Esquema Nacional de Seguridad certificación
El Esquema Nacional de Seguridad (ENS), en términos generales, es una ley de obligado cumplimiento para las Administraciones Públicas y proveedores de servicios a las AAPP que establece las condiciones necesarias para la confianza en el uso de los medios electrónicos.
Más información relacionada en nuestros artículos: Esquema Nacional de Seguridad, qué es el Esquema Nacional de Seguridad.
Conocer y entender esta norma es fundamental, ya que, es obligatoria para todas las Administraciones Públicas que se relacionan con los ciudadanos por medios electrónicos, de forma directa o indirecta, es decir para todas, así como para todas las empresas que contraten con la Administración, esto es, la gran mayoría.
La certificación del ENS es la constancia de conformidad con lo establecido en el ENS, que se evidencia a través de auditorías aplicadas a los sistemas de información de las entidades involucradas.
¿En qué consiste la certificación del esquema nacional de seguridad?
La certificación del ENS es la constancia de conformidad con lo establecido en el ENS, que se evidencia a través de auditorías aplicadas a los sistemas de información de las entidades involucradas.
Cuales son los requisitos mínimos del esquema nacional de seguridad
Los requisitos mínimos del ENS se definen en los artículos 12 a 27 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, RD 311/2022):
Artículo 13: Organización e implantación del proceso de seguridad.
Artículo 14: Análisis y gestión de los riesgos.
Artículo 15: Gestión de personal.
Artículo 16: Profesionalidad.
Artículo 17: Autorización y control de los accesos.
Artículo 18: Protección de las instalaciones.
Artículo 19: Adquisición de productos de seguridad y contratación de servicios de seguridad.
Artículo 20: Mínimo privilegio.
Artículo 21: Integridad y actualización del sistema.
Artículo 22: Protección de la información almacenada y en tránsito.
Artículo 23: Prevención ante otros sistemas de información interconectados.
Artículo 24: Registro de la actividad y detección de código dañino.
Artículo 25: Incidentes de seguridad.
Artículo 26: Continuidad de la actividad.
Artículo 27: Mejora continua del proceso de seguridad.
¿Quién tiene que realizar las auditorías y cuando?
En cuanto a la realización de auditorías de seguridad, el CCN-STIC-809, establece: el equipo auditor, que puede pertenecer o no a la entidad de certificación, deberá estar compuesto por profesionales (Auditor Jefe , auditores, y expertos técnicos) que garantice que se dispone de los conocimientos suficientes, de acuerdo al alcance establecido, para asegurar la adecuada y ajustada realización de la auditoría y que forme parte de una entidad de certificación del ENS acreditada según se indica en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad” y en la guía “CCN-STIC-809 de declaración y certificación de conformidad con el ENS y distintivos de cumplimiento”. En el Anexo A se establecen unos requisitos mínimos para los integrantes del equipo de auditoría.
En términos generales, la guía establece que las auditorías del ENS deben realizarse al menos una vez cada dos años. Además, se deben realizar auditorías adicionales en caso de cambios significativos en los sistemas de información o en el entorno en el que se desarrollan.
Proceso de adecuación al Esquema Nacional de Seguridad
El proceso de adecuación al Esquema Nacional de Seguridad (ENS) es un conjunto de fases que deben ser completadas para obtener la certificación y conformidad con el ENS. El proceso de adecuación consta de cinco fases:
Política de seguridad: En esta fase se establece la política de seguridad que se aplicará a los sistemas de información que se van a certificar. La política de seguridad debe ser coherente con los objetivos de seguridad del ENS y debe ser aprobada por la dirección del organismo.
Categorización de sistemas: En esta fase se identifican los sistemas de información que se van a certificar y se clasifican en función de su nivel de seguridad. La categorización se realiza en función de la información que manejan los sistemas y del impacto que tendría una posible brecha de seguridad.
