El Esquema Nacional de Seguridad (ENS) es una herramienta regulatoria que se creó para garantizar la seguridad en el uso de medios electrónicos y digitales entre ciudadanos y las Administraciones Públicas en España. Hoy en día es necesario adaptarse a esta nueva legislación para cualquier empresa privada que quiera trabajar con la administración pública en nuestro país. Te contamos hoy como comenzar el proceso de certificación Esquema Nacional de Seguridad en España.
En CTMA Consultores te asesoramos para que tu empresa se adapte a los aspectos necesarios y requisitos que marca el ENS para conseguir la certificación Esquema Nacional de Seguridad.
En el ENS se establecen:
- Los objetivos y principios de la protección digital administrativa.
- Requisitos mínimos en gestión de riesgos.
- Prevención de ciberamenazas.
- Identificación y autenticación.
- Integridad y disponibilidad de la información.
- Gestión de incidentes.
- Direccionamiento estratégico de la seguridad de la información.
- Afecta a todo el sector público.
¿A quién afecta el ENS?
Su ámbito de aplicación comprende todo el sector público y sistemas que tratan información clasificada, así como el sector privado que presta servicios o provee soluciones a la Administración Pública.
Para implantar el ENS se necesita la planificación de un Plan director de seguridad de la información y un Plan de Implantación para adaptar los sistemas y servicios a sus requisitos que éste marca.
Además, es imprescindible una auditoría periódica para verificar que se cumplen las putas del ENS en todo momento.
El Centro Criptológico Nacional (CCN) es el encargado de la acreditación y certificación del cumplimiento del Esquema Nacional de Seguridad de organismos públicos o entidades privadas.
Marco regulatorio del ENS
El objetivo del Esquema Nacional de Seguridad es establecer medidas de seguridad en los sistemas que manejan información sensible.
Su marco regulatorio comienza con el Real Decreto 3/2010 que se aprueba para garantizar la seguridad en el uso de medios electrónicos.
Posterior mente este marco legan se ha ido completando con la Ley 40/2015 de Régimen Jurídico del Sector Público y la Orden PRE/2740/2015.
¿Qué se busca con el ENS?
Los objetivos del ENS se centran en proteger los sistemas y servicios electrónicos utilizados por las Administraciones Públicas y sus usuarios.
Estos objetivos engloban diversas áreas, como la gestión de riesgos, la prevención, detección y corrección de ciberamenazas, la identificación y autenticación, la integridad y disponibilidad de la información, la gestión de incidentes de seguridad y el direccionamiento estratégico de la seguridad de la información.
Podríamos resumir sus objetivos específicos en:
- Garantizar la seguridad en la utilización de medios electrónicos por parte de las Administraciones Públicas.
- Proteger los sistemas que tratan información clasificada.
- Garantizar la seguridad en la prestación de servicios públicos electrónicos a ciudadanos y empresas.
- Establecer medidas de seguridad específicas para la protección de datos personales.
- Asegurar la continuidad del servicio ante situaciones de emergencia o incidencias de seguridad.
Los requisitos mínimos del ENS
En la legislación concerniente al ENS se establecen los requisitos mínimos que debe cumplir cualquier organización pública o privada que quiera prestar servicios o proveer a la Administración Pública si se quiere conseguir la correspondiente acreditación.
Estos son:
– Tener un Plan Director de seguridad de la información.
– Aprobar un Plan de Implantación que permita adaptar los sistemas y servicios a los requisitos del ENS.
– Tener auditorías periódicas de seguridad para verificar el cumplimiento de los requisitos.
– Asignar responsabilidades y competencias en materia de seguridad de la información.
– Elaborar y mantener un inventario de activos de información.
– Definir las de medidas de seguridad técnicas, organizativas y de control de acceso.
Proceso de implantación del ENS
El proceso de implantación del Esquema Nacional de Seguridad (ENS) en una organización se divide en tres fases: la elaboración del Plan Director de Seguridad de la Información, la elaboración del Plan de Implantación y la realización de auditorías periódicas de seguridad.
Plan Director de Seguridad de la Información
El Plan Director de Seguridad de la Información es el documento que establece los objetivos, principios y estrategias de seguridad de la información de la organización.
Este documento debe incluir una descripción detallada de los sistemas de información que se van a proteger y debe tener en cuenta la normativa en materia de seguridad de la información, como la Ley de Protección de Datos.
El Plan Director de Seguridad de la Información debe contener una descripción de los principales riesgos a los que está expuesta la organización, una evaluación de la importancia de los sistemas de información, las medidas de seguridad que se van a aplicar y los procedimientos de gestión de incidentes de seguridad.
Plan de Implantación del ENS
Una vez que se ha elaborado el Plan Director de Seguridad de la Información, se debe proceder a la elaboración del Plan de Implantación del ENS. En él se establecen las medidas técnicas y organizativas necesarias para proteger los sistemas de información de la organización.
El Plan de Implantación del ENS debe contener un análisis de riesgos y vulnerabilidades de los sistemas de información, así como las medidas técnicas de seguridad que se van a adoptar para protegerlos.
También se deben establecer los procedimientos de gestión de incidentes de seguridad y los protocolos de actuación en caso de que se produzcan incidentes.
Auditoría periódica de seguridad
La auditoría periódica de seguridad es necesaria para verificar el cumplimiento del ENS y para detectar posibles vulnerabilidades en los sistemas de información de la organización.
La auditoría periódica de seguridad debe incluir una evaluación de los sistemas de información y una verificación del cumplimiento de las medidas de seguridad establecidas en el Plan de Implantación del ENS, así como la identificación de posibles riesgos y vulnerabilidades.
En caso de detectar alguna deficiencia, se deben establecer medidas correctivas y procedimientos de gestión de incidentes de seguridad.
Acreditación por el Centro Criptológico Nacional
El Centro Criptológico Nacional (CCN) es un organismo que ejerce como autoridad criptológica nacional y es responsable de la ciberseguridad del Estado español.
Dentro de sus competencias se encuentra la acreditación y la certificación del cumplimiento del Esquema Nacional de Seguridad (ENS).
Pero para llegar a ese momento necesitas de una buena asesoría para comenzar el proceso de certificación del cumplimiento del ENS. Habla con CTMA Consultores y empieza a prepararlo todo.