JuevesISACA, de ISACA Madrid Chapter

El pasado jueves 26 de mayo, tras un largo periodo «online» debido a la pandemia, por fin, comenzaron los primeros eventos híbridos de ISACA Madrid, con asistentes online y presenciales.

En este caso consistió en el primer JuevesISACA que se celebró en las oficinas de Andersen y, al mismo tiempo, se retransmitió online a través de Zoom, con más de 225 asistentes, asociados de ISACA Madrid, ISACA Barcelona, ISACA Valencia y capítulos de varios países de Latinoamérica.

La temática fue de actualidad, pues versó sobre la actualización del Esquema Nacional de Seguridad (ENS), que recientemente ha visto la luz en el Real Decreto 311/2022 de 4 de mayo de 2022, que viene a sustituir la versión del Real Decreto 3/2010 de hace 12 años y su posterior actualización en el Real Decreto 951/2015, hace ya 7 años.

Miguel A. Amutio (Director de Planificación y Coordinación de Ciberseguridad de la Secretaría General de Administración Digital, SGAD) y Javier Candau (Jefe del Departamento de Ciberseguridad del CCN-CERT, Centro Criptológico Nacional), dos de los «padres» de esta actualización, nos explicaron los detalles de los objetivos, novedades y beneficios, en una ponencia inaugural.

Después de ella tuvo lugar un interesante debate al respecto, en una mesa redonda de expertos del sector público y privado, como María Jesús Casado Robledo (Responsable Seguridad de la Información de la Intervención General de la Administración del Estado, IGAE), Guillermo Obispo San Román (Jefe del Servicio de Coordinación de Ciberseguridad de Informática del Ayuntamiento de Madrid, IAM), Xabier Mitxelena (Managing Director, Iberia Security Lead de Accenture y Presidente de Cybasque) y Vicente Moret Millás (Of counsel de Andersen y Letrado de las Cortes Generales / Congreso de los Diputados) como moderador de la misma.

La jornada comenzó con la bienvenida y apertura del evento, así como agradecimientos a ponentes y asistentes, exposición de los objetivos y presentación de la agenda por parte de Vanesa Gil Ladero (Presidenta de ISACA Madrid).

A continuación, Vanesa presentó y dio paso a Javier Mata (Senior Partner y Director de la oficina de Madrid de Andersen) quien realizó una breve bienvenida institucional y poniendo las oficinas de Andersen a disposición de ISACA.

«En este mundo me muevo mal«, refiriéndose al tecnológico, tecnológico y de seguridad de la información, comenzó comentando Javier y argumentando que él era más un abogado de «materias clásicas«, focalizado en el derecho de crisis de empresas.

En ese mundo, nos decía, parece que siempre ha habido una cierta anarquía, desorden y falta de procesos, pero admitía haber sentido esa necesidad, esa obligación, de contar con unas normas, unas reglas, y unos procesos para dotar de seguridad a la información, como sujetos obligados.

Sin embargo, y para finalizar su intervención, Javier evidenció la necesidad de perseguir y garantizar la seguridad de la información, considerándolo como una parte de la transformación digital de primera línea que irá a más y que dentro de cinco años incluso habrá evolucionado más no teniendo mucho o nada que ver con el escenario actual.

La ponencia inicial comenzó con la intervención conjunta de Miguel A. Amutio y Javier Candau, quienes explicaron todos los pormenores de las novedades que se han incluido dentro del ENS.

En el año 2015, tras la primera actualización del Esquema Nacional de Seguridad, nos decía Miguel, se comenzó ya con la recogida de contribuciones por todos los canales posibles (formales e informales, consultas, experiencias de aplicación, auditoría y certificación de la conformidad, etc.), para la revisión del ENS y una futura actualización.

Con esa perspectiva de 7 años de escucha activa y teniendo en cuenta factores de relevancia como la aceleración de la transformación digital, una mayor e incremental dependencia de la tecnología, la interoperatividad, la hiperconectividad, etc., se realiza la actual actualización, focalizándose en el contexto de los valores compartidos y en los derechos fundamentales de la sociedad.

