nacional de Seguridad!

Recientemente, he tenido acceso a un certificado de conformidad con el ENS emitido por la Empresa A a la Empresa B. La Empresa B se dedica a servicios de desarrollo de software, entre otras cosas, y la Empresa A es una consultora de certificación en diferentes normas. En determinadas circunstancias las AA.PP. han de exigir el cumplimiento del ENS a sus proveedores de servicios, para lo cual se han de obtener los correspondientes certificados de conformidad, que permiten utilizar los distintivos cuyo uso se describe en la Guia CCN-STIC 809.

El certificado al que tuve acceso tenía como título "Certificado de conformidad con el Esquema Nacional de Seguridad", indicaba que se había emitido a nombre de Empresa B por parte de Empresa A, para una serie de servicios de TI, disponía del distintivo oficial de nivel Medio (en este caso), tenía su número de registro, su fecha de emisión y caducidad, y la leyenda "ha sido auditado y es conforme con las exigencias del RD 3/2010." (se emitió antes de aprobarse el RD 311/2022). Todo parecía en orden.

Sin embargo: 

a) La Empresa B no aparecía en el listado de empresas certificadas que tiene el CCN-CERT publicada en su web.

b) y la Empresa A no aparecía en el listado de empresas acreditadas por la Entidad Nacional de Acreditación (ENAC) para emitir esas certificaciones, como especifica el propio ENS que ha de ser. Efectivamente, al certificado le faltaba el sello de ENAC para ser totalmente perfecto, al menos, a nivel visual.

Hechas las oportunas llamadas a ambas empresas, Empresa A reconoce que no está acreditada, pero que su certificado no significa lo que el propio certificado parece indicar. Según ellos, simplemente han hecho para Empresa B los trabajos tendentes a que puedan plantearse que una entidad acreditada pueda certificarles el cumplimiento del ENS. Para qué use Empresa B el documento que ellos le emiten no es su problema. También se excusan diciendo que las AA.PP. no sabemos pedir los certificados del ENS correctamente (cuando el propio ENS nos dice lo que debemos pedir). Sin embargo, en mi opinión y en la de expertos en contratación y juristas, el "certificado" está claramente diseñado para confundir/engañar a la persona que ha de evaluar si se cumple o no con el ENS en el estudio de la documentación de una licitación.

Por todo ello, y ante la preocupación de que esta práctica presuntamente fraudulenta esté extendida en el mercado TI, por esta experiencia recomiendo que, si el lector se encuentra en la necesidad de tener que evaluar un certificado de conformidad del ENS en una licitación, compruebe lo siguiente:

  1. Que el certificado está emitido a nombre de la mercantil que presenta la oferta. Si no es así, debe haber una subcontratación de esa mercantil certificada por parte de quien presenta la oferta, y esa subcontratación ha de constar en la memoria técnica del licitante.
  2. Que la empresa certificada aparece en el listado correspondiente del CCN-CERT.
  3. Que el certificado esté emitido por una entidad acreditada por ENAC para certificar el ENS. Para ello, consultar el listado del CCN-CERT.
  4. Que el certificado tenga fecha de emisión, fecha de validez (que debe ser de un máximo de dos años desde la fecha de emisión) y nº de registro.
  5. Que el certificado indique el nivel de conformidad con el ENS y para qué ámbito se emite, es decir, para qué servicios se ha certificado ese nivel de conformidad con el ENS. Esos servicios han de incluir aquellos que se están licitando y para los que se presenta la oferta, claro.
  6. Que el certificado incluya el logotipo de ENAC y, opcionalmente, el distintivo de conformidad con el nivel del ENS regulado en la Guía CCN-STIC 809.


En caso de que alguna de las condiciones anteriores no se cumpla, habría que hacer las oportunas indagaciones, y si no son fructíferas, denegar la validez del certificado para esa licitación sería la opción más lógica.

Espero que esta experiencia les sea útil.

Comentarios

Publicar un comentario

Entradas populares de este blog

Entrevista para Computerworld University

El pasado 9 de enero se publicó el video de la entrevista que Marlon Molina me hizó unos días antes para Computerworld University, centrada en la temática de mis artículos para Tecnología y Sentido Común sobre la respuesta ante incidentes de ciberseguridad, y el impacto que la improvisación en esta materia puede tener para nuestras organizaciones. Espero que les guste.
Publicar un comentario
Sigue leyendo >>

Una vez más, La Ley Privacidad publica uno de mis artículos

En el número 14 de La Ley Privacidad (Wolters-Kluwer) se publica nuevamente uno de mis artículos. En este caso, titulado "Seguridad y privacidad en situaciones fuera de las TIC", y del cual dejo por aquí el extracto. "Los profesionales de la Privacidad y de la Seguridad de la Información estamos acostumbrados a enfocar nuestros esfuerzos en los sistemas de tratamientos automatizados de datos, basados en el uso de las Tecnologías de la Información y las Comunicaciones (TIC). Sin embargo, otros tipos de profesionales dentro de las organizaciones no siempre tienen en cuenta los requisitos de Seguridad y Privacidad en sus ámbitos de actividad, dándose situaciones que, a posteriori, requieren de actuaciones por parte de los expertos en la materia que pueden resultar muy gravosas para la organización. En este artículo analizaremos estas situaciones, para ayudar a que se minimice su ocurrencia. " El artículo puede leerse, bajo suscripción, en la web de la publicación .
Publicar un comentario
Sigue leyendo >>