16 enero 2012

ISO 20000 y ENS

En mi último post sobre el ENS y la mejora continua incluía al final un breve apunte para la reflexión, acerca de los estándares de referencia que podrían ser utilizados para cumplir con las exigencias del Esquema Nacional de Seguridad. ¿Es necesariamente la ISO 27001 la mejor referencia para su implementación?

La verdad es que las analogías entre la ISO 27001 y el ENS son tantas que parece obvio tomar este estándar como referencia para la implantación de un "buen" ENS. Sin embargo, creo que esa facilidad en el paralelismo ha hecho que no nos preocupemos en buscar alternativas, en ser críticos y plantearnos seriamente la existencia de otras opciones. ¿Qué supondría basar una implementación de un ENS en la implantación de un SGSTI (Sistema de Gestión de Servicios TI) que cubra los servicios electrónicos prestados por una administración pública?

Uno de los procesos que forman parte de un SGSTI que cumpla con la ISO 20000 es el proceso de gestión de la seguridad. Por lo tanto, el desarrollo de un proceso de gestión de la seguridad de la información tal y como establece el ENS estaría directamente contemplado. Este hecho supone, además, que podemos articular a través de él todas las medidas de seguridad que requiere el ENS. Aunque... son realmente tales las medidas de seguridad del Anexo II?

Desde mi punto de vista, una gran cantidad de medidas de seguridad propuestas por el ENS no lo son estrictamente hablando. O dicho de otra forma (antes de que los más puristas se lleven las manos a la cabeza), son antes medidas de "gestión correcta de las TIC" que medidas de seguridad. Actividades como la gestión de la capacidad, la gestión de la configuración,  el mantenimiento de los sistemas, la gestión de cambios, la gestión de incidentes, el acondicionamiento de los locales, la formación al personal, la gestión de medios removibles u otras de similares características no son patrimonio exclusivo de la seguridad. Todas estas actividades son necesarias en cualquier organización que quiera prestar servicios TIC de calidad, independientemente de que la seguridad sea o no una preocupación expresa. Y la ISO 20000 establece un modelo general de gestión de servicios TIC mucho más completo que el propuesto por la ISO 27001. ¿No sería, por tanto, mejor opción utilizar el modelo de gestión propuesto por la ISO 20000 como referencia para el cumplimiento de los requisitos del ENS?

Por supuesto, en términos de eficiencia es fácil encontrar una objeción a este planteamiento. Dado un mismo alcance, desplegar un SGSI (Sistema de Gestión de la Seguridad de la Información) conforme con ISO 27001 es más sencillo, fácil y rápido que desplegar un SGSTI que cumpla con ISO 20000. En los tiempos que corren, la premisa general de reducción de costes vigente en todas las administraciones públicas es un argumento contundente a favor del modelo basado en ISO 27001. No obstante, también es habitual encontrar en los objetivos de muchas administraciones públicas una gran cantidad de iniciativas relacionadas con la búsqueda de la excelencia, de altas cotas de calidad en los servicios ofrecidos, etc. Si ofrecer servicios de calidad es uno de los eslóganes más repetidos, por qué no utilizar como modelo de referencia el estándar más completo? Quizás no sea tiempo de correr, y la ISO 27001 pueda ser un primer paso, pero... por qué no utilizar la sistemática de mejora continua para que la evolución cubra no sólo las propias medidas de seguridad, sino también el modelo de gestión seleccionado?

2 comentarios:

Javier Cao Avellaneda dijo...

Pues a mi me parece muy adecuada la reflexión y pertinente mirar de cerca ISO 20.000.
En los proyectos de diseño de plan de adecuación que llevo ejecutados, las grandes deficiencias que salen a la luz en el diagnóstico diferencial es sobre el marco operacional. Todo lo relacionado con la formalización de la gestión de la configuración y cambio TI se realiza sin una visión enfocada a servicio.

Joseba Enjuto dijo...

La realidad es que la mayor parte de las medidas de seguridad propuestas por el ENS son operativas, no técnicas, de modo que cualquier modelo centrado en la parte operativa puede servir como referencia para cumplir apropiadamente esas medidas de seguridad.