30 enero 2014

ENS: El día D ha llegado

El Esquema Nacional de Seguridad se publicó en el BOE el 29 de Enero de 2010, por lo que entró en vigor el 30/01/2010, tal y como establece su disposición final tercera. No obstante, en su disposición transitoria establecía que los sistemas de información existentes en ese momento tenían un plazo de 12 meses para adecuarse a sus exigencias, que podía ser ampliado hasta los 48 meses si existían circunstancias que impidiesen su plena aplicación y se dispusiera de un plan de adecuación aprobado.

Hoy es 30 de Enero de 2014, de modo que se acaban de cumplir los 48 meses del plazo máximo admitido para que las Administraciones Públicas cumplan con el ENS. ¿Cuál es la situación actual?

La mejor forma de analizar el cumplimiento del ENS es acudir al Artículo 41 del Real Decreto, que establece que los organismos públicos tienen que publicar en sus respectivas sedes electrónicas las correspondientes declaraciones de conformidad, diciendo que cumplen con todas las exigencias del ENS (y esta es una de ellas). De hecho, incluso existe una guía específica (CCN-STIC-809) que establece cuál debe ser el contenido de dicha declaración de conformidad.

Dicho esto... cuál es la situación? Pues bien, después de recurrir a la clásica búsqueda y de analizar la información de la web www.cumplimientoens.es, el resultado es:


Vaya por delante mi más sincera enhorabuena a la Diputación de Badajoz, aparentemente único organismo público de los más de 8.000 en todo el estado que ha cumplido con su obligación legal en materia de seguridad de la información, y al que todos deberíamos agradecer el habernos salvado del bochornoso 0. Ahora bien... Un 0,01% debería ser aceptable?

No quiero meter el dedo en la llaga, puesto que los datos (incluso aunque no haya sido capaz de localizar unos cuantos casos más) son bastante elocuentes. Sin embargo, sí que creo que los datos deberían servir para reflexionar acerca del motivo por el cual hemos llegado a esta situación. Y se me ocurren varias alternativas:

  • Plazo insuficiente: El punto de partida era tan malo que no ha dado tiempo a cumplir con todas las exigencias. 
  • Exigencia excesiva: Había que llegar a un nivel de seguridad tan alto que no somos capaces de alcanzarlo. 
  • Presupuesto insuficiente: Requiere tal cantidad de productos de seguridad que el presupuesto no ha sido suficiente para adquirirlos e integrarlos a tiempo. 
  • Medios propios insuficientes: Requiere tal cantidad de dedicación de personal interno para conseguir la adecuación que no se ha podido sacar el tiempo suficiente para realizar la adecuación. 
  • Concienciación insuficiente: La seguridad preocupa tan poco que no se ha sido capaz de priorizarlo lo suficiente como para conseguir los recursos necesarios para la adecuación.
A mi se me ocurren estos como los motivos principales para que un organismo público no haya concluido su adecuación al ENS. ¿Cuáles pensáis vosotros que son los más importantes? ¿Cuál ha sido vuestro caso?

13 enero 2014

Mi pronóstico: Inseguridad

No, no voy a escribir un post de pronósticos de seguridad para el año 2013. Hoy sólo quiero plantear cuál es mi visión del futuro que nos espera, aprovechando que esta mañana he leído un par de artículos muy interesantes y que, en conjunto, me temo que plantean una visión bastante pesimista del futuro que nos espera en términos de seguridad.

El primero es un post en el que Enrique Dans afirma que, nos guste o no, los avances tecnológicos van más rápido que la seguridad, y que la inseguridad asociada a esta situación no va a detener su evolución. El segundo es un post de David Maeztu en el que, pronosticando un futuro en el que nuestro coche será capaz de denunciarnos automáticamente por exceso de velocidad, plantea un panorama en el que la legislación no sólo no nos va a proteger de esa inseguridad asociada a los avances tecnológicos, sino que probablemente la acabe amparando (al menos, en términos de privacidad).

Mi pronóstico es pesimista porque, sintiéndolo mucho, comparto gran parte de las visiones anteriores. No creo que la seguridad sea una prioridad en la sociedad moderna, y por lo tanto ni tecnólogos ni legisladores creo que le vayan a dar una importancia que la sociedad no le da. La pirámide de Maslow de nuestra sociedad ha cambiado, y la seguridad/privacidad ha perdido peso. Nuestra sociedad está dispuesta a sacrificar parte de los niveles de la base a cambio de conseguir un poco más de aquello que está en la cúspide de la pirámide.

Ante este panorama no creo que se pueda hacer mucho. La respuesta de libro serían programas de formación, trabajos de concienciación, pero... Acaso sirve de algo nadar contra corriente? A veces pienso si no sería mejor dejarse llevar, y simplemente tratar de minimizar los daños. Si en la eterna lucha contra el riesgo vemos que no podemos ganar, no deberíamos cambiar nuestra estrategia y tratar de aprovecharnos de él?

Será que hoy me he levantado pesimista...