El Análisis de Riesgos en el contexto del ENS

Por Rafael González, asociado senior de Governance, Risk & Compliance de ECIJA

Hasta el momento, una implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) seguía un guión claramente establecido:

• Definición de un alcance para el sistema de gestión.

• Definición de unas políticas y una declaración de intenciones por parte de la Gerencia para comunicar al personal.

• Realización de un análisis de riesgos basado en un inventario de activos previo.

• Desarrollo de un plan de tratamiento del riesgo en función de los resultados del análisis. 



Evidentemente faltan muchos pasos y envolverlo todo en un modelo de mejora continua basado en ciclos (PDCA).

El RD 3/2010, Esquema Nacional de Seguridad (ENS), cambia este guión para establecer sus propias fases:

• Inventario de servicios electrónicos a los ciudadanos.

• Categorización de esos servicios en base a los criterios de la guía CCN-STIC-803 Valoración de Sistemas (las guías no son de obligado cumplimiento como lo es un Real Decreto, pero son una base sobre la que trabajar).

• En base a esa valoración se aplican los controles establecidos en el ANEXO II del ENS. El propio CCN pone a disposición de las entidades una aplicación para determinar exactamente los controles que aplican.

• Se exige una cierta documentación como pueda ser la Declaración de Aplicabilidad o el Análisis de Riesgos.

El objeto de este artículo es ofrecer algunas reflexiones sobre el análisis de riesgos en el contexto de un proyecto de ENS. 

El alcance

El alcance viene definido según la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos y abarca los servicios electrónicos que las distintas administraciones prestan a los ciudadanos.

Se “complica” este alcance con alguna indicación dada en la guía CCN-STIC-803 Valoración de Sistemas donde dice: “el Esquema Nacional de Seguridad se limita a valorar aquellos tipos de información que son relevantes para el proceso administrativo y pueden ser tratados en algún servicio afecto a la ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos”.



Esta matización da lugar a curiosas paradojas como por ejemplo dejar fuera del alcance ciertos sistemas que no tienen que ver con el procedimiento administrativo directamente pero que pueden ser puerta para importantes brechas de seguridad que si podrían afectarle de forma indirecta.



Categorización

Hay que destacar que la categorización hay que hacerla en función de los criterios dados en la citada guía, no son criterios “informáticos” basados en un impacto producido por la materialización de una amenaza. La valoración debe hacerla el responsable de la información o del servicio, e insisto, en base a los criterios de la guía. Esto significa que primero se los tiene que leer, entender y aplicar posteriormente.



En caso de no identificar al responsable, la valoración debe hacerla el responsable de seguridad y en tal caso hay que insistir en que los criterios de valoración son los de la guía, no los tradicionales criterios que tenemos los informáticos que por lo general tendemos a magnificarlo todo.



El concepto de “categorización” en un SGSI tiene otras connotaciones, es más, no existe el concepto tal y como lo entiende el ENS. La criticidad de un sistema va en función del impacto que produce la materialización de una amenaza.



La Declaración de Aplicabilidad

La declaración de aplicabilidad hasta ahora era un inventario de controles (en función de la norma que se aplicara) cuyo objetivo es reparar uno a uno los que aplican y los que no aplican. Era importante dejar claro el motivo de exclusión de un determinado control.



En el contexto del ENS, los controles no se eligen, viene impuestos por la categoría del sistema por lo tanto la declaración de aplicabilidad no deja de ser un documento formal que a todos los efectos aporta poco.



No tiene sentido intentar justificar la no inclusión de un control porque el motivo es muy sencillo: “lo refleja el Real Decreto”. En el artículo 13 hay una indicación sobre la justificación de la no inclusión de controles, pero de una forma inconexa con respecto a la declaración de aplicabilidad.



Hay que recordar que en ISO 27001 es un matiz obligatorio a la hora de hacer la declaración de aplicabilidad (control ISO 27001 4.2.1.j-3).



El Análisis de Riesgos 

¿Qué dice la guía 803 del Centr