28 febrero 2011

Conclusiones del CNIS

Después de haber asistido al CNIS, y en paralelo a las conclusiones oficiales publicadas por la organización, aquí tenéis mis impresiones del congreso: 
  • Una gran cantidad de administraciones públicas todavía no se ha enfrentado a la adecuación al ENS. Según se podría esperar, los ministerios son los que demuestran una mayor iniciativa, mientras que los ayuntamientos son, en general, los menos activos.
  • Todas las administraciones públicas que han iniciado el proceso de adecuación al ENS se han acogido a la prórroga de 3 años que permite el haber desarrollado el Plan de Adecuación correspondiente. A día de hoy ninguna administración parece haber superado ese hito, y aunque algunos titulares puedan sugerir lo contrario, nadie ha completado el proceso.
  • La mayor parte de las administraciones que concretaron la categorización de sus sistemas indicaron que éstos eran de nivel alto de seguridad, sólo una comentó que sus sistemas eran de nivel medio. Este hecho, unido a la afirmación del CCN de que el nivel alto iba a requerir bastante más trabajo, hace prever periodos de adecuación efectiva bastante prolongados, de modo que difícilmente veremos declaraciones reales de cumplimiento antes de 2014.
  • La mayor parte de las administraciones públicas, al hablar del ENI, se limitan a detallar los distintos componentes técnicos en los que basan su arquitectura de e-administración. La mayor parte de los avances realizados en torno a la interoperabilidad se concentran en la formalización de protocolos y formatos que previamente ya estaban estandarizados o constituían estándares de facto.
  • Uno de los ámbitos del ENI en los que más avances ha habido, sorprendentemente (al menos, para mi), es en la creación de nodos de interoperabilidad. Me ha llamado mucho la atención que uno de los aspectos más vagos y ambiguos del ENI sea precisamente en el que más avances concretos ha habido.
Por último, uno de los aspectos más destacables del congreso me temo que sigue siendo una de las principales lacras de la administración pública: la política pesa más que la técnica. Administraciones públicas que no hablan entre ellas, proyectos idénticos en parelelo, nodos de interoperabilidad que no interoperan entre sí. En definitiva, mucho dinero público mal invertido por cuestiones que nada tienen que ver con la técnica. Creo que sería muy importante que todas las administraciones públicas tuvieran mucho más presente el espíritu del ENI, y que tuvieran la mente más abierta cuando leen eso de la "reutilización", máxime en tiempos de recortes presupuestarios. ¿No creéis?

18 febrero 2011

Congreso Nacional de Interoperabilidad y Seguridad

Hay que reconocer que los eventos en torno al Esquema Nacional de Seguridad despiertan cada día más interés, por mucho que su cumplimiento sea hoy por hoy prácticamente una utopía. Parece que, si te pierdes uno, quedas desactualizado. Y como no quiero correr el riesgo, el martes y miércoles de la semana que viene estaré por Madrid en el CNIS, con la intención de palpar de primera mano la situación real del sector. Ya os contaré cuál es mi percepción. Nos vemos...

17 febrero 2011

Responsabilizarse de los incidentes

Si tienes un incidente de seguridad, lo pagas. Aunque tengas medidas de seguridad, aunque se demuestre que son efectivas, aunque quede demostrado que el incidente se debe a que una persona concreta ha incumplido la normativa de seguridad establecida... la organización es la culpable. Al menos, en lo referente a la LOPD, según se deduce de una sentencia de la AEPD que he conocido a través de uno de los últimos post de Samuel Parra.

La clave, según parece, es que la vulneración del deber de secreto es una infracción de resultado, es decir, que lo relevante es el resultado del incidente, la vulneración de la confidencialidad, independientemente de los medios dispuestos por la organización para evitar que se produzcan los incidentes. Estos medios permitirán "modular" la sanción, pero siempre dentro del rango que le corresponde, que en este caso es el de "muy grave". Si estuviesemos ante una empresa privada, por mucho SGSI que pudiera tener la empresa, o por muy eficaces que pudieran ser las medidas de seguridad existentes, esa fuga de información llevada a cabo por un empleado concreto le hubiera supuesto pagar como mínimo 300 000 €. Y la verdad es que no me parece justo. Si queda probado que el incidente de seguridad se debe a la responsabilidad personal de un usuario que ha violado, intencionada y conscientemente, las medidas de seguridad dispuestas por la organización, creo que la sanción no es justa. Desde mi punto de vista, esa situación debería poder permitir que la sanción asociada tuviese distinta graduación. De acuerdo con estas consideraciones, la verdad es que la reforma de la LOPD que proponía CiU como enmienda a la famosa Ley Sinde tenía buena pinta. Al menos, tenía en consideración estos aspectos...

