Esquema Nacional de Seguridad

Esquema Nacional de Seguridad

Esquema Nacional de Seguridad

Qué es el esquema nacional de seguridad

El Esquema Nacional de Seguridad (ENS) es un conjunto de principios básicos, requisitos y medidas de seguridad que se aplican a todo el sector público y a los proveedores que colaboran con la administración.

 

El artículo 2 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, RD 311/2022) establece:

 

El ENS está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.

 

En resumen, el ENS establece la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permiten una protección adecuada de los sistemas de información, servicios y su información.

 

 

Beneficios del esquema nacional de seguridad

 

  • Mejora de la seguridad de la información: El ENS establece una serie de medidas de seguridad que deben ser implementadas por las entidades públicas y privadas que manejan información clasificada. Estas medidas ayudan a mejorar la seguridad de la información y reducir los riesgos de fugas de datos, errores humanos, desastres naturales y ataques cibernéticos.

 

  • Reducción de riesgos: El ENS ayuda a las organizaciones a identificar y gestionar los riesgos asociados con la gestión de información clasificada. Esto permite a las organizaciones tomar medidas preventivas para reducir los riesgos y minimizar el impacto de cualquier incidente de seguridad.

 

  • Protección de los derechos de los ciudadanos: El ENS garantiza la protección adecuada de la información tratada y los servicios prestados por las entidades públicas, permitiendo el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos.

 

  • Requisito legal: El cumplimiento del ENS es un requisito legal para todas las entidades públicas y privadas que manejan información clasificada. El incumplimiento de estas obligaciones puede resultar en sanciones y multas.

 

 

 

 

Descarga nuestra Plantilla de la Política de Seguridad de la Información

 

 

 

Novedades del esquema nacional de seguridad

La última versión del ENS fue publicada en mayo de 2022, mediante el Real Decreto 311/2022. Esta nueva versión actualiza y amplía el marco normativo del ENS, con el objetivo de adaptarse a los nuevos retos y amenazas en materia de seguridad de la información.

El objetivo del nuevo texto es adaptar el Esquema Nacional de Seguridad (ENS) a las nuevas tendencias y necesidades de ciberseguridad, y garantizar la protección de los sistemas de información en las entidades de su ámbito de aplicación. Para ello, se han ajustado los requisitos a las necesidades, colectivos de entidades y ámbitos tecnológicos para una aplicación más eficaz y eficiente. Además, se han actualizado los principios básicos y las medidas de seguridad para facilitar una mejor respuesta a las nuevas tendencias y necesidades de ciberseguridad. El nuevo texto también establece mecanismos de respuesta y medidas de seguridad óptimas, dentro del marco jurídico, tecnológico, estratégico y de ciberamenazas actuales. Como nuevas medidas de seguridad, se han incluido las relativas a servicios en la nube, interconexión de sistemas, protección de la cadena de suministro, medios alternativos, vigilancia y otros dispositivos conectados a la red.

 

Aprende más en nuestro artículo esquema nacional de seguridad 2022.

 

 

¿En qué se basa el esquema nacional de seguridad – ENS?

El ENS se basa en la familia de estándares ISO 27000 y, más concretamente, en la ISO 27001. Su estructura y aplicación responde al modelo de Ciclo PDCA-Mejora continua, considerando análisis de riesgos e implantación de medidas/controles.

 

Descubre las buenas prácticas en seguridad de la información.

 

 

Ámbito de aplicación del esquema nacional de seguridad

El ENS se aplica a todas las entidades públicas y privadas que manejan información clasificada. 

 

El artículo 2 del RD 311/2022 establece:

 

  1. El presente real decreto es de aplicación a todo el sector público…

 

  1. Asimismo,este real decreto será de aplicación a los sistemas que tratan información clasificada, pudiendo resultar necesario adoptar medidas complementarias de seguridad, específicas para dichos sistemas, derivadas de los compromisos internacionales contraídos por España o de su pertenencia a organismos o foros internacionales.

 

  1. Este real decreto también se aplica a los sistemas de información de las entidades del sector privado, cuando, de acuerdo con la normativa aplicable y en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público para el ejercicio por éstas de sus competencias y potestades administrativas.

