Auditoría & Co

Los mismos requisitos que se exigen internamente a la Administración Pública son exigidos a cualquier proveedor que preste algún servicio relacionado con la seguridad de la información en estas entidades adoptando la condición de sujeto obligado por el ENS. Los proveedores deben contar con un nivel de seguridad similar al requerido por la entidad pública.

En este escenario, todos los proveedores que forman parte de la cadena deben estar certificados respecto a las disposiciones del ENS. Pero estar certificado no es la única obligación que se le está exigiendo a los proveedores de servicios de TI que quieren trabajar con la administración pública.

Para clarificar y enumerar las obligaciones de prestadores de servicios de TI en el marco del Esquema Nacional de Seguridad, el Centro Criptográfico Nacional (CCN) ha desarrollado varias publicaciones las cuales se resumen a continuación.

En primer lugar, el CCN ha publicado un documento en el que se recogen las obligaciones de los prestadores de servicios a las entidades públicas, cuando tales servicios estén sujetos al cumplimiento del Esquema Nacional de Seguridad (ENS). Estas obligaciones se centran en ofrecer información útil a la administración pública sobre los servicios contratados. No resulta trivial determinar el papel que juega tanto la administración pública como su prestador de servicio en la responsabilidad y cumplimiento del Marco de Control del Esquema Nacional de Seguridad.

¿En qué medida afecta el ENS a un prestador de servicio de TI? ¿Qué debe requerir una administración pública en un contrato de prestación de servicio? ¿Cuáles son las responsabilidades y obligaciones de las partes?

Según el documento obligaciones de los prestadores de servicios a las entidades públicas, el proveedor tiene la obligación de documentar y ofrecer la siguiente información a sus clientes de administración pública:

  • Descripción de servicios y modalidad.
  • Información sobre la arquitectura de seguridad.
  • Ubicación de la información.
  • Medidas de seguridad implementadas.
  • Cumplimiento de la normativa vigente de protección de datos.
  • Incidentes de seguridad.
  • Cadena de subcontratación y sus cambios.
  • Seguimiento de los Acuerdos de Nivel de Servicio (SLA).

El objetivo es facilitar a la entidad pública contratante el cumplimiento de sus obligaciones, tales como la realización del Análisis de Riesgos o delimitar las dependencias entre sus activos esenciales y los activos subcontratados.

Otra línea de actuación del CCN ha estado relacionada con los servicios en la nube y como acompañar y guiar técnicamente la administración pública en el cumplimiento de sus obligaciones de seguridad en los servicios en la nube.

En los últimos meses Microsoft, AWS (Amazon Web Services) y el Centro de Criptología han ido presentando guías de configuración de los principales servicios ofrecidos a la administración pública para cumplir con los requerimientos del ENS. Dichos documentos tienen como objetivo facilitar y guiar, con garantías, el cumplimiento de las responsabilidades de los administradores de servicios de la administración pública en la nube.

Cada una de las recomendaciones de seguridad establecidas en la guía CCN-STIC 823 (guía para aplicar el ENS a entornos de nube) se ha abordado, documentado, automatizado y revisado para los principales servicios cloud de Microsoft y AWS, dos de los principales líderes del mercado.

Estás guías avaladas por el CCN responden a una demanda permanente hacia proveedores de Cloud para asegurar que los usuarios de la administración pública conocen, aprovechan y configuran adecuadamente estos servicios.

Estas guías vienen asociadas con scripts de configuración que facilitan a las entidades contratar servicios en entornos de nube con garantías de seguridad verificadas.

Por último, a través de la “Guía CCN-STIC 858 Implantación de sistemas SaaS en modo local (on-premise)”, el CCN pretende cubrir requerimientos específicos de seguridad asociados a Sistemas implantados en la infraestructura tecnológica de su cliente en modo local (ON-PREMISE). En las soluciones implantadas ON-PREMISE las medidas de seguridad se reparten entre el proveedor que suministra y la organización o cliente que contrata. Por ello, el proveedor debe ofrecer la información necesaria para una instalación y configuración adecuada del sistema por parte del cliente. La falta de conocimiento sobre las configuraciones y acciones a ejecutar sobre el sistema instalado puede desembocar en deficiencias graves de seguridad. De cara a suplir posibles carencias y falta de conocimiento, la empresa proveedora del sistema deberá proporcionar a la entidad contratante los siguientes documentos:

  • Una Guía de Instalación y Configuración Segura del Sistema destinada a administradores, donde se detallan las acciones que deben realizar los administradores a la hora de instalar la aplicación, establecer una configuración inicial, actualizar el sistema y establecer los requisitos de seguridad, de cumplimiento del ENS.
  • Una Guía de Uso Seguro del Sistema destinada a usuarios finales, donde se detallan aquellas configuraciones, procedimientos de seguridad que deban ser realizados por los usuarios finales para el uso seguro del sistema respecto a los requisitos del ENS exigidos.
  • Una Guía de relación entre proveedor y cliente en la cual queda especificada la carga de responsabilidad entre cliente y proveedor respecto a los controles de seguridad del ENS.

Estos 3 documentos son de facto obligatorios para que el sistema de información del proveedor de servicios pueda alcanzar o mantener la Certificación de Conformidad con el ENS.

En definitiva, a través de estos nuevos requerimientos, se solicita a los prestadores de servicios de TI, transparencia y soporte en el cumplimiento de los requisitos de cumplimiento del Esquema Nacional de Seguridad, en particular para aquellos controles sobre los cuales tanto la entidad pública como su proveedor de servicio tienen responsabilidad sobre el cumplimiento del control.

No solo es importante contar con tecnologías certificadas, además es clave contar con configuraciones que permitan implementar la seguridad siguiendo los requerimientos del ENS y para ello el soporte de los proveedores de servicios a través de estos documentos técnicos, guías de instalación y de configuración segura, los cuales son requeridos por las entidades de certificación de conformidad en los procesos de concesión y renovación de certificados.


Roger Pérez

Director en el área de Risk Advisory