02 febrero 2011

Y ahora que?

Reconozco que llevo unos cuantos días sin postear nada. La verdad es que el trabajo de estos últimos días ha sido constante. Proyectos que tienen que acabar, proyectos que ya deberían haber empezado... Como cualquier otro Enero, salvo porque este año el ENS (Esquema Nacional de Seguridad) ya está aquí.

Por si alguien no era consciente, ya se ha cumplido un año desde la publicación del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad. Según su disposición transitoria, a los doce meses de su entrada en vigor (que se produjo el día 30 de Enero de 2010, ya que fue publicado el día 29) todas las administraciones públicas deberían haber adecuado sus sistemas de información, o al menos deberían contar con un plan de adecuación aprobado. Es decir, que desde el pasado domingo todas las administraciones públicas de este país deberían contar con un plan de adecuación al ENS o con una declaración de conformidad publicada en su sede electrónica indicando su cumplimiento.

Sin embargo, el panorama real dista bastante del deseado. A día de hoy sólo algunos ministerios tienen una declaración de conformidad publicada, que en muchos casos no supone un cumplimiento real sino un "disfraz" del plan de adecuación, y una búsqueda de planes de adecuación tampoco ofrece resultados muy diferentes. La mayor parte de las administraciones públicas no cumplen lo exigido por el Real Decreto.

¿Y ahora, qué va a pasar? Una de las principales críticas que se le hacía al ENS era que no iba acompañado de un régimen sancionador específico, de modo que su incumplimiento no supone una sanción específica, más allá de las que se puedan derivar de que una administración pública incumpla un Real Decreto. ¿Hay alguna forma práctica de "impulsar" la acometida de este tipo de proyectos? ¿O seguirá la seguridad de estos servicios a merced de iniciativas políticas que poco tienen que ver con una preocupación real por los ciudadanos? ¿Quizás los acontecimientos recientes relacionados con la seguridad de la información hayan podido influir en la percepción que las administraciones públicas tienen de la seguridad de sus servicios electrónicos? ¿O sus dirigentes seguirán pensando eso de "a mí no me pueden pasar esas cosas? Quizás es que hoy me he levantado pesimista, pero un panorama tan lleno de dudas me parece desalentador.

4 comentarios:

Anónimo dijo...

Bueno, aunque no haya regimen sancionador (ni por lopd ni por ens) por incumplir las medidas de seguridad, se me ocurre que, en el caso de que una administracion publica cometa un fallo en la seguridad de la informacion, si alguien le reclama judicialmente por los daños que haya podido causar, el propio incumplimiento de los minimos del ens puede ser "usado en su contra", como agravante o como indicativo de que no han hecho lo necesario para proteger nuestros datos...

en resumen, no sancionable por incumplir las medidas de seguridad "en generico" pero si utilizable como argumento para apoyar una reclamacion judicial por los daños causados (por una difusion no controlada, perdida o destruccion o alteraciones indebidas del dato que causen un perjuicio..)

Joseba Enjuto dijo...

Lo que me preocupa no es que no haya régimen sancionador, sino que no veo argumentaciones contundentes para que los políticos que dirigen las administraciones públicas decidan invertir en la seguridad de la e-Administración en lugar de hacerlo en otros ámbitos (todos sabemos que el presupuesto es limitado). Las sanciones podrían haber sido ese argumento, visto que el simple cumplimiento de un Real Decreto no es suficiente. Mi gran duda es si existe un argumento alternativo que sea mejor...

Anónimo dijo...

Sinceramente, para mí, esto ya lo esperaba.Creo más efectivo que la ley obligue a publicar el plan y dotarlo presupuestariamente en un mismo decreto de la administración o ente correspondiente. De todas formas sería (será) peor el sistema/s de outsorcing que apliquen. Hoy, por enésima vez en los últimos años, un server de la arquitectura de certificados de la agpd (MAP) está fuera de servicio. Nadie, responsable, se ha enterado ....., hasta el Lunes cuando les diga - una vez logre traspasar los amables call centers- que el servidor lo tienen caído desde hace dos días. Y van N. Pues ni os cuento lo que puede suceder con la puesta en marcha del ENS -outsourceado-.

Joseba Enjuto dijo...

El sentido común dice que el Plan de Adecuación debería estar dotado presupuestariamente para su cumplimiento... aunque es cierto que ese aspecto no se cita expresamente ni siquiera en las guías del CCN al respecto. Quizás hubiera sido conveniente indicarlo expresamente, verdad?

En cuanto al tema del outsourcing... la verdad es que hay mucho que avanzar en este ámbito. Quizás cuando al prestador de servicios se le empiece a hacer responsable real del e-servicio ofrecido pueda haber alguna evolución al respecto. De todas formas, el ENS ya preve, para sistemas de categoría media o alta, la adopción de SLAs (op.ext.1), e insinúa la utilización de penalizaciones. Con un poco de suerte, en los próximos años veremos avances al respecto...