Miguel nos hacía una breve y rápida sinopsis de la historia del ENS (ENI), desde sus orígenes en 2010 hasta la actualidad en 2022, como un gran esfuerzo colectivo, multidisciplinar y continuado en el tiempo:

  • En el origen, en enero de 2010, en su publicación, aunque había antecedentes previos, ya se mostraba el camino: que fuese un instrumento, que se tenía que materializar en un Real Decreto (RD), que se tenía que publicar en el BOE (Boletín Oficial del Estado), que debía contar con mecanismos de proporcionalidad y herramientas (guías 800, por ejemplo).
  • Después, por el camino, llegó CORA, Magerit v3, el Reglamento General de Protección de Datos (RGPD / GDPR), el Reglamento eDAS, la Directiva NIS, la LOPDGDD, la Estrategia Nacional de Ciberseguridad de 2009, la Guía Nacional de Notificación de Ciberincidentes, Cybersecurity Act, Cybersecurity Package, el Plan de Digitalización de las Administraciones Públicas, el Reglamento del Centro Europeo de Competencias en Ciberseguridad, el Plan de Recuperación, Transformación y Resiliencia, el Plan Nacional de Ciberseguridad, etc.

El enfoque del ENS es global, lo cual proporciona seguridad jurídica dentro de un marco legal y también gobernanza, capacidades de coordinación, así como de servicios y soluciones, dentro de un modelo de Administración Digital.

Durante estos años se ha ido desarrollando el marco legal, con complementos, así como las herramientas o soluciones de seguridad (23 proporcionadas por el CCN) y guías (más de 90, Serie 800), los mecanismos de conformidad (mediante la Entidad Nacional de Acreditación) y la monitorización (8 ediciones del informe INES).

Tras esta introducción, Miguel nos explicaba los motivos por los que era ya necesaria una actualización del ENS:

  • Intensificación de ciberamenazas y ciberincidentes.
  • Progreso de la transformación digital con impacto a nivel global.
  • Avance de las tecnologías.
  • Evolución del marco legal.
  • Evolución del marco estratégico de ciberseguridad.
  • Extensión de la implantación del ENS.
  • Acumulación de experiencia aplicando el ENS.
  • Descubrimiento del estado real de la seguridad nacional.
  • Existencia de más cantidad de guías y servicios del CCN.

Por otro lado, la Estrategia Nacional de Ciberseguridad de 2019 y el Plan de Digitalización de las Administraciones Públicas de 2021, han sido dos grandes tractores de la actualización del ENS.

En cuanto a los objetivos clave de la actualización del ENS, Amutio destacaba tres:

  • La necesidad de mejora y alineamiento del ENS con el nuevo marco legal y estratégico.
  • Tener capacidad de ajustar los requisitos del ENS para una mayor eficacia y eficiencia.
  • Revisión para la adaptación a tendencias y necesidades de ciberseguridad.

Respecto al último punto, la ciberseguridad, a la perspectiva del RD 311/2022 (la actualización del ENS), da un recorrido a aspectos como los principios básicos que sirven de guía, los requisitos mínimos, el principio de proporcionalidad, el uso de productos certificados por el ENS, el uso de las infraestructuras y servicios comunes, la auditoría el informe de estado, la respuesta ante incidentes, la conformidad, la formación; destacando especialmente los perfiles de cumplimiento, las instrucciones técnicas de seguridad y las guías de seguridad.

Yendo un poco más al grano de esta actualización, Miguel nos destacaba las grandes novedades de la misma:

Clarificación del ámbito de aplicación

  • Todo el sector público y también sus proveedores.
  • Obligación de que en los pliegos de prescripciones se incluyan los requisitos de conformidad del ENS.
  • Sistemas que tratan información clasificada, que en la versión anterior estaba excluido.
  • Entidades privadas que presten servicios o provean soluciones.
  • Sistemas que traten datos personales.
  • Uso de redes 5G o prestación de servicios en ellas por parte de AAPP.

Perfiles de cumplimiento específico

  • Medidas de seguridad idóneas tras un análisis de riesgos.
  • Ajuste de requisitos ENS a determinados colectivos y ámbitos tecnológicos.

En este punto de la ponencia Javier Candau comenzó a intervenir también, de forma conjunta con Miguel, quien, antes de continuar explicando el modelo de respuesta ante incidentes volvió a hablar brevemente sobre el ámbito de aplicación.

Referente a ese ámbito de aplicación, Javier quiso comenzar destacando que:

  • El primer ENS de 2010 estaba basado en la Ley de Administración Electrónica y el ámbito era solamente sobre sistemas de Administración Electrónica a Ciudadanos.
  • En 2015 se incluye el que sea para todos los sistemas de cualquier Administración Pública.
  • En 2016, abarca ya a todo el Sector Público.
  • Y, finalmente, en 2022, una de las claves son los sistemas que procesan información clasificada y, con esto, lo que se pretende es que el ENS sea el marco de referencia de ciberseguridad en España. A día de hoy aún queda por cubrir Infraestructuras Críticas y otros sectores. Por otra parte, Justicia ya lo está aplicando de facto, finalizaba diciendo Javier.

