01 febrero 2010

Novedades en el Esquema Nacional de Seguridad

Aunque el Real Decreto 3/2010 ha sido bastante "fiel" al borrador que se había publicado, creo que es importante destacar algunos de los cambios que se han producido en su versión definitiva, y no tanto por su magnitud como por las implicaciones de fondo que se pueden deducir de dichos cambios. Los cambios que a mí más me han llamado la atención son los siguientes:
  • Se ha modificado el artículo 10 casi por completo, de forma que en la redacción definitiva del principio básico relativo a la seguridad como función diferenciada quedan mucho más claras las responsabilidades específicas y los roles en materia de seguridad de la información.
  • Se introducen varias "coletillas" en distintos artículos encaminadas a explicitar la garantía de derechos, tanto de las empresas prestadoras de servicios de seguridad (art. 15) como de las personas (art. 23).
  • Se refuerza el concepto de "mínimos ampliables" que tiene el ENS, tal y como se puede ver en la nueva redacción del artículo 27.
  • Habrá que prestar atención a los movimientos que pueda haber entre los juristas en relación a la redacción definitiva del artículo 30, ya que especifica mucho más claramente que en el borrador la posibilidad de excluir ciertos sistemas de información del alcance del ENS (habiendo excluido ya los sistemas que tratan secretos oficiales). Aunque a mí personalmente me parece una redacción que difícilmente puede dar lugar a "fisuras" en el cumplimiento del ENS, ya conocemos la capacidad de reinterpretación que tienen los abogados...
  • El capítulo relativo a la auditoría de la seguridad tiene algunas modificaciones que amplían y detallan más los requisitos asociados a la misma, dando claras muestras de que este va a ser un elemento de suma importancia en el cumplimiento del ENS.
  • Se ha eliminado el detalle del procedimiento de actualización del ENS que figuraba en el borrador, de modo que se aligera la tramitación de dichas actualizaciones, facilitándose su mantenimiento actualizado.
  • El cambio más significativo, desde mi punto de vista, se ha producido en el capítulo 10. En la versión final del ENS se ha eliminado la obligación de clasificar expresamente la información en base a su nivel de confidencialidad, lo cual me temo que resta bastante enjundia al resultado final. Soy consciente de la gran dificultad real que suponía su cumplimiento, y de que hubiera sido complejo "ponerle el cascabel al gato", pero era una de las obligaciones más valientes y de mayor efectividad que tenían los anteriores borradores, y me da pena que haya sido eliminada de este punto. Es cierto que dicha medida se puede identificar en el Anexo I del ENS, pero su redacción definitiva ha perdido muchos enteros desde el punto de vista de la eficacia que se puede conseguir con ella.
  • La redacción definitiva del ENS referencia como título habilitante la propia Constitución, en lugar de la Ley 11/2007, lo que supone una "elevación" de los argumentos esgrimidos para el cumplimiento del mismo.

Hay algún que otro cambio más en la redacción final, pero estos son los que me han parecido más llamativos. ¿Qué pensais vosotros? ¿Creéis que hay algún otro cambio que merezca la pena destacar?

2 comentarios:

Javier Cao Avellaneda dijo...

Yo he estado trabajando con el borrador hasta hace una semana y comparto que el criterio para establecer tipos de información es necesario pero la manera que habían elegido de especificarlo lo hacía de compleja aplicación.

Precisamente la semana pasada estuve redactando la norma de clasificación de información y el procedimiento de marcado y tratamiento y me he roto la cabeza para intentar hacer algo "lógico y aplicable" pero a la vez coherente con el ENS.

Los tipos de información venían a clasificar los datos según su nivel de confidencialidad, pero supuestamente esto es algo que ya haces también en el análisis de riesgos y que categoríza a los sistemas. Si la valoración es coherente, debería bastar con la categoría para saber el nivel de seguridad que hay que aplicar.

Creo que la principal motivación a la hora de redactar el artículo que tipificaba la información era establecer un criterio de lo "publico" frente a "lo publicable" y "lo interno". Pero no dieron con una fórmula que hiciera viable su aplicación y me explico.

La seguridad viene segmentada en las categorías ALTO, MEDIO y BAJO. Por tanto, debemos suponer que lo público "solo podrá ser lo clasificado ya como BAJO" en la dimensión de confidencialidad.

Obviamente comparto contigo la inquietud de que algún responsable atribuya un nivel bajo a información que sin ser extremadametne confidencial, no pueda ser pública por tratarse, por ejemplo de datos de carácter personal.

Creo que si hubieran redactado algún artículo para regular qué tipo de información debe ser publicada en Internet y cual no, habría sido la cosa más viable puesto que al final, no se han mojado.

Joseba Enjuto dijo...

El mayor problema es que para categorizar la información primero debes crear una taxonomía de dicha información, y a partir de ahí ya es posible (y bastante más sencillo, si la taxonomía es correcta) llevar a cabo dicha catalogación. Pero claro, eso supondría definir qué tipos y subtipos de información existen en la administración pública, y a nivel general es muy complicado... Tanto, que han preferido "obviar" esa taxonomía y centrarse sólo en el impacto, dejando en manos de cada administración resolver el problema. Una verdadera pena, la verdad, porque no tengo nada claro que un pequeño ayuntamiento vaya a tener más capacidad de resolver ese problema respecto a su propia información que la que podría haber tenido el equipo de redacción del ENS a nivel nacional.