Esquema nacional de seguridad 2022
¿Qué es el esquema nacional de seguridad ENS?
El Esquema Nacional de Seguridad (ENS) es una normativa que se aplica a todo el Sector Público, así como a los proveedores que colaboran con la Administración, ofreciendo un marco común de principios básicos, requisitos y medidas de seguridad para una protección adecuada de la información tratada y los servicios prestados. El ENS es obligatorio para todas las entidades del sector público, incluyendo las universidades públicas y los órganos colegiados con competencias en materia de administración electrónica.
El ENS se creó con la necesidad de establecer aspectos y metodologías comunes relativas a la seguridad en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, con el fin de crear las condiciones de confianza necesarias para que los ciudadanos usen estos medios en el cumplimiento y ejercicio de sus deberes y derechos.
Más información relacionada en nuestros artículos: Esquema Nacional de Seguridad.
El artículo 2 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, RD 311/2022) establece:
El ENS está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
Los objetivos fundamentales del Esquema Nacional de Seguridad (ENS) se resumen de la siguiente manera:
- Establecer las condiciones esenciales para generar confianza en el uso de medios electrónicos, permitiendo a los ciudadanos y a las Administraciones Públicas ejercer derechos y cumplir deberes a través de estos canales.
- Implementar elementos y metodologías comunes que orienten la actuación de las Administraciones Públicas en lo que respecta a la seguridad de las tecnologías de la información.
- Proporcionar un lenguaje estandarizado que facilite la interacción entre las Administraciones Públicas y permita comunicar de manera clara los requisitos de seguridad de la información a la industria.
En resumen, el ENS establece la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permiten una protección adecuada de los sistemas de información, servicios y su información.
¿Quién necesita el ENS?
El Esquema Nacional de Seguridad (ENS) se ha erigido como un pilar esencial en el entorno digital, siendo una referencia clave para garantizar la seguridad de la información en las Administraciones Públicas y otras entidades que operan en el ámbito electrónico. Su relevancia no se limita únicamente a un sector específico, sino que abarca a aquellos que reconocen la importancia de salvaguardar la integridad, confidencialidad y disponibilidad de la información en un mundo cada vez más interconectado.
- Administraciones Públicas:
En relación con la adecuación al ENS, las entidades gubernamentales son destinatarias primordiales del ENS, ya que este establece principios y requisitos mínimos para garantizar la seguridad de la información en sus operaciones electrónicas. Las Administraciones Públicas necesitan implementar el ENS para generar confianza en el uso de medios electrónicos, permitiendo a los ciudadanos el ejercicio de derechos y el cumplimiento de deberes de manera segura y eficiente.
- Empresas e Industrias:
Las empresas que interactúan con las Administraciones Públicas o gestionan información crítica también se benefician del ENS. Este esquema proporciona un marco común de referencia que facilita la comunicación y comprensión de los requisitos de seguridad. Las empresas que desean participar en contratos con el sector público o colaborar en proyectos gubernamentales deben adecuarse al ENS para garantizar la protección de la información.
- Organizaciones que Manejan Datos Sensibles:
Cualquier entidad que maneje información sensible, ya sea personal, financiera o de otro tipo, encuentra en el ENS una guía valiosa. Este esquema establece principios como la gestión de riesgos y la seguridad integral, proporcionando un enfoque estructurado para proteger datos críticos y mantener la confianza de los usuarios y clientes.
- Profesionales de la Seguridad Informática:
Los expertos en seguridad informática y tecnologías de la información encuentran en el ENS un referente técnico y metodológico. Este esquema no solo les brinda un marco de actuación sólido, sino que también les permite comprender las directrices comunes que deben seguir en sus labores diarias para mantener un entorno seguro.
- Ciudadanos Conscientes de la Seguridad:
Los ciudadanos que utilizan servicios electrónicos, desde trámites gubernamentales hasta transacciones en línea, se benefician indirectamente del ENS. Este esquema garantiza que los servicios digitales sean seguros y fiables, ofreciendo a los ciudadanos la confianza necesaria para participar activamente en la era digital.
