La Ley 11/2007 + el ENS + el ENI eran absolutamente necesarios y lo mejor de todo ................. hay mucho trabajo por delante.
POSITIVAS.
- Es importante que la Administración española termine el camino iniciado con la Ley 11/2007. Había tantas indefiniciones como buenas intenciones.
- Posiblemente sea mucho más importante que los organismos encargados de auditar a la propia administración, ya tengan un marco de referencia válido para medir el grado de cumplimiento de la Ley 11/2007
MENOS POSITIVAS.
- El ENS me parece demasiado orientado a la "medida en concreto" y poco a la gestión general.
- Me falta algo que para mi es muy importante a la hora de transmitir el concepto de MEJORA CONTINUA: me falta el modelo PDCA
- Hay momentos en los que me da la sensación que se mezclan cosas muy técnicas con temas organizativos.
- Hay un anexo solo para auditoría y hecho en falta uno dedicado a métricas.
- Urgen las guías del CCN-CERT sobre el ENS, y que sean públicas claro.
- El Esquema Nacional de Interoperabilidad no tiene la misma claridad y definición que el de Seguridad. En el ENI faltan demasiadas normas técnicas que publicar.
PREGUNTAS.
- ¿La Administración tiene intención de crear algún tipo de sello o certificación de cumplimiento del ENS?.
- ¿Se va a exigir certificación ISO 27001 u otras certificaciones a empresas proveedoras de tecnología, servicios etc?.
- ¿Por qué no apostamos por MAGERIT ya metidos en faena?. No solo es una buena metodología, es que además tiene su propia herramienta para realizar el análisis: PILAR.
