seguritecnia 438

62 SEGURITECNIA Enero 2017 Artículo Técnico dente que afectara a la seguridad de la información o de los servicios con per- juicio para la disponibilidad, autentici- dad, integridad, confidencialidad o tra- zabilidad, como dimensiones de seguri- dad. La valoración de las consecuencias de un impacto negativo sobre la seguri- dad de la información y de los servicios se efectuará atendiendo a su repercu- sión en la capacidad de la organización para el logro de sus objetivos, la protec- ción de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos” 18 . Así, el ENS establece tres categorías de los sistemas: baja, media y alta. En este punto, la responsabilidad de cada organismo público es crucial, pues la categorización que realicen de su sis- tema de información 19 , determinará tanto la selección y el nivel adecuado de aplicabilidad de las medidas del ENS, como la forma de evaluar dicha con- formidad, que será bien por autoeva- luación 20 (caso de declaración, para sis- temas con categoría baja) o bien por auditoría (caso de certificación, para sis- temas de categoría media o alta). La situación expuesta muestra la ne- cesidad de colaboración estrecha entre la Administración Pública y el sector pri- vado, especializado en servicios de se- guridad de la información que abarcan el amplio espectro de medidas del ENS, de los sistemas de información que les dan soporte. 4. Una precisión final. La discrecionalidad en materia de seguridad no es una opción. Acabamos de hablar de adecuada pro- tección y también hemos aludido al mismo concepto cuando nos refería- mos al Objetivo 1 de la Estrategia Na- cional de Ciberseguridad (“adecuado nivel de ciberseguridad y resiliencia”). Queremos abundar en esta condición, aún a riesgo de decir una obviedad, porque es la naturaleza “real” de los sis- temas de información a proteger la que determina el alcance y el nivel de apli- cación de las medidas de seguridad a adoptar, y no la capacidad para im- plantarlas del organismo titular de di- chos sistemas, la que establece (al me- nos “declarativamente”) la naturaleza de dichos sistemas desde el punto de vista de la seguridad. Aquí conviene dejar claro que la apli- cación de uno u otro mecanismo de evaluación de la conformidad, Decla- ración o Certificación, (con significati- vas diferencias en cuanto a los requi- sitos exigidos), no debe considerarse una opción, sino una consecuencia di- recta de la categorización del sistema, necesariamente rigurosa, que el orga- nismo realice “en función de la valora- ción del impacto que tendría un inci- cas para afrontar los inminentes retos organizativos y tecnológicos de la e-Ad- ministración, establecidos por la LPAC y la LRJ, es insuficiente. Así lo reflejan las ponencias y conclusiones, en relación a ambas materias (e-Administración y ENS), presentadas en el VI Congreso Nacional de Innovación y Servicios Pú- blicos (CNIS), celebrado en Madrid el 2 y 3 de marzo de 2016 15 . Otro indicador de esta situación es la demora en formalizarse uno de los aspectos más importantes de un es- quema de certificación como es el ENS. Este aspecto es el relativo a la acreditación oficial de las entidades de evaluación y certificación de la con- formidad y la publicidad de los distin- tivos de cumplimiento, no habiendo sido hasta el mes de febrero de 2016 cuando se ha publicado la Guía de Se- guridad CCN-STIC-809 sobre Declara- ción y Certificación de Conformidad con el ENS y Distintivos de Cumplimiento 16 . Esta guía establece el aspecto, el contenido y la forma de publicidad de ambos modelos de conformidad con el ENS (Declaración y Certificación) y la exigencia, para el caso de la Certifica- ción de Conformidad, de que sea ex- pedida por una Entidad Certificadora que esté acreditada por la Entidad Na- cional de Acreditación (ENAC) para la certificación de sistemas conforme a la Norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican produc- tos, procesos y servicios . Puede resultar un dato ilustrativo so- bre el estado actual de implantación del ENS, que una entidad certificadora de primera referencia en España, como es Aenor, haya expedido hasta la fe- cha, algo más de 10 Certificados de Conformidad con el ENS con un distin- tivo propio 17 . Todos estos datos evidencian un re- traso en la adopción en las administra- ciones públicas de las acciones nece- sarias para la implantación de los servi- cios de administración electrónica y de las medidas inherentes y proporciona- das de ciberseguridad establecidas por el ENS para la adecuada protección