En conclusión, el Esquema Nacional de Seguridad no es exclusivo de un grupo selecto, sino que se erige como un recurso valioso para cualquier entidad o individuo que reconozca la importancia de preservar la seguridad en el entorno digital. Desde las Administraciones Públicas hasta las empresas y los ciudadanos, todos encuentran en el ENS una herramienta esencial para navegar por el mundo digital de manera segura y eficiente.
Principios del esquema nacional de seguridad
El Esquema Nacional de Seguridad (ENS) se compone de principios fundamentales y requisitos mínimos necesarios para garantizar una protección adecuada de la información. Su objetivo es asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de datos, información y servicios gestionados electrónicamente en el ejercicio de las competencias correspondientes.
La proporcionalidad es un principio clave en el ENS, ya que implica la categorización de los sistemas de información para determinar las medidas de seguridad. Estas deben ajustarse a la naturaleza de la información, los servicios proporcionados y los riesgos a los que están expuestos.
Los principios básicos del ENS sirven como puntos de referencia para la toma de decisiones, enfocados en garantizar la seguridad de la información y los servicios. La seguridad de la información tiene como objetivo último asegurar que una organización administrativa pueda alcanzar sus objetivos utilizando sistemas de información.
En las decisiones relacionadas con la seguridad, es esencial considerar los siguientes principios básicos:
- Seguridad integral.
- Gestión de riesgos (Conoce las técnicas de Magerit y Pilar: Magerit vs Pilar.
- Prevención, reacción y recuperación.
- Líneas de defensa.
- Reevaluación periódica.
- Función diferenciada.
Los principios del ENS guían la implementación de medidas de seguridad para fortalecer la protección de la información y los servicios, garantizando una gestión eficiente y segura de los sistemas de información.
La estructura organizativa debe designar cuatro roles fundamentales:
- Encargado de la gestión de la información.
- Encargado de la prestación del servicio.
- Encargado de la seguridad.
- Encargado del sistema.
Es importante señalar que en la versión previa del Esquema Nacional de Seguridad (ENS), no se consideraba obligatorio el último rol mencionado. Además, es relevante destacar que el responsable de la seguridad será diferente al responsable del sistema, a menos que existan excepciones debidamente justificadas.
Novedades del ENS Real Decreto 2022
A pesar de mantenerse los requisitos mínimos, se destacan algunos cambios significativos:
- Organización e implantación del proceso de seguridad: Se incluye la figura del Punto o Persona de Contacto (POC) en servicios externalizados. El POC supervisa los requisitos de seguridad, gestionando comunicaciones relacionadas con la seguridad de la información y los incidentes para el ámbito del servicio prestado.
- Mínimo privilegio: Se modifica el concepto de «Seguridad por Defecto», ajustando los requisitos para configurar los sistemas con los accesos mínimos necesarios para cumplir con las competencias requeridas.
- Prevención ante sistemas de información interconectados: Se hace referencia a la Ley General de Telecomunicaciones (9/2014) para abordar la prevención ante otros sistemas de información interconectados.
- Incidentes de Seguridad: Se establece que, en el caso de ser un operador crítico, se debe tener en cuenta el Real Decreto 43/2021, de 26 de enero, que desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, sobre seguridad de redes y sistemas de información.
Se amplía y determina la necesidad del sector público de comunicar los incidentes con impacto significativo en la seguridad al CCN.
Se especifica que para la certificación del ENS en los niveles medio y alto se requiere auditoría formal, mientras que en nivel bajo únicamente una autoevaluación.
Principales cambios en el marco operacional y en las medidas de protección.
Certifícate en el ENS esquema nacional de seguridad con SEIFTI
Con Seifti y nuestro equipo de auditores le ayudará a llevar a cabo una auditoría interna para que pueda certificarse en el Esquema Nacional de Seguridad – ENS.
¿Quieres incrementar tus posibilidades de acceso a la venta de tus servicios a la Administración Pública?
En Seifti contamos con un equipo experto para certificar a entidades en el ENS.
Nuestro equipo le asistirá en el uso, propósito y aplicación de esta certificación de seguridad de manera que cumpla con los requisitos del ENS, introduciendo a la terminología aplicable al ENS y ayudándoles a determinar el alcance del Sistema de Gestión de la Seguridad de la Información
No Comments