ENS y la mejora continua

Hace algunos años era habitual que existieran empresas que vendían "malas adecuaciones" a la ISO 27001. Empresas que lo que hacían era diseñar proyectos de implantación sistemática de los 133 controles que componen el Anexo A de la norma, es decir, implantaban la ISO 27002. Eran proyectos que se olvidaban de la parte fundamental de la ISO 27001, del cuerpo de la norma: la gestión de riesgos, la mejora continua, el compromiso de la dirección... Afortunadamente, en la actualidad esa situación prácticamente ha sido desterrada por completo (aunque ahora existan casos en los que se da el caso contrario, pero bueno, eso es otra cuestión).

Sin embargo, a veces tengo la sensación de que en la actualidad se está dando una situación similar con el Esquema Nacional de Seguridad. En cierto modo, tengo una sensación de deja-vu al ver que, en muchos casos, cuando se habla del ENS se piensa automáticamente en su Anexo II, en el catálogo de medidas de seguridad que incorpora, obviando (al igual que en el caso anterior) la parte fundamental del documento, el cuerpo del Real Decreto: los principios básicos y requisitos mínimos que debe cumplir la política de seguridad de cualquier administración pública. ¿No aprendemos de los errores del pasado?

Digo esto porque una de las carencias que se le suelen achacar al ENS, desde mi punto de vista de manera completamente errónea, es que no contempla la mejora continua. Es más, yo creo que la contempla de manera explícita y bastante completa:

• Uno de los principios básicos de la seguridad es su reevaluación periódica (Art.9), donde establece la necesidad de reevaluar las medidas de seguridad hasta replantear la seguridad de forma completa si fuera necesario.
• Uno de los requisitos mínimos de la seguridad es la mejora continua del proceso de seguridad (Art. 26), donde se exige la actualización y mejora continuas del proceso integral de seguridad, aplicando para ello mecanismos reconocidos a nivel nacional e internacional.

¿No es suficiente con esa referencia? Está claro que no establece ningún tipo de sistemática de mejora continua, ni regula la gestión de mejoras mediante la articulación de acciones preventivas y/o correctivas como hacen los estándares ISO de gestión, pero... es necesario?

Y como tema adicional de reflexión, por si alguien le quiere dar una vuelta: el citado artículo 26 habla de mecanismos reconocidos relativos a gestión de las tecnologías de la información, no relativos a gestión de riesgos o gestión de la seguridad. ¿Qué lectura hacéis de este hecho?