¿Las entidades privadas deben comunicar el informe INES?

19 marzo, 2024 por Govertis Blog 0 comentarios

¿Las entidades privadas deben comunicar el informe INES?

INES es la herramienta proporcionada por el Centro Criptológico Nacional (CCN) para la recogida de información y análisis de indicadores sobre el Informe Nacional del Estado de Seguridad que permite evaluar anualmente el estado de la seguridad de los sistemas TIC de las entidades, organismos y organizaciones, además de permitir conocer el estado de implantación del Esquema Nacional de Seguridad (ENS).

Antes de que el nuevo reglamento fuera publicado, solamente las Administraciones públicas estaban en la obligación de rellenar este informe, pero con la actualización del articulado del Real Decreto 311/2022, de 3 de mayo, por el que se regula el ENS, las entidades privadas que prestan servicios a la Administración pública o manejan sistemas clasificados están obligadas a rellenar el informe INES.

En este artículo hablamos de: Ocultar
1 ¿Por qué es de obligado cumplimiento?
2 La herramienta INES: puntos clave
3 Beneficios que puede reportar el informe INES

 ¿Por qué es de obligado cumplimiento?

Haciendo un breve repaso del nuevo articulado y prestando especial atención a dos de los artículos más relevantes para el tema que nos ocupa, se puede comprobar que efectivamente es de obligado cumplimiento debido a:

  • En el artículo 2 se hace referencia al ámbito de aplicación, en el que se incluye como novedad que las empresas de sector privado que presten servicios o provean soluciones a las entidades del sector público también se verán afectadas por este reglamento.
  • En el artículo 12 se hace referencia al informe de estado de seguridad y que enlaza con el ámbito de aplicación indicado previamente en el artículo 2 y, por tanto, se verifica que completar la información del informe será de obligado cumplimiento.

 La herramienta INES: puntos clave

Para tener una visión general de la herramienta e ir familiarizándonos con el entorno se exponen algunos de los puntos más relevantes:

  • Para acceder a INES se requiere disponer de usuario válido del portal del CCN-CERT, y además haber sido acreditado para utilizar la herramienta INES en nombre del organismo al que el usuario representa.
  • El acceso a la herramienta INES está integrado en el propio portal del CCN-CERT por lo que el usuario podrá autenticarse en INES a través dicho portal.
  • La información que se introduce en INES se organiza o clasifica en secciones denominadas «Fichas».
  • Las «fichas» para cada organismo se clasifican o diferenciarán por cada año, puesto que la información recopilada por la herramienta tiene una periodicidad anual.
  • La información que se solicita en la correspondiente ficha de INES cada año en relación a un organismo sigue el modelo planteado en la Guía CCN-STIC 824.
  • Para completar la ficha de datos de este formulario, la herramienta presenta pantallas o apartados de datos que divide el formulario con el objetivo de hacerlo un poco más manejable. Con el objetivo de proporcionar una visión general de la herramienta, los apartados que un usuario tendrá que ir completando son:
    • Identificación del organismo.
    • Categorización de los sistemas.
    • Análisis y gestión de riesgos.
    • Actividades organizativas.
    • Recursos.
    • Medidas de seguridad.
    • Medidas de interconexión.
    • Aplicación de la seguridad.
    • Gestión de Incidentes.
    • Auditorías.
    • Indicadores de clave de riesgo.
  • A medida que se van introduciendo datos en cada uno de estos apartados, INES irá midiendo los porcentajes de completitud de cada ficha.
  • En el caso de que la organización utilice la herramienta PILAR para la elaboración de sus análisis de riesgos algunos de los datos pueden ser exportados y subidos a INES.
  • Una vez que la ficha de datos está completa (o al menos al 50% de completitud) es posible visualizar el cuadro de mandos en el cual se muestras los indicadores y se puede ver la comparación de los valores introducidos comparado con el valor de la mediana del mismo indicador con respecto a las otras organizaciones de su mismo colectivo y año que también han volcado sus datos en la herramienta.

