ENS Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad (ENS) es un conjunto de principios básicos, requisitos y medidas de seguridad que se aplican a todo el sector público y a los proveedores que colaboran con la administración.
El objetivo del ENS es garantizar la protección adecuada de la información tratada y los servicios prestados por las entidades públicas, permitiendo el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos.
El ENS establece la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permiten una protección adecuada de los sistemas de información, servicios y su información.
El ENS se inspira en la familia de estándares ISO 27000 y, más concretamente, en la ISO 27001.
Obtén más información en el siguiente artículo: Esquema Nacional de Seguridad.
Introducción al Esquema Nacional de Seguridad
Como ya he mencionado, el ENS es un marco normativo que establece los principios básicos y requisitos mínimos que deben cumplir las entidades públicas y privadas que manejan información clasificada. Por ello, su principal misión es asegurar la correcta protección de los sistemas de información ante amenazas e incidencias internas y externas.
Los elementos principales del ENS son los siguientes:
- Los principios básicos a considerar en las decisiones en materia de seguridad (arts. 5-11).
- Los requisitos mínimos que permitan una protección adecuada de la información (arts. 12-27).
- El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (arts. 28, 40, 41, Anexo I y Anexo II).
- El uso de infraestructuras y servicios comunes (art. 29).
- Los perfiles de cumplimiento específicos (art. 30).
- El informe de estado de la seguridad (art. 32)
- La auditoría de la seguridad (art. 31 y Anexo III).
- La respuesta ante incidentes de seguridad (arts. 33 y 34).
- El uso de productos certificados (art. 19 y Anexo II).
- La conformidad (art. 38).
- La formación y la concienciación (disposición adicional primera).
- Las guías de seguridad (disposición adicional segunda).
- Las instrucciones técnicas de seguridad (disposición adicional segunda).
El Esquema Nacional de Seguridad (ENS) persigue los siguientes grandes objetivos:
- Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- Promover la gestión continuada de la seguridad.
- Promover la prevención, detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques.
- Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participen diversas entidades. Servir de modelo de buenas prácticas.
¿Qué beneficios supone para las organizaciones públicas y privadas el ENS?
El Esquema Nacional de Seguridad (ENS) ofrece una serie de beneficios a las organizaciones públicas y privadas que manejan información clasificada. Algunos de los beneficios más importantes son:
- Mejora de la seguridad de la información: El ENS establece una serie de medidas de seguridad que deben ser implementadas por las entidades públicas y privadas cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas.. Estas medidas ayudan a mejorar la seguridad de la información y reducir los riesgos de fugas de datos, errores humanos, desastres naturales y ataques cibernéticos.
- Reducción de riesgos: El ENS ayuda a las organizaciones a identificar y gestionar los riesgos asociados con la gestión de información clasificada. Esto permite a las organizaciones tomar medidas preventivas para reducir los riesgos y minimizar el impacto de cualquier incidente de seguridad.
- Protección de los derechos de los ciudadanos: El ENS garantiza la protección adecuada de la información tratada y los servicios prestados por las entidades públicas, permitiendo el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos.
- Requisito legal: El cumplimiento del ENS es un requisito legal para todas las entidades públicas y privadas que presten servicios a las entidades del sector público. El incumplimiento de estas obligaciones puede resultar en sanciones y multas.
En resumen, el ENS es una herramienta clave para mejorar la seguridad de la información y reducir los riesgos asociados con la gestión de información clasificada. Además, el cumplimiento del ENS es un requisito legal para todas las entidades públicas y privadas que manejan información clasificada.
Si quieres certificarte, infórmate con nuestro artículo esquema nacional de seguridad certificación.
¿Me aplica el ENS?
El artículo 2 Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, RD 311/2022), establece que el ámbito de aplicación del Esquema Nacional de Seguridad comprende a todo el Sector Público; a los sistemas que tratan información clasificada, sin perjuicio de la aplicación de la Ley 9/1968, de 5 de abril, de Secretos Oficiales; y a los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público para el ejercicio de sus competencias y potestades administrativas.
¿Qué persigue el ENS?
El ENS persigue garantizar la seguridad de la información y los servicios prestados por las entidades públicas, así como la protección de los derechos de los ciudadanos mediante la implantación de una serie de medidas de seguridad recogidas en el meritado RD 311/2022:
1. Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos se aplicarán las medidas de seguridad indicadas en este anexo, las cuales serán proporcionales a:
a) Las dimensiones de seguridad relevantes en el sistema a proteger.
b) La categoría de seguridad del sistema de información a proteger.
2. Las medidas de seguridad se dividen en tres grupos:
a) Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.
b) Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
c) Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
3. Selección de medidas de seguridad:
3.1 Para la selección de las medidas de seguridad se seguirán los pasos siguientes:
a) Identificación de los tipos de activos presentes.
b) Determinación de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el anexo I.
c) Determinación del nivel de seguridad correspondiente a cada dimensión de seguridad, teniendo en cuenta lo establecido en el anexo I.
d) Determinación de la categoría de seguridad del sistema, según lo establecido en el anexo I.
e) Selección de las medidas de seguridad, junto con los refuerzos apropiados, de entre las contenidas en este anexo, de acuerdo con las dimensiones y sus niveles de seguridad y para determinadas medidas de seguridad, de acuerdo con la categoría de seguridad del sistema.
La nueva versión del ENS (Esquema Nacional de Seguridad)
La última versión del ENS fue publicada en mayo de 2022, mediante el RD 311/2022. Esta nueva versión actualiza y amplía el marco normativo del ENS, con el objetivo de adaptarse a los nuevos retos y amenazas en materia de seguridad de la información.
Obtén más información sobre las novedades en nuestro artículo esquema nacional de seguridad 2022.
Certifícate en el ENS Esquema Nacional de Seguridad con SEIFTI
Con Seifti y nuestro equipo de auditores le ayudará a llevar a cabo una auditoría interna para que pueda certificarse en el Esquema Nacional de Seguridad – ENS.
¿Quieres incrementar tus posibilidades de acceso a la venta de tus servicios a la Administración Pública?
En Seifti contamos con un equipo experto para certificar a entidades en el ENS.
Nuestro equipo le asistirá en el uso, propósito y aplicación de esta certificación de seguridad de manera que cumpla con los requisitos del ENS, introduciendo a la terminología aplicable al ENS y ayudándoles a determinar el alcance del Sistema de Gestión de la Seguridad de la Información
No Comments