Hoy es 30 de Enero de 2014, de modo que se acaban de cumplir los 48 meses del plazo máximo admitido para que las Administraciones Públicas cumplan con el ENS. ¿Cuál es la situación actual?
La mejor forma de analizar el cumplimiento del ENS es acudir al Artículo 41 del Real Decreto, que establece que los organismos públicos tienen que publicar en sus respectivas sedes electrónicas las correspondientes declaraciones de conformidad, diciendo que cumplen con todas las exigencias del ENS (y esta es una de ellas). De hecho, incluso existe una guía específica (CCN-STIC-809) que establece cuál debe ser el contenido de dicha declaración de conformidad.
Dicho esto... cuál es la situación? Pues bien, después de recurrir a la clásica búsqueda y de analizar la información de la web www.cumplimientoens.es, el resultado es:
- Sólo un organismo público en todo el estado, la diputación de Badajoz, cumple con las exigencias del Esquema Nacional de Seguridad.
Vaya por delante mi más sincera enhorabuena a la Diputación de Badajoz, aparentemente único organismo público de los más de 8.000 en todo el estado que ha cumplido con su obligación legal en materia de seguridad de la información, y al que todos deberíamos agradecer el habernos salvado del bochornoso 0. Ahora bien... Un 0,01% debería ser aceptable?
No quiero meter el dedo en la llaga, puesto que los datos (incluso aunque no haya sido capaz de localizar unos cuantos casos más) son bastante elocuentes. Sin embargo, sí que creo que los datos deberían servir para reflexionar acerca del motivo por el cual hemos llegado a esta situación. Y se me ocurren varias alternativas:
- Plazo insuficiente: El punto de partida era tan malo que no ha dado tiempo a cumplir con todas las exigencias.
- Exigencia excesiva: Había que llegar a un nivel de seguridad tan alto que no somos capaces de alcanzarlo.
- Presupuesto insuficiente: Requiere tal cantidad de productos de seguridad que el presupuesto no ha sido suficiente para adquirirlos e integrarlos a tiempo.
- Medios propios insuficientes: Requiere tal cantidad de dedicación de personal interno para conseguir la adecuación que no se ha podido sacar el tiempo suficiente para realizar la adecuación.
- Concienciación insuficiente: La seguridad preocupa tan poco que no se ha sido capaz de priorizarlo lo suficiente como para conseguir los recursos necesarios para la adecuación.