 

 

Principios del esquema nacional de seguridad

El ENS establece una serie de principios básicos que deben ser considerados en las decisiones en materia de seguridad. Estos principios están recogidos en el artículo 5 de la meritada normativa:

 

a) Seguridad como proceso integral.

 

b) Gestión de la seguridad basada en los riesgos.

 

c) Prevención, detección, respuesta y conservación.

 

d) Existencia de líneas de defensa.

 

e) Vigilancia continua.

 

f) Reevaluación periódica.

 

g) Diferenciación de responsabilidades.

 

 

Descarga nuestra Plantilla de la Política de Seguridad de la Información

Requisitos del esquema nacional de seguridad

El ENS establece los requisitos mínimos que deben cumplir las entidades públicas y privadas que manejan información clasificada. 

 

El RD 311/2022 establece que los requisitos mínimos que se deben incluir son:

 

a) Organización e implantación del proceso de seguridad.

 

b) Análisis y gestión de los riesgos.

 

Conoce las técnicas de Magerit y Pilar: Magerit vs Pilar.

 

c) Gestión de personal.

 

d) Profesionalidad.

 

e) Autorización y control de los accesos.

 

f) Protección de las instalaciones.

 

g) Adquisición de productos de seguridad y contratación de servicios de seguridad.

 

h) Mínimo privilegio.

 

i) Integridad y actualización del sistema.

 

j) Protección de la información almacenada y en tránsito.

 

k) Prevención ante otros sistemas de información interconectados.

 

l) Registro de la actividad y detección de código dañino.

 

m) Incidentes de seguridad.

 

n) Continuidad de la actividad.

 

ñ) Mejora continua del proceso de seguridad.

 

 

Categorías de sistemas en el Esquema Nacional de Seguridad

El ENS establece una categorización de sistemas en función de la información que manejan: sistemas de nivel básico, sistemas de nivel medio y sistemas de nivel alto. 

 

En términos generales, los sistemas de información se clasifican en estas tres categorías: BÁSICA, MEDIA y ALTA, para garantizar que los sistemas de información cumplan con los requisitos del Esquema Nacional de Seguridad (ENS), se deben realizar auditorías formales cada dos años para los sistemas de las categorías MEDIA y ALTA. Para los sistemas de la categoría BÁSICA también puede someterse a una auditoría formal si se desea.

 

 

Medidas de seguridad en el esquema nacional de seguridad

El ENS establece una serie de medidas de seguridad que deben ser implementadas por las entidades públicas y privadas que manejan información clasificada. Estas medidas incluyen la gestión de accesos, la gestión de identidades, la gestión de la seguridad de la red, la gestión de la seguridad de los sistemas, la gestión de la seguridad de la información y la gestión de la seguridad física.

 

Para la categoría BÁSICA, se requiere una autoevaluación cada dos años para verificar el cumplimiento de los requisitos del ENS. Sin embargo, un sistema de la categoría BÁSICA también puede someterse a una auditoría formal si se desea.

 

 

Auditoría de seguridad en el esquema nacional de seguridad

La auditoría del ENS permite evaluar las medidas implementadas para la correcta adecuación de una entidad al Esquema Nacional de Seguridad. 

 

Su objetivo es verificar si las acciones tomadas en las empresas cumplen con los requisitos establecidos por el ENS.

 

En este proceso, se comprueba la seguridad de los sistemas de información obligados al cumplimiento del RD 311/2022 y se evalúan las políticas y procedimientos de gobernanza implementados dentro de la organización.

 

 

Descarga nuestra Plantilla de la Política de Seguridad de la Información

 

 

Certifícate en el Esquema Nacional de Seguridad con SEIFTI

 

 

Con SEIFTI y nuestro equipo de auditores le ayudará a llevar a cabo una auditoría interna para que pueda certificarse en el Esquema Nacional de Seguridad – ENS

 

¿Quieres incrementar tus posibilidades de acceso a la venta de tus servicios a la Administración Pública? 

En SEIFTI contamos con un equipo experto para certificar a entidades en el ENS.

 

Nuestro equipo le asistirá en el uso, propósito y aplicación de esta certificación de seguridad de manera que cumpla con los requisitos del ENS, introduciendo a la terminología aplicable al ENS y ayudándoles a determinar el alcance del Sistema de Gestión de la Seguridad de la Información

No Comments

Post a Comment

Ir al contenido