ENS: Esquema Nacional de Seguridad

Tamaño: px

Comenzar la demostración a partir de la página:

Download "ENS: Esquema Nacional de Seguridad"

Agustín Blanco Benítez
hace 8 años
Vistas:

1 ENS: Esquema Nacional de Seguridad Notas sobre la presentación de Nacho Alamillo Introducción La Ley administrativa es diferente de la mercantil: no tiene sanción económica, pero cualquier daño que se haga a los derechos de un ciudadano ha de ser indemnizable, sin importar que cumplamos la Ley (p.e: si hay un robo de datos aunque cumplamos toda la Ley). ENS únicamente afecta a la Administración Pública (no a las sociedades mercantiles, aunque sean de la Administración). Las empresas sólo han de cumplir la LOPD, la cual les sirve de protección si hay un daño a los datos, pero cumplen la Ley. Básicamente se preocupa por la confidencialidad de la información. La ISO es voluntaria, por ello se ha creado el ENS, para dar a la seguridad un aspecto reglamentario (y no voluntario como es el caso de la ISO). El ENS únicamente afecta a lo que llamamos expedientes de la Administración. Pero, en realidad, si no queremos causar indefensión al ciudadano o causarle algún perjuicio, hay que proteger todos sus datos de carácter personal. Tanto la Ley de Administración Electrónica como el ENS son demasiado laxos en sus requisitos mínimos. Si únicamente cumplimos la Ley en su nivel más bajo, los datos de los ciudadanos no están seguros: Inseguridad documental Indefensión del ciudadano Habremos de adoptar una serie de buenas prácticas que nos conduzcan a la inclusión de medidas complementarias. La Ley en el nivel más básico nos permite cosas como: Firmar con sistemas manifiestamente inseguros y no verificables. Uso de sello de fecha y hora voluntario. Posibilidad de que la propia Administración invalide una copia auténtica que previamente habíamos generado para el ciudadano. No implantar controles de borrado y destrucción de documentos. No tener que bloquear el puesto de trabajo al ausentarnos. No obligatoriedad de guardar copias de seguridad Documentos con fecha inverificable El mero cumplimiento de la Ley no implica ninguna garantía efectiva. Página 1

ENS únicamente afecta a la Administración Pública (no a las sociedades mercantiles, aunque sean de la Administración).

2 Ley de administración electrónica 11/2007 Requisitos de seguridad documental Las notificaciones de la Administración al ciudadano son actividad o procedimiento administrativo. Pedir hora en el ambulatorio es un servicio, no procedimiento administrativo. La Ley no afecta a los servicios. La recaudación de impuestos o la cotización no es actividad administrativa, es actividad gestora (por tanto queda fuera del alcance del ENS). La conservación de los datos es clave: según esta Ley, el ciudadano ya no tiene por qué guardar copia de sus datos y las puede pedir en cualquier momento. Si no lo cumplimos nos enfrentamos a una sanción económica en este caso. El ciudadano puede requerir esa información para un litigio con alguna administración pública o alguna entidad privada, por ejemplo. MUY importante la conservación segura y la integridad del documento electrónico. No hay ningún artículo que exonere a la Administración si cumple la Ley pero pasa algún incidente de seguridad. La LOPD está en contraposición a la Ley 11/2007, la cual pide publicar muchos datos. Siempre la LOPD está por encima de la 11/2007. En la administración electrónica, el consentimiento del ciudadano ha de ser explícito. No podemos sobreentender que al solicitar un trámite nos está dando su consentimiento para acceder a sus datos en otras administraciones. Únicamente es posible si existe una Ley que permita la cesión sin consentimiento (como es el caso de la recaudación de impuestos. Por ello es IMPORTANTE guardar el expediente en el que el ciudadano nos ha dado consentimiento expreso para acceder a sus datos. Esquema Nacional de Seguridad Según la Ley 29/2010, las Universidades también están sujetas a la Ley de Administración Electrónica. No regula el voto electrónico. No regula el correo electrónico. Si se lleva a cabo una actividad NO administrativa, esta queda excluida de la Ley. Las nóminas NO son procedimiento administrativo: los contratos con los empleados son privados, no administrativos. La selección de personal SI es procedimiento administrativo. Página 2

La recaudación de impuestos o la cotización no es actividad administrativa, es actividad gestora (por tanto queda fuera del alcance del ENS).

3 Los sistemas que están afectados por el ENS, lo están aunque no estén conectados con otros sistemas o no estén conectados a la red. Los sistemas nuevos han de cumplir el ENS desde su concepción. No tiene por qué ser la misma persona el responsable de seguridad del ENS y el de la LOPD. Política de seguridad Los entes pequeños (p.e. municipios) se pueden adherir a una política de seguridad común elaborada por un ente o órgano superior al que pertenezcan (p.e. cabildos, consejos insulares, diputaciones, provincias, ). Un ayuntamiento podría no tener política de seguridad propia y únicamente adherirse a la de la Diputación (en el caso de Cataluña). Análisis de riesgos Se recomienda que se realice un Análisis de riesgos documental. El expediente es el activo fundamental 1er paso: categorizar el sistema según un análisis muy sencillo de impacto. 2o paso: según la categoría que hayamos obtenido se hace un análisis de riesgos de ese sistema más o menos formal. 3er paso: El análisis de riesgos nos sirve para saber cómo y dónde aplicar las medidas de seguridad (y para poner controles adicionales si es el caso). Se hace cuando se construye la declaración de aplicabilidad. Hemos de subir el nivel en materia de seguridad documental. Reevaluación periódica: auditoria cada 2 años (interna o externa). Ha de ser un análisis de riesgos cuantitativo. Categorización La categorización del ENS lleva a clasificar de nivel BAJO los documentos administrativos, al regirse por criterios de impacto: si la Ley tiene carácter subsanable, entonces es de nivel BAJO (y las medidas mínimas pueden resultar insuficientes). Normalmente no hay sistemas de nivel alto. Si los hay es sólo en un aspecto limitado y no se tratan como de nivel alto. El nivel alto para el ENS es algo MUY grave: que pueda generar disturbios o grandes manifestaciones ciudadanas. Para que sea de nivel alto el tratamiento de un proceso administrativo, ha de haber una Ley que diga que la falta de expediente es delito. Página 3

