Esquema Nacional de Seguridad, ¡cuenta atrás para el 5 de mayo!
Estamos llegando al 5 mayo de 2024, fecha marcada en el calendario para muchas organizaciones certificadas en Esquema Nacional de Seguridad (ENS), en la que termina la vigencia de los actuales certificados.
Vencimiento de certificados ENS
Sin duda las agendas de entidades certificadoras, empresas consultoras y auditoras especializadas en Gobierno, Riesgo y Cumplimiento (GRC), así como de las propias entidades certificadas, echan humo desde hace semanas para cumplir este plazo de transición de 2 años, establecido desde la entrada en vigor del Real Decreto 311/2022, normativa que regula el vigente Esquema Nacional de Seguridad.
Ampliación de vigencia de certificados
Con el objetivo de facilitar este proceso de transición, el Centro Criptológico Nacional (CCN) ha establecido la posibilidad de solicitar una ampliación de la vigencia de los actuales certificados, hasta el 5 de noviembre de 2024. El trámite se podrá realizar por parte de las entidades certificadas, a través del portal de Gobernanza del CCN, si bien es necesario considerar que la ampliación estará sujeta a un proceso de aprobación. Sin duda esta prórroga, supone un ligero respiro para empresas, entidades públicas y certificadoras, máxime considerando el contexto en el que se está desarrollando este proceso de transición normativa, debido a distintos condicionantes:
- Por un lado, las entidades certificadas en muchos casos están teniendo que compatibilizar proyectos de adecuación de sus sistemas de información y gestión al nuevo Esquema Nacional de Seguridad, de forma compartida con otros marcos normativos en materia de seguridad, como el Reglamento DORA (Digital Operational Resilience Act) o el estándar normativo ISO 27001, cuya nueva versión publicada en 2022 establece un período de transición que finaliza en octubre de 2025.
- En el caso de empresas certificadoras, se constata en el momento de planificar las fechas de auditorías como les está constando absorber la natural demanda por parte de las organizaciones para renovar sus certificados antes del 5 de mayo. Esto unido a las solicitudes de muchas entidades que se quieren certificar por primera vez, motivadas en la mayor parte de los casos por la exigencia creciente de AAPP de toda índole de contar con proveedores certificados o como estrategia preventiva ante las últimas noticias sobre ataques informáticos sufridos por diversas empresas en los últimos meses.
Balance sobre el nivel de adecuación y certificación al ENS
En este momento de cuenta atrás, nos preguntamos: ¿Se han cumplido los objetivos establecidos en el Esquema Nacional de Seguridad? ¿Qué stoppers se están encontrando las entidades para abordar los proyectos de adecuación en plazo? ¿Qué balance general podemos hacer respecto al grado de adecuación y cumplimiento del referido Real Decreto?
En primer lugar, si analizamos el total de empresas y entidades públicas certificadas, concluimos que el sector público va un paso por detrás en materia de adecuación y cumplimiento del Esquema Nacional de Seguridad respecto a las entidades privadas, con cifras que hablan por sí solas:
- Entre las empresas / entidades públicas certificadas, más del 70% son empresas privadas, el 50% auditadas ya conforme al Real Decreto (RD) 311/2022, ratio que cae al 20% en el caso del sector público.
- Al respecto de la petición y concesión de prórrogas de certificados, a fecha de 18 de marzo de 2024, observamos como las ratios son más parejos, con porcentajes inferiores al 10% en el caso de empresas privadas y cercanos al 20% en el caso de entidades del sector público.
- Si realizamos una comparativa por categorías de los certificados, menos del 5% de las entidades públicas están certificadas en categoría alta, ratio que asciende al 35% en el caso de entidades privadas.
- El escaso nivel de cumplimiento y certificaciones de ENS dentro del sector público se hace aún más visible si aterrizamos el análisis por tipo de entidad, con algunos datos bastante concluyentes como los que reflejan que menos de un centenar de ayuntamientos están certificados (en España tenemos algo más de 8000 entidades locales) y entre el total de Hospitales y Universidades Públicas, menos del 10 están certificados.
A la vista de los datos, no cabe duda de que al sector público le está costando cumplir y adecuarse al Esquema Nacional de Seguridad, pero hay que considerar que el sector privado no es totalmente ajeno a esta proceso y a la obligación de cumplimiento, ya que el vigente RD 311/2022 no deja lugar a dudas sobre su ámbito de aplicación, incluyendo no solo al sector público, sino también a todas las empresas privadas que a través de sus sistemas de información prestan servicios o soluciones al sector público. De ahí que la realidad nos muestre que con menos de 1000 empresas privadas certificadas aún estamos muy lejos del alcance y objetivo que persigue el Esquema Nacional de Seguridad.
Entre las razones que pueden explicar este lento ritmo de adecuación y certificación, que he podido constatar con clientes y certificadoras a lo largo de estos 2 años y que se hacen visibles a través de diversos estudios, figuran sin duda:
- El escaso número de auditores/auditoras externas cualificados
- La escasez de personal especializado en ciberseguridad
- El dimensionamiento de los equipos IT de muchas empresas
- Y la siempre reticencia a invertir e incrementar el presupuesto en áreas alejadas del foco de negocio como son IT- Ciberseguridad.
Lecciones aprendidas sobre la adecuación al Esquema Nacional de Seguridad
Para finalizar y como conclusiones y experiencias extraídas después de estos meses trabajando cada día pegada al RD 311/2022 en organizaciones de distintos ámbitos, sectores y tamaños, con el gorro unos días como consultora y otros como auditora, destaco lo siguiente:
- La concienciación sigue siendo una herramienta clave, para adoptar los distintos cambios e implantar los distintos controles de seguridad tecnológicos y organizativos derivados del ENS, especialmente aquellos que tienen impacto y cuyo cumplimiento depende directamente de los usuarios.
- El modelo de gobierno de seguridad regulado en el ENS no siempre encaja en las organizaciones por diversos motivos:
- En algunos casos por el reducido tamaño de muchas empresas, que origina que no exista suficiente personal para cumplir con el esquema de roles de seguridad diferenciados.
- En otros, por la propia resistencia del personal a asumir las responsabilidades derivadas de los distintos roles o por parte del personal Directivo a configurar el organigrama de su empresa, en base a una normativa y no a su propio criterio.
- Se observa al auditar o realizar los planes de adecuación de ENS, como a pesar de transcurrir casi 6 años de la entrada en vigor de Reglamento General de Protección de Datos (RGPD), muchas organizaciones no están plenamente adecuadas al RGPD, especialmente en lo que respecta al borrado de datos y el cumplimiento del deber de información.
- Especialmente en empresas tecnológicas, resulta un GAP importante el cumplimiento del control sobre componentes certificados (op.pl.5), por el escaso número de empresas certificadas en ENS, las limitaciones del catálogo de productos certificados, (CCN – Guía 105), unido a la dependencia de proveedores tecnológicos, especialmente americanos o asiáticos fuera de la órbita del ENS.
Queda mucho camino por recorrer, muchas acciones de mejora por parte de todos los agentes implicados en este proceso, pero un objetivo común: continuar garantizando una transformación digital cibersegura.
Centro de Competencia ENS de Govertis, parte de Telefónica Tech
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.