Ya os lo avanzo, el problema no es el Esquema Nacional de Seguridad.
En realidad, todos intuíamos o directamente sabíamos hace tiempo que para estar en Internet has de aplicar ciberseguridad. De la misma manera que si quieres abrir un negocio a pie de calle , y no tener que cerrar definitivamente al día siguiente, has de contar con sistemas de seguridad para tu local a la vez que lo inauguras (bueno, en realidad antes). Así que el problema de fondo no es el ENS. El problema de fondo, ya lo siento, es siempre el mismo: nosotros, las personas.
Cuanto antes lo asumamos, mejor.
Lo somos porque son personas las que están escondidos en el anonimato de Internet profesionalizando los ciberataques y somos personas los que, en general, estamos haciendo caso omiso de una realidad imparable y cierta desde el minuto uno de su existencia: Internet es un entorno tremendamente inseguro.
Además, ahora es el ENS, pero antes estaba la ISO27001, o el NIST , … (da igual las siglas, en realidad viene a ser todo básicamente lo mismo). La diferencia entre esas regulaciones es que en España el ENS es obligatorio para las Administraciones Públicas y eso está provocando, lógico por otra parte, la alineación obligatoria del sector privado con esas necesidades/requisitos. Y de paso una revolución en el sector (el ENS es requisito para presentarte a muchas ofertas públicas del sector TI). Una diferencia de calado, ciertamente, pero en esencia las «buenas prácticas» , que el ENS convierte en obligatorias, para estar en Internet de una manera segura son casi tan antiguas como la misma Internet.
Así que no es el ENS, si no más bien cómo integramos en el día a día de la empresa el ENS.
Y es ahí, en la integración en el día a día del ENS y su mantenimiento, donde empiezan los dolores y los sufrimientos.
Precisamente porque ya no hablamos solo de requisitos, sino de personas que han de cumplir con los requisitos; y hablamos de ciberseguridad, que esencia es lo mismo que hablar de seguridad, y pocas cosas hay en la vida tan transversales como la seguridad. También en el mundo de la empresa.
Así que el ENS va a aplicar a toda la estructura de la entidad y a todas las personas que la conforman. Cuanto antes lo asumamos, mejor.
Y para empezar con buen pie con el ENS, habría que pensar en qué vamos a hacer en la empresa para integrar en el día a día esa «cosa» que es el ENS (además de todo lo que ya se hace, claro) sin que rompa nada, ni genere gastos extras que no aporten valor. Bueno, pues eso, en esencia, es el Sistema de Gestión. O dicho de otra manera: cómo nos organizamos para que la «cosa» fluya cumpliendo además los criterios que nos piden. No es una definición muy técnica, la verdad, pero aparece la palabra clave, organizarse, y una palabra que representa bastante bien la integración, fluir.
Toca asumir: el ENS viene para quedarse y o nos organizamos y fluye o nos organizamos y fluye. No hay más.
Y hablo de empresa o de entidad pública, pero no he concretado el tamaño. El ENS no habla de tamaños. Ha de cumplirlo un Ministerio o un Ayuntamiento (por ejemplo Tardajos, de poco más de 700 habitantes, del que ayudamos a recertificar recientemente su sede electrónica). Y en base a nuestra experiencia tanto en entidad pública como en empresa privada (hemos ayudado a certificar servicios de empresas del IBEX , PYMES de más de 500 PC’s, también de menos y MicroPYMES) os podemos decir que es, lógicamente, es posible.
Por no darle muchas vueltas y resumir lo dicho: lo que va a permitir adaptar a tus circunstancias y organización el ENS, integrarlo y que fluya y aporte es el Sistema de Gestión.
Y lo de los Sistemas de Gestión no es nada nuevo, ya lo sabéis. Particularmente lo oigo desde hace muchísimos años. Más de los que puedo recordar. Pero si os digo la verdad, al principio siempre me daba la sensación de que eran unos términos comodín que se usaban en infinidad de veces y en infinidad de situaciones, pero siempre de una manera general y abstracta. Hasta que quise aplicarlo al ENS, allá por el 2010, cuando inicié mi andadura como Responsable de Seguridad en AST, en el Gobierno de Aragón. Sorprendentemente, nadie fue capaz de explicarme concretamente, muy concretamente, qué era o mejor cómo se creaba de la nada un Sistema de Gestión para obtener un resultado concreto, muy concreto: La certificación en el ENS, nada menos.
Y mira que pregunté, ¿eh?
Os ahorro todas las pruebas, dudas, errores, cambios, replanteamientos y años que han pasado, para deciros que hay, al menos, una manera precisa y concreta, muy concreta, de diseñar, construir y administrar, paso a paso, un Sistema de Gestión para entornos de base tecnológica (ENS, ISO27001, RGPD…). Y concreto lo de Sistema de Gestión de base tecnológica porque, y esto es una obviedad, en el ámbito de la tecnología el factor tiempo es determinante (la tecnología cambia muy rápido y los riesgos también). Y para dar respuesta a ese reto, los diagnósticos ágiles en ciberseguridad, tanto técnicos como de gestión, son una herramienta que querréis tener para tomar mejores decisiones de negocio.
Y por ahí, van los tiros. Los Sistemas de Gestión que diseñamos, construimos y mantenemos en Cibergob para que los servicios de nuestros clientes estén alineados permanentemente con el ENS están basados en metodología ágil, más concretamente en MADAC (metodología ágil de adaptación continua). Y lo cierto es que ya van siendo muchos los ejemplos que os podemos dar de que el gobierno y la gestión de la ciberseguridad, y el cumplimiento permanente del ENS como colofón, se construyen desde el Sistema de Gestión.
David López