Respuesta a incidentes de ciberseguridad

  • Las entidades públicas deben notificar al CCN-CERT sus incidentes de seguridad.
  • Las entidades privadas que prestan servicios a entidades públicas deben notificar sus incidentes al INCIBE-CERT, quien lo notificará al CCN-CERT.
  • El CCN-CERT determinará el riesgo e indicará procedimientos y salvaguardas.
  • La SGAD recomendará la reconexión cuando exista un informe de riesgo asumible del CCN-CERT.
  • Coordinación con el Ministerio del Interior a través de la OCC, ESPDEF-CERT e IGAE.

Además, se ha incluido el principio básico de la vigilancia continua y se ha sustituido el requisito de seguridad por defecto, por el de mínimo privilegio, aunque parezca que esté en contradicción con la RGPD / GDPR.

Medidas de seguridad

Respecto a las medidas de seguridad, éstas se han reforzado, pasando de 31 a 33 en el marco operacional (monitorización del servicio y continuidad) y, en el caso de las medidas de protección, éstas se han aligerado pasando de 40 a 36.

  • 9 de las medidas ya existentes aumentan considerablemente su nivel de exigencia.
  • 11 de las medidas aumentan ligeramente su nivel de exigencia.
  • Aparecen 6 medidas nuevas.
  • Se eliminan 9 medidas existentes.
  • Se simplifican 6 de las medidas ya existentes previamente.

Al final, se trata de una nueva versión del ENS con menos medidas pero más exigente, decía Javier.

Codificación de requisitos y refuerzos

Contando ya con los requisitos base, se han incluido los refuerzos, dotando así al esquema de una mayor flexibilidad, facilitando proporcionadamente la seguridad, su implantación y su auditoría.

Para finalizar con la exposición, Miguel trasladaba que el resultado de esta actualización del ENS había consistido en un esfuerzo y colaboración conjunta y continuada de las Administraciones Públicas y del sector privado.

Desde esa perspectiva de un trabajo realizado, Miguel nos proponía ser partícipes y agentes de la ciberseguridad para llevarla a la práctica. En especial, para el sector público, la colaboración con el ENS debe de ser plena, tanto como prestadores de servicios como proveedores de soluciones.

En última instancia, Miguel y Javier nos presentaron y mostraron el portal web del ENS, https://ens.ccn.cni.es/es.

Tras la resolución por parte de Javier y Miguel de varias preguntas de la audiencia, Vanesa les agradeció su intervención y dio paso a la mesa redonda, que fue moderada por Vicente Moret Millás (Of counsel de Andersen y Letrado de las Cortes Generales / Congreso de los Diputados), con los siguientes contertulios:

La primera pregunta que Vicente lanzó a sus compañeros de mesa fue ¿Cuáles serían las tres o cuatro novedades de la actualización del ENS desde vuestro punto de vista?

Comenzó respondiendo Maria Jesús que, aun siendo muchas, destacó las siguientes, desde su perspectiva de Administración Pública:

  • La inclusión de los requisitos de certificación en los pliegos de las cláusulas administrativas y de prescripciones técnicas.
  • Basado en el Art. 33, la capacidad de respuesta ante incidentes, donde la IGAE tiene que participar en el proceso de autorización de reconexión de sistemas puesto que la Intervención General tiene oficinas en todos los ministerios, lo que supone un incremento notable de comunicación y coordinación entre la entidad afectada, el CCN, la SGAD y la Intervención General.
  • Los componentes certificados, en relación a contar con la referencia al catálogo de productos y servicios de seguridad de las tecnologías de la información y las telecomunicaciones.

Desde su punto de vista, Guillermo destacó la inclusión de la vigilancia continua porque las vivencias, la situación actual y el conflicto de Rusia y Ucrania, entre otras cosas, lo hacen muy necesario. Además, la inclusión de medidas extra de monitorización y de explotación de sistemas, fue otro de los dos puntos que reseñó.

Xabier comenzaba respondiendo, «desde una perspectiva crítica y desde la parte privada«, exponiendo las ventajas y desventajas desde su punto de vista.

