Proveedores deben notificar incidentes de seguridad

Esquema Nacional de Seguridad

¿Los proveedores que prestan servicios al sector público están obligados a notificar sus incidentes de seguridad?

La Resolución de, 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, prescribe en su capítulo VII que el ENS resulta de aplicación a las entidades privadas cuando presten servicios o provean soluciones a las entidades públicas a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad. Es decir, a las entidades privadas les es de aplicación el ENS, en lo relativo a la prestación de servicios a las administraciones públicas.

Por otra parte, el Documento CCN “Obligaciones de los prestadores de servicios a las entidades públicas”, que podemos encontrar en https://www.ccn.cni.es/index.php/es/docman/documentos-publicos/abstract/257-abstract-obligaciones-de-los-prestadores-de-servicios-a-las-entidades-publicas/file establece lo siguiente:

  • La aplicabilidad del ENS a las empresas privadas supone también la obligación de notificar a la entidad pública contratante a la que presten servicio, los incidentes de seguridad que puedan afectar la seguridad de los sistemas objeto del servicio.
  • El sector público, deberá notificar sus incidentes a través de la Plataforma LUCÍA, herramienta desarrollada por el CCN, a la que puede accederse a través de https://www.ccn-cert.cni.es/soluciones-seguridad/lucia.html .
  • El proveedor del sector privado podrá notificar el incidente al CCNCERT a través de la Plataforma LUCÍA del organismo al que presta servicio y, en el caso de que dicho organismo no disponga de la misma, podrá emplear otro mecanismo de notificación, como el correo electrónico a la dirección incidentes@ccn-cert.cni.es, prestándose el Servicio de Respuesta a Incidentes desde el CCN-CERT.
  • Para facilitar el intercambio de información podrá resultar conveniente que los prestadores privados de servicios tecnológicos al sector público estén federados en LUCÍA, con lo que podrán beneficiarse del Servicio de Respuesta a Incidentes del CCNCERT. En consecuencia, si bien los proveedores del sector privado no están obligados a notificar los incidentes a través de LUCÍA, si sería conveniente obligar a ello a través de los correspondientes Pliegos de Prescripciones Técnicas cuando una entidad pública pretenda la contratación de servicios externos con entidades privadas.

    Recomendamos que en los Pliegos de Prescripciones Técnicas se contemplen los aspectos siguientes:

  • Descripción de los servios objeto del contrato y modalidad.
  • Información sobre la arquitectura de seguridad, cuando sea relevante para el servicio prestado.
  • Ubicación de la información, identificando si la información se encuentra en los sistemas del prestador del servicio o de la entidad contratante.
  • Medidas de seguridad a implementar.
  • Cumplimiento de la normativa vigente en materia de protección de datos personales.
  • Incidentes de seguridad. A este respecto:
    • Obligación de notificación de incidentes a la entidad pública (aunque recordemos que es obligación legal, y en consecuencia si no figura en el contrato sigue aplicando).
    • Datos de contacto del Responsable de Seguridad del Proveedor y si se producen cambios a lo largo del servicio se debe comunicar.
    • Asimismo, datos de contacto del Responsable de la Seguridad de la entidad contratante.
    • Obligación de notificación a través de la Plataforma LUCÍA. En caso que no esté integrado, a través del correo electrónico incidentes@ccn-cert.cni.es. (esto no es requisito legal).
  • Portabilidad de la información.
  • Cadena de subcontratación y cambios.
  • Capacidad y dimensionamiento del sistema.
  • Seguimiento de los acuerdos de nivel de servicios (SLA).

Asimismo, recomendamos articular un protocolo de actuación frente a los incidentes sufridos por el proveedor. Es decir, no podemos dejar un aspecto tan importante a la improvisación. Para ello es de especial ayuda el “Protocolo de actuación frente a incidente a proveedor” de ISMS FORUM al que se puede acceder a través de https://www.ismsforum.es/ficheros/descargas/protocolo-de-actuacion-frente-a-incidente-en.pdf

Conclusiones:

A la vista de lo reflejado en los apartados anteriores, cabe indicar lo siguiente:

  • A las entidades privadas que prestan servicios en las Administraciones les aplica el ENS.
  • La aplicabilidad del ENS a tales empresas privadas supone también la obligación de notificar a la entidad pública a la que presten servicio, los incidentes de seguridad que puedan afectar la seguridad de los sistemas objeto del servicio. Es decir, existe una obligación legal para la notificación.
  • Sería conveniente que las empresas privadas que prestan servicios a las administraciones públicas estén federadas en la Plataforma LUCÍA.
  • En los pliegos de prescripciones técnicas o contratos deberían regularse los aspectos indicados, en particular la obligación de notificar estos incidentes a través de LUCÍA. No obstante, la obligación de notificación a las administraciones públicas a las que se presta servicios, aunque no estuviese regulada en el Pliego o Contrato, tendría carácter obligatorio, al ser un requisito legal impuesto por el ENS.
  • 23 Agosto, 2021
  • Olga Martínez
  • Blog
  • 10 min
Volver al blog