Las certificaciones de Seguridad de la Información conforme a la Norma ISO/IEC 27001 y según el Esquema Nacional de Seguridad (ENS) constituyen dos eficaces herramientas para establecer confianza entre la administración electrónica y los ciudadanos.

La certificación según la Norma ISO/IEC 27001 de sistemas de gestión de seguridad de la información ya se considera como una commodity para las organizaciones. Esta certificación implanta la Ciberseguridad/Seguridad orientada a los procesos y objetivos del negocio. Se basa en el análisis de Riesgos de TIC considerando la confidencialidad, integridad y disponibilidad de los sistemas de información, aplicando los controles de las ISO/IEC 27002 y fundamentándose en la mejora continua.

Este certificado acredita que las organizaciones han implantado controles adecuados en base al análisis de riesgos de sus procesos y servicios, para asegurar la confidencialidad, integridad y disponibilidad de sus sistemas de información. Así, ayuda a las organizaciones conocer sus riesgos, identificando amenazas para la actividad empresarial, y reducirlos eficazmente.

Asimismo, ayuda a cumplir con las distintas legislaciones de protección de datos de carácter personal (como el actual Reglamento General de Protección de Datos-RGPD), servicios de la sociedad de la información y comercio electrónico, propiedad intelectual y toda aquella relacionada con la seguridad de la información. Por último, transmite confianza ante terceros.

España se encuentra entre los diez primeros países del mundo por número de certificados de Seguridad de la Información, con más de 800 reconocimientos, según el último informe de ISO. AENOR, la entidad de certificación de referencia en nuestro país, ha contribuido notablemente a estas destacadas posiciones.

Por otra parte, existe el Real Decreto 3/2010 -Esquema Nacional de Seguridad (ENS) que establece los principios básicos y requisitos mínimos de seguridad de los sistemas de información de las Administraciones Públicas con el objetivo de generar confianza en dichos sistemas. Es aplicable a los sistemas de información de las AAPP (desde la Administración General del Estado, Comunidades Autónomas y Entidades Locales) así como para los proveedores o empresas que prestan servicios y soluciones TIC a las AA. PP.

Para ello, el ENS establece la obligatoriedad de realizar una auditoría de certificación de la conformidad por una entidad de certificación acreditada por ENAC en todos los sistemas de información de categoría Media y Alta; es decir, aquellos sobre los que un posible incidente de seguridad tuviera un impacto que afectara a la Seguridad de la Información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad. En el caso de los sistemas de categoría Básica la certificación no es obligatoria, pero sí recomendable.

La certificación de conformidad con el RD 3/2010 – ENS que concede AENOR acredita que las organizaciones cumplen con este Esquema. Actualmente existen más 50 certificaciones de conformidad con el ENS por AENOR.

AENOR fue la primera entidad acreditada por ENAC para certificar de conformidad el ENS en 2017. Esta se suma a la acreditación conforme a la Norma UNE ISO/IEC 27001 del Sistema de Gestión de Seguridad de la Información con la que la entidad cuenta desde el año 2008.

La certificación según el ENS y UNE ISO/IEC 27001 se puede realizar de forma conjunta o separada, ya que comparten muchos elementos en común. De hecho, el certificado de ISO 27001 ayuda a cumplir gran parte de los requisitos del ENS.

 

Boris Delgado

Gerente TIC de AENOR

 

Artículo incluido en el especial sobre Administración Pública digital del número de marzo de la revista Agenda de la Empresa