Pese a que pueda parecer un proceso simple debido a que navegar por esta herramienta pueda ser sencillo e intuitivo es de vital importancia poder contar con un equipo consultor con el conocimiento y la experiencia suficiente, como es el caso del equipo de consultores de Govertis, puesto que para poder completar la información necesaria u obligatoria es imprescindible la realización de un plan de adecuación al Esquema Nacional de Seguridad.

Beneficios que puede reportar el informe INES

 Hasta ahora tal y como se ha podido observar todas las acciones son de obligado cumplimiento para las entidades indicadas, esto quiere decir que será uno de los puntos a evaluar en la auditoría de certificación no pudiendo superar la auditoría y no obteniendo el certificado si no se cumple con el mismo.

Todo el trabajo que requiere prepararse para obtener este certificado también proporciona información de gran valor, puesto que gracias a toda la información que las diferentes entidades introducen año tras año para el informe permiten obtener estimaciones generales como:

  • Estimación preventiva de la seguridad, a través del cumplimiento de determinados aspectos que se han definido como críticos para cualquier organismo.
  • Estimación de eficacia y eficiencia de las actividades llevadas a cabo en materia de seguridad.
  • Estimación del esfuerzo humano y económico dedicado a la seguridad TIC.

No obstante, también a nivel individual para cada organización permite visualizar datos relevantes como son el nivel de madurez y el nivel de cumplimiento, así como comparar esos niveles obtenidos con la media de organizaciones de su ámbito y tamaño. Gracias a estos datos se puede medir de forma objetiva cómo los servicios ofrecidos ayudan a la organización a mejorar año tras año, lo que sin duda refuerza el servicio de mantenimiento o mejora continua.

Debido al obligado cumplimiento del articulado del RD 311/2022, por el que se regula el Esquema Nacional de Seguridad, para las administraciones públicas, así como también para las entidades privadas que prestan servicios a la Administración pública y/o manejan sistemas clasificados, se trabaja diariamente en pro de la mejora continua de la seguridad de la mayoría o de gran parte de los sectores o industrias más afectados actualmente por el cibercrimen.

Las organizaciones más relevantes cada vez poseen un mayor grado de madurez y esto dificulta, que no imposibilita, que los ataques tengan cada vez menos impacto sobre este tipo de organizaciones, pero hace que estos ataques se puedan incrementar y derivar intentando comprometer la seguridad de las organizaciones que proporcionan servicios a estas, es decir, derivándose hacia toda la cadena de suministro de estas organizaciones, la cual les suele proporcionar gran cantidad de servicios.

 

En resumen, el principal objetivo del informe INES es el de recoger indicadores de las entidades de manera periódica (anualmente), con el propósito de tener la visión general del progreso en dicho periodo. La única manera en la que se puede mejorar es midiendo y monitorizando el avance, es decir, cómo está la entidad actualmente y cómo ha avanzado en un periodo determinado con el plan de acción seleccionado y por esa razón siempre se hace referencia a la mejora continua.

Como casi todo en la vida, todo se basa en ciclos o iteraciones, las cosas no deben abordarse de golpe o al menos no si se quiere hacer de una forma apropiada, sino que debe dividirse en porciones más manejables, como bien dice el refrán «Divide y vencerás».

Para terminar, me gustaría citar una frase de Louis Pasteur que creo que encaja perfectamente con este tema:

La suerte solo favorece a la mente preparada

Se podría decir que es una frase que va totalmente alineada con nuestra filosofía de empresa y como empleados de Govertis, puesto que disfrutamos y nos esforzamos diariamente para tener siempre la mente lo mejor preparada posible.

Esto no quiere decir que vayamos a tener la solución para todo de manera inmediata, pero sí podemos asegurar que siempre vamos a estar preparados y más que dispuestos a afrontar nuevos retos con el objetivo de ayudar a nuestros clientes y, por supuesto, de crecer y ayudar a crecer aplicando la mejora continua en nuestro día a día.

 

Sara Cuervo

GRC Senior Consultant – CdC del Esquema Nacional de Seguridad en Govertis, parte de Telefónica Tech

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Consultoría GRC en femeninoEntrada anterior:
La unificación de canales de denuncias y los protocolos de acosoSiguiente entrada