viernes, 30 de marzo de 2012

Guías CCN-STIC serie 800: ENS

Hace más de dos años que se hizo público el Real Decreto 3/2010 por el que se regula la aplicación del Esquema Nacional de Seguridad en el ámbito de la administración pública. Como toda gran norma que mezcla aspectos normativos con aspectos técnicos llevar a buen puerto un proyecto de este tipo puede ser complejo si no se domina los dos campos. Dentro de estos dos años he tenido mucho acercamiento a esta nueva normativa. Desde escribir un libro sobre el tema junto a dos grandes profesionales: Chema Alonso y Julián Blázquez, a, como no, conducir y ser parte de algunas implementaciones de proyectos de adecuación de ENS en organizaciones.

Evidentemente escribir el libro me sirvió mucho para entender los objetivos, consecuencias y retos a los que me enfrentaba cuando iniciaba los primeros proyectos de implementación de ENS. Sin embargo a veces toda esa preparación no siempre resulta suficiente. Una gran norma como esta tiene mucho alcance y a veces de inicio no eres capaz de atisbar la cantidad de elementos que pueden quedar afectados en una organización. Cuando iniciaba los primeros proyectos había muy poco relacionado con el tema y en ocasiones había que interpretar.

Sin embargo encontré una buena referencia en el trabajo hecho por el Centro Criptológico Nacional a través de las guías CCN-STIC de la serie 800. Todo lo confuso que a veces puede llegar a ser la normativa, puede quedar clarificada en algunas de las guías desarrolladas (algunas aún en modo borrador). Tratando cuestiones técnicas concretas no dejan lugar a dudas sobre muchos aspectos a considerar. También clarifican aspectos no tan técnicos que el Real Decreto considero que deja en el aire, como por ejemplo la correspondiente a la valoración de los sistemas.

No obstante no nos engañemos, son buenas pero no la solución a todos los problemas. Será parte fundamental del consultor o el analista interpretar cada situación en función de los requerimientos. A veces por intuición y otras veces por experiencia la guía le será de una buena referencia técnica. Sin embargo como es lógico la guía no te dirá que producto es el adecuado en cada situación o qué tipo de aplicaciones no pueden implementarse por no cumplir los mínimos de seguridad exigidos. Te puede indicar que algoritmos no pueden ser implementados pero deberá ser el consultor el que sepa si las implementaciones que usa una organización los implementa y debería dejar de hacerlo.

También es esencial la mejor adaptación e incluso en los momentos económicos en los que nos encontramos poder dar una respuesta adecuada con la norma y que no suponga un sobre esfuerzo en todos los sentidos al organismo. Actualmente es importantísimo dar una respuesta eficiente con los medios adecuados y esto considero que es el verdadero malabarismo que hacemos para el cumplimiento del ENS.
Aunque la orientación de las guías es la implementación del Esquema Nacional de Seguridad, las mismas suponen una buena referencia a todas aquellas organizaciones que aun no siendo Administración Pública, tienen una preocupación por la seguridad. Si vas a implementar ENS o te interesa el tema échale un vistazo a las guías de seguridad.

Sirva también mi agradecimiento en este post al equipo del Centro Criptológico Nacional que ha desarrollado las guías. Una parte de la experiencia que aplico en los proyectos de ENS provienen de vuestro buen hacer.

No hay comentarios: