El Esquema Nacional de Seguridad y la Certificación de Centros de Procesos de Datos

El Esquema Nacional de Seguridad (ENS) es el mecanismo establecido mediante el Real Decreto 3/2010 del 18 de Enero, según el cual "se determina la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación, y estará constituido por los principios básicos y requisitos mínimos, que permitan una protección de la información".  (Fuente: https://www.ccn-cert.cni.es/ens.html). 

Pero esto ¿que quiere decir tanto para las Administraciones Públicas como para los proveedores de las mismas? Es un Esquema consistente en 75 medidas de seguridad en tres ámbitos:

1. Organizativo

2. Operacional

3. Medidas de protección

Este Esquema fue de los primeros europeos y en su diseño se tuvieron en cuenta los estándares ya existentes en el momento de su creación tal como las ISO 27001, y la entonces existente LOPD , sustituida recientemente por el Reglamento Europeo de Protección de Datos. 

¿Como se relaciona un Esquema Nacional de Seguridad con los Centros de Procesos de Datos? La propia Guía de Auditoría frente al ENS (CCN-STIC 802) , en su apartado Op.pl.1, hace que se identifiquen los activos más valiosos, sus amenazas más probables (2.2./2.3), así como actividades relacionadas con la documentación de los procesos de seguridad.

En este contexto, parece que tener un CPD diseñado, construido y operado conforme a un estándar de mercado puede ayudar a cumplir con los requisitos de este estándar.

En los últimos pliegos de la Administración Pública se está empezando a exigir que los Centros de Procesos de Datos que soporten sus actividades dispongan de las acreditaciones correspondientes para asegurar la disponibilidad de estas importantes instalaciones, así como su adecuado mantenimiento. 

Sobre este requisito viene en su ayuda el estándar europeo EN 50600, una de cuyas partes ya está ratificada como norma UNE desde Diciembre 2017.

Una vez más, no podemos hablar de Seguridad si no tenemos en cuenta donde radican las operaciones de IT, ya sea propia o externa, y si todos los elementos que garantizan la disponibilidad de estas importantes instalaciones no están integrados en un solo marco de operación. 

Más Tecnología, Más Europa

A medida que la humanidad avanza en el uso de lo que podemos llamar la Economía Digital, se hacen necesarios marcos que de alguna manera regulen el buen uso del enorme potencial que se nos presenta con la interconexión de nuestros múltiples dispositivos a las incontables fuentes a las que tenemos acceso.
Si en su día, Europa cambió y pudo llegar a ser Europa por la existencia de múltiples vías de comunicación que nos acercara de un sitio a otro, ahora el cambio viene por el espacio económico europeo, donde todo es posible.
En este sentido, la aparición de Regulaciones europeas que permitan equiparar las medidas de protección de un Estado a otro son realmente necesarias. Por esto, quiero centrarme en esta ocasión en dos, la norma EN 50600 para Centros de Procesos de Datos, y la norma EN 50518 en su nueva versión publicada definitivamente el pasado mes de Septiembre, que regula las condiciones en las que se debe construir y operar las Centrales Receptoras de Alarma.
Ambas normas se refieren la una a la otra. La primera de ellas, EN 50600, identifica la necesidad de proteger estas infraestructuras con un sistema sólido de alarma que permita la intervención inmediata en caso de un incidente bien natural, humano o de fuerza mayor.
La segunda, la EN 50518, indica las características que deben tener las Centrales Receptoras de Alarma para asegurar la calidad del mensaje de alarma y ofrecer una respuesta inmediata, así como la protección de los datos personales que estas importantes organizaciones almacenan.
Ambas normas son certificables y para ello requieren que la infraestructura esté en funcionamiento por lo que incluyen los procedimientos operativos como parte de la misma.
En las contribuciones posteriores elaboraré una comparación entre ambas por las similitudes y sinergias existentes y la contribución a crear estructuras sólidas, mantenibles y auditables, tal como requieren la mayor parte de leyes que las referencian.
Detrás de estas normas, digamos estructurales, contamos con las normas operativas para garantizar la seguridad de la información (ISO 27001/2), el servicio de IT (ISO 20000) así como la continuidad de negocio.
A la Europa que conocemos la construyeron los peregrinos. Ahora Europa tiene que crear un marco en el que pueda crecer el Peregrino Digital en que nos hemos convertido.