«Esta versión ENS v2.0 es una evolución obligada del ENS debido a la situación digital cada vez más compleja en la que vivimos y cómo evoluciona que, aunque recoge el espíritu de las recomendaciones, prácticas y medidas de las que ya hablábamos de hace diez años, ahora las hace exigibles, lo cual es bueno«.

Desde su punto de vista comentaba la necesidad de alineamiento de la Administración Pública, el sector privado y la cadena de suministro en donde, además, existirán servicios asociados entre el sector público y el privado. «Es decir, lo que demandábamos desde el sector privado, ahora también se traslada al sector público que ha cogido su bastón de mando para trabajar conjuntamente en aras de tener un sistema que preste servicios adecuados, cumpliendo con el compromiso social y económico«, decía Xabier.

Destacando novedades interesantes, identificaba el espíritu de simplificación de las medidas, aunque decía no tenerlo tan claro puesto que la seguridad es cada vez más compleja. Por ese motivo y por otros decía que necesitamos tener paciencia y que «para las empresas del sector privado es una oportunidad ser competitivas«.

«Los pliegos deben definir los requisitos básicos de las empresas que tenemos que competir, aunque mi duda es el nivel de capacidad de evaluar de verdad el grado de cumplimiento en los diferentes entornos, tanto grandes como pequeños, donde debe entrar el concepto de las certificaciones«.

En definitiva, dejando tres puntos a modo de resumen, Xabier Mitxelena finalizaba respondiendo que:

  • La colaboración, que es parte del espíritu del ENS, es clave, y no la imposición.
  • La vigilancia de las redes es más que necesaria.
  • La visión general es positiva: espíritu de simplificación y perfiles de cumplimiento.

Por su parte, Javier Candau destacaba el tema de la certificación y el cómo éste ha calado tanto en las empresas privadas hasta el punto de que «si se miran los sistemas certificados, los de las empresas privadas multiplican por cuatro a las del sector público (80 certificaciones en el sector público y en torno a 300 en el sector privado)«.

En lo que se refiere a lo aprendido por el camino, Javier tenía muy claro que no se les puede aplicar lo mismo a todas las entidades u organizamos y, por ese motivo, es necesario prestarles ayuda y liberarles de complejidades y carga. Debido a ello, el buque insignia es la Red Nacional de SOCs, como ejemplo máximo de colaboración en beneficio de un bien común que es el éxito empresarial.

Respecto a la acumulación de normas en los últimos tiempos (el año pasado la norma del RD 43/2021, ahora el ENS), ¿cómo veis la conexión entre las dos normas, porque tienen ámbitos aparentemente separados pero, en determinados casos, son comunes?, preguntaba Vicente.

Miguel respondía que existe una conexión porque el RD 43/2021 se remite al ENS para las medidas a aplicar. Además, según se establece en el Art. 33 de la respuesta a incidentes de seguridad, se tiene en cuenta todo el panorama de actores regulados en el RD 12/2018 y en el RD 43/2021 en cuanto a quién sufre incidentes, actores en juego y sus relaciones.

A esta respuesta Javier apuntaba también que el ENS aporta una serie de medidas técnicas a aplicar, complejas o no, pero alineadas con la ISO 27001 y la ISO 27002. Sin embargo el RD 43/2021, como desarrollo del RD 12/2018, que es la trasposición de la Directiva NIS, llegan desde la Unión Europea a muy alto nivel pero sin aterrizar conceptos como el de las medidas de seguridad. Desde la Unión Europea de habla de medidas pero no se concreta qué medidas. La diferencia en España es que tenemos identificadas exactamente ese conjunto de medidas específicas y además tenemos los instrumentos de certificación, siendo esto algo con lo que no cuenta ningún país de la Unión Europea.

Xabier respondía que NIS afecta directamente a las empresas de servicios esenciales y a determinadas plataformas tecnológicas, siendo una gran oportunidad de tener simbiosis. Ahora llega NIS2, que parece que está a punto de aprobación, la cual es una evolución de NIS donde alguno de los elementos del ENS 2.0 vienen de NIS2, o tienen la misma filosofía.

«Lo que tenemos que buscar es la simplificación porque no existe un framework que simplifique el cumplimiento de cualquier tipo de regulación en el ámbito de la ciberseguridad. Este es un esfuerzo que debemos hacer incluso a nivel de país y en Europa, el ENS es una referencia«, finalizaba diciendo Xabier.

¿Cuál es el motivo para fragmentar tanto las responsabilidades (Responsable de la Información, Responsable del Servicio, Responsable de la Seguridad y Responsable del sistema?, preguntaba Vicente.