Con este artículo tampoco quiero dar la impresión de que las organizaciones no se deben responsabilizar de sus incidentes de seguridad. De hecho, creo que debería ser todo lo contrario, y que deberíamos fijarnos un poco más en nuestros "vecinos" estadounidenses a la hora de asumir responsabilidades por las consecuencias de los incidentes de seguridad sufridos. Pero también creo que esa asunción de responsabilidades debe tener un límite, que debería ser precisamente esa frontera entre la responsabilidad de la organización y la responsabilidad personal de cada uno de sus miembros.

ACTUALIZACIÓN: Por lo que he podido saber, parece que la reforma de la LOPD de la que hablaba ha sido aprobada como la disposición adicional quincuagésimo octava de la Ley de Economía Sostenible.

10 febrero 2011

Cambios en la nueva ISO 20000

Por lo que tengo entendido, se aproximan importantes cambios en la nueva ISO 20000. La nueva versión de la norma ISO 20000, que pasará a ser ISO/IEC 20000-1:2011, ya está cerrada, y la fase de votaciones ya ha concluido, así que, salvo sorpresas, en las próximas fechas podremos ver la nueva edición del estándar.

Una nueva versión del estándar que introduce, por lo que me he podido enterar, cambios destacables. El más evidente es su "crecimiento", ya que pasa de 16 a 26 páginas (aunque no tengo muy claro si en estas 26 páginas incluyen el control de cambios, en cuyo caso dicho crecimiento sería significativamente menor). Además, esta nueva versión ya indica claramente en su título que su contenido contempla los requisitos para un sistema de gestión de servicios. Pero quizás el cambio más significativo es precisamente ése, que se limita a hablar de sistema de gestión de servicios, sin incluir el apellido TI. Cambio que en principio podría ser símplemente consmético, ya que la primera parte del título es precisamente esa ("Information Technology"), pero que en realidad introduce una modificación sustancial en el ámbito del estándar, ya que su contenido pasaría a ser válido para certificar, potencialmente, el sistema de gestión de cualquier tipo de servicios. Sin conocer el texto de esta nueva versión, la interpretación que yo hago de este cambio es que podría servir para poder certificar bajo este estándar servicios que, relacionados con las TIC, antes no se consideraban certificables, por ser principalmente servicios "profesionales" (en contraposición con los servicios TI "puros", como ya he comentado en alguna otra ocasión). ¿Será una interpretación válida? ¿Tenéis alguna información más al respecto de los cambios de esta nueva versión? ¿Estáis de acuerdo con esta interpretación? Seguro que todos los lectores del blog estamos encantados de conocer otras opiniones al respecto.

ACTUALIZACIÓN: Parece que ya tenemos algo más de información sobre los cambios de la nueva versión de la ISO 20000 (Joserra, gracias por el link). En general, cambios que aportan mayor consistencia al modelo, pero sin afectar significativamente a su implementación. ¿Habrá realmente un cambio en el espíritu de la norma? Posiblemente lo descubriremos en el próximo Forum ISO 20000.

02 febrero 2011

Y ahora que?

Reconozco que llevo unos cuantos días sin postear nada. La verdad es que el trabajo de estos últimos días ha sido constante. Proyectos que tienen que acabar, proyectos que ya deberían haber empezado... Como cualquier otro Enero, salvo porque este año el ENS (Esquema Nacional de Seguridad) ya está aquí.

Por si alguien no era consciente, ya se ha cumplido un año desde la publicación del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad. Según su disposición transitoria, a los doce meses de su entrada en vigor (que se produjo el día 30 de Enero de 2010, ya que fue publicado el día 29) todas las administraciones públicas deberían haber adecuado sus sistemas de información, o al menos deberían contar con un plan de adecuación aprobado. Es decir, que desde el pasado domingo todas las administraciones públicas de este país deberían contar con un plan de adecuación al ENS o con una declaración de conformidad publicada en su sede electrónica indicando su cumplimiento.

Sin embargo, el panorama real dista bastante del deseado. A día de hoy sólo algunos ministerios tienen una declaración de conformidad publicada, que en muchos casos no supone un cumplimiento real sino un "disfraz" del plan de adecuación, y una búsqueda de planes de adecuación tampoco ofrece resultados muy diferentes. La mayor parte de las administraciones públicas no cumplen lo exigido por el Real Decreto.

¿Y ahora, qué va a pasar? Una de las principales críticas que se le hacía al ENS era que no iba acompañado de un régimen sancionador específico, de modo que su incumplimiento no supone una sanción específica, más allá de las que se puedan derivar de que una administración pública incumpla un Real Decreto. ¿Hay alguna forma práctica de "impulsar" la acometida de este tipo de proyectos? ¿O seguirá la seguridad de estos servicios a merced de iniciativas políticas que poco tienen que ver con una preocupación real por los ciudadanos? ¿Quizás los acontecimientos recientes relacionados con la seguridad de la información hayan podido influir en la percepción que las administraciones públicas tienen de la seguridad de sus servicios electrónicos? ¿O sus dirigentes seguirán pensando eso de "a mí no me pueden pasar esas cosas? Quizás es que hoy me he levantado pesimista, pero un panorama tan lleno de dudas me parece desalentador.