30 enero 2014

ENS: El día D ha llegado

El Esquema Nacional de Seguridad se publicó en el BOE el 29 de Enero de 2010, por lo que entró en vigor el 30/01/2010, tal y como establece su disposición final tercera. No obstante, en su disposición transitoria establecía que los sistemas de información existentes en ese momento tenían un plazo de 12 meses para adecuarse a sus exigencias, que podía ser ampliado hasta los 48 meses si existían circunstancias que impidiesen su plena aplicación y se dispusiera de un plan de adecuación aprobado.

Hoy es 30 de Enero de 2014, de modo que se acaban de cumplir los 48 meses del plazo máximo admitido para que las Administraciones Públicas cumplan con el ENS. ¿Cuál es la situación actual?

La mejor forma de analizar el cumplimiento del ENS es acudir al Artículo 41 del Real Decreto, que establece que los organismos públicos tienen que publicar en sus respectivas sedes electrónicas las correspondientes declaraciones de conformidad, diciendo que cumplen con todas las exigencias del ENS (y esta es una de ellas). De hecho, incluso existe una guía específica (CCN-STIC-809) que establece cuál debe ser el contenido de dicha declaración de conformidad.

Dicho esto... cuál es la situación? Pues bien, después de recurrir a la clásica búsqueda y de analizar la información de la web www.cumplimientoens.es, el resultado es:


Vaya por delante mi más sincera enhorabuena a la Diputación de Badajoz, aparentemente único organismo público de los más de 8.000 en todo el estado que ha cumplido con su obligación legal en materia de seguridad de la información, y al que todos deberíamos agradecer el habernos salvado del bochornoso 0. Ahora bien... Un 0,01% debería ser aceptable?

No quiero meter el dedo en la llaga, puesto que los datos (incluso aunque no haya sido capaz de localizar unos cuantos casos más) son bastante elocuentes. Sin embargo, sí que creo que los datos deberían servir para reflexionar acerca del motivo por el cual hemos llegado a esta situación. Y se me ocurren varias alternativas:

  • Plazo insuficiente: El punto de partida era tan malo que no ha dado tiempo a cumplir con todas las exigencias. 
  • Exigencia excesiva: Había que llegar a un nivel de seguridad tan alto que no somos capaces de alcanzarlo. 
  • Presupuesto insuficiente: Requiere tal cantidad de productos de seguridad que el presupuesto no ha sido suficiente para adquirirlos e integrarlos a tiempo. 
  • Medios propios insuficientes: Requiere tal cantidad de dedicación de personal interno para conseguir la adecuación que no se ha podido sacar el tiempo suficiente para realizar la adecuación. 
  • Concienciación insuficiente: La seguridad preocupa tan poco que no se ha sido capaz de priorizarlo lo suficiente como para conseguir los recursos necesarios para la adecuación.
A mi se me ocurren estos como los motivos principales para que un organismo público no haya concluido su adecuación al ENS. ¿Cuáles pensáis vosotros que son los más importantes? ¿Cuál ha sido vuestro caso?