«Esta fragmentación de responsabilidades no es una novedad y viene desde los trabajos previos de la primas versión del ENS«, comenzó respondiendo Amutio.

El Responsable de la Información es un perfil que corresponde a un alto cargo, de negocio, que especifica los requisitos funcionales a alto nivel. Su figura puede coincidir con la del Responsable de los Servicios.

El Responsable de Seguridad concreta las medidas necesarias para cumplir lo que define y establece el Responsable de la Información y el Responsable del Servicio.

El Responsable del Sistema implementa operativamente las necesidades de seguridad y monitoriza las medidas adoptadas.

«Y, todos estos perfiles se basan en el Principio de Segregación de Funciones, lo cual se mantiene en esta nueva edición del ENS, donde hemos querido diferenciarlo, recalcando estas figuras y sus diferencias«, contestaba Miguel.

«Todo está regulado mediante reales decretos, por lo que no hay problemas en la identificación de perfiles, roles y competencias. Lo importante desde su punto de vista es no generar estructuras paralelas, sino aplicar el modelo  a la estructura existente «, decía Maria Jesús.

Un paso importante del ENS es el Artículo 11 donde se diferencian claramente las responsabilidades de la seguridad de la información y de la explotación, lo cual se clarifica en el nuevo ENS, reflejando la realidad y solucionando confusiones y solapamientos.

Guillermo opinaba que, aun estando claro en el nuevo ENS, en las organizaciones pequeñas o equipos de trabajo pequeños es difícil encontrar personas que cumplan con todos los roles necesarios, del mismo modo que lo es determinar y asignar dichos roles.

Guillermo traía a la mesa la frase de Javier Mata en su bienvenida, «soy víctima de los procedimientos de seguridad«, para apuntar que es lo que piensa la mayoría de la gente y que se debe a que los equipos de ciberseguridad no han transmitido bien ese aspecto.

«El concepto de transformación digital ya nos suena a anticuado y muy usado, porque tomamos las tecnologías de la información como una herramienta para el negocio cuando, en realidad, las tecnologías de la información ya son el negocio. Con la ciberseguridad ocurre igual, pues es parte del negocio«.

El ENS tendrá que hacer algo para facilitar el cumplimiento y la certificación en entornos y organizamos pequeñas y, en ese caso la opinión de Guillermo era que quizá los perfiles de seguridad vengan a ayudar a ello.

Por otra parte, existe la posibilidad de externalización de estos roles, lo cual en muchas ocasiones es necesario, pero produce situaciones que escapan del objetivo y del guión marcado por el esquema, finalizaba respondiendo Guillermo.

Xabier comenzaba respondiendo rotundamente: «Habéis hablado de cuatro perfiles y a mí me sobran dos«. En el sector privado esos cuatro roles se confunden y existe un solape entre ellos, generando responsabilidades compartidas, pues no es un modelo simplificado.

Para el cumplimiento de NIS y NIS2, en toda la cadena de cosas a hacer y de tantas cosas por cumplir, si con cada servicio tenemos que identificar varios responsables, lo haremos mucho más complejo, traduciéndose costes mucho mayores y servicios por tanto mucho más caros.

«Habría que valorar y plantearse el cómo simplificarlo y haciendo algo más sencillo, sin eludir ninguna responsabilidad«, finalizaba comentando Xabier.

El objetivo era centrarnos en la ciberseguridad, sin tratar de reorganizar las tecnologías de la información de un organismo o empresa, decía Candau. Por ese motivo, y por la «demanda expresa y los inputs de las empresas, referentes a la necesidad de empoderar al CISO«, en el RD 43/2021 se habla del «CISO como el equivalente del Responsable de Seguridad en el ENS«.

La necesidad era una seguridad vinculada a las necesidades de negocio y por eso se pone en relevancia la figura del CISO y la del Responsable de Seguridad, para que dejen de ser transparentes y tomen mayor importancia, una importancia clave.

Con todo ello, y mucho (pero mucho, mucho) más… así fue este JuevesISACA26M de ISACA Madrid, y así se lo hemos contado.

Dado que este artículo es solo un mero resumen y que el webinar fue mucho más amplio, muy denso e intenso, puedes verlo al completo aquí, siempre que seas asociado de ISACA:

Autor: Iñigo Ladrón Morales, Asociado, y Creador de contenidos de ISACA Madrid.

¿Encontraste este artículo interesante? Sigue a DDR en Twitter, LinkedIn, Tiktok y Facebook o suscríbete a nuestra newsletter.