e. cabildos, consejos insulares, diputaciones, provincias, ). Un ayuntamiento podría no tener política de seguridad propia y únicamente adherirse a la de la Diputación (en el caso de Cataluña).

4 Registro de actividad obligatorio para el nivel ALTO Los niveles del ENS y la LOPD no tienen por qué coincidir. Todos los expedientes administrativos con datos de carácter personal son, como mínimo, de nivel MEDIO. Los sistemas de notificación y publicación, por respeto a los derechos de los ciudadanos han de ser considerados de niveles superiores, pero de cara al ENS, depende de la notificación en sí. Casos prácticos de categorización de sistemas Una sede electrónica NO es un órgano administrativo (es el equivalente a una nueva oficina). El registro electrónico SI es un órgano administrativo. El hecho de que no funcione puede acusar indefensión al ciudadano. Criterios legales de categorización Nivel BAJO: Perjuicio limitado El incumplimiento formal de alguna ley o regulación, que tenga carácter de reparable Esto supone que todas las notificaciones son de nivel BAJO (siempre tienen carácter reparable). Si causamos una molestia pero no un perjuicio serio nivel BAJO. Si el no funcionamiento de un sistema no afecta ni tan sólo como perjuicio limitado, entonces no es del alcance del ENS. Nivel MEDIO: Perjuicio grave El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de reparable. No existe ningún incumplimiento formal que no sea reparable. El incumplimiento material no siempre es reparable (por ejemplo un incumplimiento de la LOPD no es reparable). Nivel ALTO: Perjuicio muy grave El incumplimiento grave de alguna ley o regulación. Que pueda causar un perjuicio grave a algún individuo, de reparación difícil o imposible Estos dos puntos son difíciles de valorar. Como prácticamente TODO es reparable por parte de la Administración, casi todo es de nivel BAJO: Grave pérdida de derechos para el ciudadano. Vale la pena hacer un análisis de riesgos (mejor si es específico para el análisis de riesgos de repositorios documentales) y ampliar las medidas del ENS. Página 4

Los sistemas de notificación y publicación, por respeto a los derechos de los ciudadanos han de ser considerados de niveles superiores, pero de cara al ENS, depende de la notificación en sí.

5 Lo que se está haciendo por parte de muchas entidades: Comenzar categorizando todo de nivel BAJO e ir afinando los niveles durante el Análisis de Riesgos. Tratar casi todo como nivel MEDIO y las cosas visiblemente poco importantes se tratan como nivel BAJO. Todo lo relacionado con la LOPD es directamente de nivel MEDIO (mínimo). Si el borrado de documentos (que deberían continuar custodiados) implicase que el ciudadano ya no los podría hacer servir frente a terceros, entonces ese sistema es de nivel MEDIO. El nivel ALTO de la LOPD implica: Trazabilidad de nivel MEDIO Confidencialidad de nivel ALTO En el nivel ALTO tenemos mucha trazabilidad, disponibilidad y cifrado. Esto afecta normalmente a la documentación (no clasificada como SECRETA) de los Órganos de Gobierno o de las Fuerzas de Seguridad del Estado. Por ejemplo la documentación que gestiona el Consejo de Gobierno de la Generalitat de Cataluña. Plan de adecuación Podemos disgregar la información en instancias diferentes (según su categorización) y aplicar diferentes medidas de seguridad a cada una. De igual forma podemos englobar todos los servicios de nivel alto en un único servicio para no afectar al nivel del resto de servicios. Si un tercero no está gestionando la información, es este tercero quien se ha de encargar de la categorización. Al categorizar, empezamos por los activos de tipo información valorando: Confidencialidad Integridad Autenticidad Trazabilidad Si es relevante, la Disponibilidad, que suele corresponder más al nivel de servicio. Al categorizar, seguimos con los activos de tipo servicio valorando: Disponibilidad (fuerte componente de disponibilidad) Autenticidad Trazabilidad La Confidencialidad y la Integridad se heredan de la información que trata el servicio y que ya hemos valorado en el punto anterior. Necesidad de disponer de profesionales híbridos: perfil jurídico y TIC. Página 5

Si el borrado de documentos (que deberían continuar custodiados) implicase que el ciudadano ya no los podría hacer servir frente a terceros, entonces ese sistema es de nivel MEDIO.

6 Página 6

Documentos relacionados

Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía

Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316 Guía 12 Obligaciones del responsable de seguridad exigibles por la LOPD Cesión de datos Es cesión o comunicación