Análisis de riesgos: En esta fase se realiza un análisis de riesgos de los sistemas de información que se van a certificar. El análisis de riesgos tiene como objetivo identificar las amenazas y vulnerabilidades que pueden afectar a los sistemas y establecer medidas de seguridad para mitigar los riesgos.
Conoce las técnicas de Magerit y Pilar: Magerit vs Pilar.
Declaración de aplicabilidad/perfil de cumplimiento: En esta fase se establecen las medidas de seguridad que se van a implementar en los sistemas de información que se van a certificar. Estas medidas se establecen en función de los resultados del análisis de riesgos y de la categorización de los sistemas.
Plan de adecuación: En esta fase se elabora un plan de adecuación que incluye las cuatro fases anteriores. El plan de adecuación debe ser aprobado por la dirección del organismo y debe ser revisado y actualizado periódicamente.
Fases de implantación del esquema nacional de seguridad
La implantación del ENS consta de varias fases que deben ser completadas para obtener la certificación y conformidad con el ENS. A continuación se detallan las fases de implantación del ENS:
Definir una política de seguridad: En esta fase se establece la política de seguridad que se aplicará a los sistemas de información que se van a certificar. La política de seguridad debe ser coherente con los objetivos de seguridad del ENS y debe ser aprobada por la dirección del organismo.
Definir el conjunto de recursos técnicos, organizativos, humanos y procedimentales sujetos al ENS: En esta fase se identifican los sistemas de información que se van a certificar y se clasifican en función de su nivel de seguridad. La categorización se realiza en función de la información que manejan los sistemas y del impacto que tendría una posible brecha de seguridad.
Catalogación de los tipos de información según tipos y niveles: En esta fase se realiza un análisis de riesgos de los sistemas de información que se van a certificar. El análisis de riesgos tiene como objetivo identificar las amenazas y vulnerabilidades que pueden afectar a los sistemas y establecer medidas de seguridad para mitigar los riesgos.
Definir y asignar responsables de velar por el cumplimiento de la política de seguridad de la organización: En esta fase se establecen las medidas de seguridad que se van a implementar en los sistemas de información que se van a certificar. Estas medidas se establecen en función de los resultados del análisis de riesgos y de la categorización de los sistemas.
Evaluar la eficacia de las medidas adoptadas: En esta fase se elabora un plan de adecuación que incluye las cuatro fases anteriores. El plan de adecuación debe ser aprobado por la dirección del organismo y debe ser revisado y actualizado periódicamente.
Mantener el sistema actualizado: Una vez completadas las cinco fases del proceso de adecuación, se puede proceder a la certificación y conformidad con el ENS. La certificación y conformidad con el ENS conlleva la elaboración previa de un Plan de Adecuación que incluya las cinco fases previas: Política de Seguridad, Definir el conjunto de recursos técnicos, organizativos, humanos y procedimentales sujetos al ENS, Catalogación de los tipos de información según tipos y niveles, Definir y asignar responsables de velar por el cumplimiento de la política de seguridad de la organización, y Evaluar la eficacia de las medidas adoptadas.
¿Cuánto dura la certificación del esquema nacional de seguridad?
En cuanto a la duración de la certificación ENS, es de dos años naturales. La certificación contra el RD 311/2022, que regula el ENS, puede llevarse a cabo desde el 1 de diciembre de 2022.
Certifícate en el ENS esquema nacional de seguridad con SEIFTI
Con Seifti y nuestro equipo de auditores le ayudará a llevar a cabo una auditoría interna para que pueda certificarse en el Esquema Nacional de Seguridad – ENS.
¿Quieres incrementar tus posibilidades de acceso a la venta de tus servicios a la Administración Pública?
En Seifti contamos con un equipo experto para certificar a entidades en el ENS.
Nuestro equipo le asistirá en el uso, propósito y aplicación de esta certificación de seguridad de manera que cumpla con los requisitos del ENS, introduciendo a la terminología aplicable al ENS y ayudándoles a determinar el alcance del Sistema de Gestión de la Seguridad de la Información
No Comments