La Organización que hemos acompañado a la certificación en el ENS con MADAC que analizamos hoy es una Entidad Pública que da servicios tecnológicos a otras entidades públicas de su misma Comunidad Autónoma. De la CCAA más poblada de España, por daros alguna pista. Para apreciar mejor el tamaño de la organización os diremos que tiene unos 250 PCs.
El arquetipo es el de una entidad que busca cumplir la Ley, es decir el ENS. Aunque el objetivo no es únicamente cumplir el ENS, sino abordar la certificación de ENS ALTO teniendo la vista puesta en que parte de los servicios prestados a terceros, también de la CCAA, están muy vinculados con el uso de datos de carácter personal, dado que también son Encargados de Tratamiento (RGPD).
El servicio prestado por la entidad es complejo y extenso tecnológicamente hablando y toda la responsabilidad recae sobre ella porque todo el hardware se administra y está ubicado dentro de la entidad. Además, la Organización de la ciberseguridad es también compleja porque está muy poblada y hay cargos políticos. No sé si me explico.
Además del cumplimiento del ENS, se busca tener mayor control sobre los Sistemas propiamente dichos y está relacionado con estrechar la relación de confianza con el proveedor que administra los sistemas. Ah! El sistema está gestionado por una empresa externa que está también certificada en el ENS para ese servicio y en nivel ALTO (este es un punto clave porque facilita mucho las tareas posteriores y garantiza la alineación de los trabajos técnicos con el ENS).
La integración
La hoja de ruta del proyecto la diseñamos para cuatro iteraciones (que se llevaron a cabo en menos de ocho meses con el verano de por medio) con las que desarrollar y completar el Sistema de Gestión y desplegar e integrar el ENS con MADAC. Cada iteración se llevó a cabo con su consiguiente Comité (par iteración-comité) para asentar los trabajos realizados y abordar la siguiente iteración.
La planificación inicial de la Lista de Tareas Técnicas y del Programa de Seguridad dio tiempo a los técnicos para desarrollar su parte (facilitada por el cumplimiento de nivel ALTO de su servicio. Es decir, terreno conocido para ellos). La Auditoría de certificación fue con una entidad muy muy reconocida y las pocas NC que hubo (que siempre las hay porque así debe ser) se solventaron sin mayor dificultad.
Los puntos clave de este proyecto
El primero. Hacer una correcta selección del ALCANCE. Fue fundamental. Un alcance acotado, pero adecuado, con fundamento de cara al exterior, conteniendo plataformas clave que dieran solidez y confianza de cara a los servicios prestados, y hacia adentro, para obtener un mayor control sobre las actividades del Sistema. Un alcance que sirva, además, como base para incluir futuros servicios a la certificación.
El segundo. DINAMIZAR la Organización de la Seguridad. Sin trastocar la actual Organización, que ya estaba oficializada, buscamos y acordamos la manera de favorecer y maximizar la dinámica del Motor del Gestión que íbamos a construir con MADAC y que debía consolidar el Sistema de Gestión que a su vez debía traccionar la integración del ENS.
El Tercero. También fundamental. La CONFIANZA plena de la dirección de proyecto por parte de la Entidad en una manera nueva de gestionar proyectos de ámbito tecnológico (es decir MADAC) con, en este caso, el objetivo del cumplimiento. Dejar que te guíen siempre tiene un plus de confianza que facilitó enormemente todo el trabajo posterior.
Equipo CIBERGOB