
ENS y Continuidad de Negocio: Una brecha silenciosa que el CISO no debe ignorar
Parece que la vorágine de la inmediatez, a la que se somete el panorama de la actualidad, aparentemente ha apartado los focos del tema estrella hasta hace no tanto: el apagón.
Este artículo no pretende ser un refrito de información, tampoco (re)abrir debates, presentar su propia teoría del origen ni tampoco caer en el análisis fácil a toro pasado (cuando todos somos «expertos»). Vamos a traer al frente la Continuidad de Negocio desde el punto de vista del Esquema Nacional de Seguridad (ENS). Vamos a analizar hasta qué punto la exigencia del ENS es «suficiente» para poder estar tranquilo como CISO ante un desastre o incidente mayor, en este caso, acercándonos al escenario del apagón.
Para ello, aunque en la medida de lo posible trataré de no hacerlo, voy a permitirme el lujo de partir de la base de otros artículos que puedes encontrar en este blog del Club del CISO, como, por ejemplo: Conceptos clave de ciberseguridad.
Observemos esta tabla:
Nos muestra estrictamente las «Medidas de Seguridad del ENS», dentro del Marco Operacional, que contemplan la Continuidad del servicio (4.6). Si no lo conocías, quizás te haya llamado la atención la aplicabilidad en función del nivel de las dimensiones de seguridad. Pues sí, hay un elefante en la sala. ¿Lo ves? Sospecho que nos acompaña a los que ya conocíamos el contenido de esta tabla.
Efectivamente, vengo a confrontar la exigencia del Esquema Nacional de Seguridad contra la realidad que seguramente debamos hacer frente en pos de la Continuidad de Negocio o Continuidad de servicio (en idioma ENS). Eso sí, quiero dejar claro que para que esta reflexión no sea infinita, no vamos a hablar de todas aquellas medidas de seguridad que, de forma indirecta, también tienen un impacto en la Continuidad de Negocio, incluyendo las de gestión de incidentes. En este caso, estas últimas, sí son más exigentes y por ello guardan una mejor relación con la «tranquilidad» del CISO, o eso creo.
Lo que vimos durante el apagón
Fuimos testigos del efecto de esta tabla. De cómo tan solo algunos negocios u organizaciones pudieron garantizar la continuidad mínima o aceptable de su servicio. Fueron: o bien quienes entraban dentro de una categorización alta; o bien quienes se la autoimpusieron de alguna manera al considerar suficientemente su actividad suficientemente crítica como para no poder verse altamente impactada por un escenario de tal magnitud de desastre, imprevisible y, sobre el papel, poco probable.
Aplicabilidad del ENS
Recordemos, el Esquema Nacional de Seguridad aplica a una amplia gama de entidades en España que manejan información o prestan servicios mediante medios electrónicos en el sector público:
- Administración Pública.
- Entidades del sector privado que colaboran con el sector público:
-
- Prestan servicios o soluciones TIC a las Administraciones Públicas.
- Procesan o almacenan información por encargo de la Administración Pública.
- Universidades públicas y privadas.
- Organismos del sector público empresarial.
- Otros casos según resolución o normativa sectorial.
En definitiva, cualquier sistema de información que soporte servicios públicos electrónicos debe estar alineado con el ENS.
El elefante en la sala: niveles y requisitos
La realidad: cualquier cumplimiento normativo, el ENS en nuestro caso, puede convertirse en un arma de doble filo si no lo aplicamos debidamente. ¿Cómo? Por un lado, nos rige unos mínimos a cumplir de una forma más o menos objetiva, lo cual aparentemente ya bastaría. Claro, los criterios de clasificación se han consensuado y actualizado con la experiencia de los años. Pero ¿qué ocurre si como organización o CISO nos ceñimos tan solo a ese criterio? ¿Nos basta con la tabla que hemos visto antes?
Bien, pues la realidad es que no debería. El obligado cumplimiento de unas medidas debería marcarnos un mínimo. Un punto de partida del que poder entrar a valorar si realmente, suponiendo que el ENS no lo exija por nivel del sistema, puedo y debo prescindir de:
- Análisis de impacto de Negocio
- Plan de Continuidad
- Pruebas periódicas
- Medios alternativos
¿Tranquilidad o falsa seguridad?
Muchas veces nos encontramos con que, por motivos varios, a muchas entidades alcanzan un alto grado de tranquilidad con estar dentro del marco de cumplimiento de leyes, Reales Decretos y estándares internacionales.
Seguramente, el pasado 28 de abril (con el apagón), hubo entidades que sintieron esa falsa seguridad. ¿Cómo era posible que, cumpliendo con todo, no pudieran brindar servicios (mínimos) y tampoco supieran como actuar ordenadamente?
Seguramente hayan podido detectar que necesitan reforzar aspectos relativos a su Continuidad de Negocio para poder, ahora sí, estar tranquilos ante el próximo desastre y esta vez ser capaces de no sufrir con un grado más de seguridad. Hacer lo que quizás sí hizo la entidad vecina, que de primeras les pareció exagerado y que, el tiempo les ha dado la razón. Como la hormiga a la cigarra. No está de más, si con cierto sentido aplicamos medidas de seguridad por encima del grado de obligado cumplimiento si nos van a reportar beneficios para la entidad.
Resulta capital entender bien qué significa la palabra riesgo y todas sus implicaciones: la probabilidad de suceso combinado con el impacto que trae consigo. Es decir, podremos estar algo más tranquilos siempre que lo estemos con nuestra aceptación del riesgo y su gestión o control desde su análisis, gestión de incidentes hasta una madurez de nuestro Sistema de Gestión de la Continuidad de Negocio.
Conclusiones para el CISO práctico
Casualmente, apenas un año antes del apagón, hablábamos de «El CISO y su función en la subsistencia de la organización».
Es tan o más importante saber hacer nuestro trabajo como saber comunicarlo a la Alta Dirección. Que al final, no hay mal que por bien no venga. Seguramente este suceso nos permita ganar un poco más de fuerza en el discurso de la Continuidad de Negocio, facilitar la identificación de aquellos procesos y sistemas críticos para nuestra entidad y reformular ese apetito del riesgo revaluando la comodidad de la entidad frente a este.
Gonzalo Ruiz de Miguel
Govertis, parte de Telefónica Tech