Si necesita implantar el Esquema Nacional de Seguridad (ENS) en su empresa en Grupo ACMS Consultores podemos asesorarle.
Índice de Contenidos
1. ¿Qué es el Esquema Nacional de Seguridad?
El Esquema Nacional de Seguridad (ENS) es un conjunto de medidas y políticas de seguridad de la información, establecidas por el Gobierno de España, con el fin de garantizar la protección de los sistemas, datos e información de las diferentes Administraciones Públicas españolas.
El ENS está regulado por el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, y se establecen las medidas de seguridad aplicables a los sistemas y servicios de la información utilizados por dicha Administración.
El objetivo principal del ENS es asegurar la protección de los sistemas de información, garantizando la disponibilidad, confidencialidad, integridad y autenticidad de los mismos, así como la protección de los derechos y libertades de las personas físicas. De esta manera, se busca establecer un marco común de seguridad para todas las administraciones públicas españolas, que permita prevenir y mitigar los riesgos de seguridad asociados al uso de las tecnologías de la información.
Es importante destacar que el cumplimiento del ENS es obligatorio para las Administraciones Públicas y sus proveedores.
Existen diversas medidas de Seguridad recogidas en el ENS, que se dividen en 3 grupos (Anexo II del Real Decreto 311/2022):
- Marco organizativo: las medidas son acerca de la política de seguridad, Los procedimientos y normas de seguridad, los procesos sobre autorizaciones, etc.
- Dentro del marco operacional se aprecian medidas sobre la planificación, análisis de riesgos, control de accesos, la continuidad del servicio, la monitorización de los sistemas, etc…
- Las medidas para la protección son varias para proteger instalaciones e infraestructuras, gestión del personal, servicios, comunicaciones, soportes de información, etc
2. ¿Dónde se regula el Esquema Nacional de Seguridad?
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad sustituye al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
3. Objetivos del Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad, actualizado en 2022, pretende cumplir tres objetivos:- Alinear el ENS con el marco normativo y el contexto estratégico existente para garantizar la seguridad en la administración digital. Se trata de reflejar con claridad el ámbito de aplicación del ENS en beneficio de la ciberseguridad y de los derechos de los ciudadanos.
- Introducir la capacidad de ajustar los requisitos del ENS, para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza que presentan una multiplicidad de entidades o servicios en cuanto a los riesgos a los que están expuestos sus sistemas de información y sus servicios.
- Facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua mediante la revisión de los principios básicos, de los requisitos mínimos y de las medidas de seguridad.
El objeto último de la seguridad de la información, como se define en el Esquema de Seguridad Nacional es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:
- Seguridad como proceso integral.
- Gestión de la seguridad basada en los riesgos.
- Prevención, detección, respuesta y conservación.
- Existencia de líneas de defensa.
- Vigilancia continua.
- Reevaluación periódica.
- Diferenciación de responsabilidades.
4. ¿Cómo se implanta el Esquema Nacional de Seguridad?
Lo primero que se debe analizar y tener en cuenta a la hora de implantar el Esquema Nacional de Seguridad es la categorización de la seguridad de los sistemas de información, tal y como se describe en el Anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad el marco regulatorio vigente en materia de Esquema Nacional de Seguridad.
Esto se realizará teniendo en cuenta las 5 dimensiones de la seguridad: Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad de la información.
Así se definen 3 niveles de Seguridad: Bajo, Medio y Alto
Y a partir de aquí, se definen tres categorías de seguridad: BÁSICA, MEDIA y ALTA.
- Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad ALTO.
- Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad MEDIO, y ninguna alcanza un nivel de seguridad superior.
- Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos se aplicarán las medidas de seguridad indicadas en el Anexo II, en el cual se incluye una Tabla con la correspondencia de Medidas de Seguridad a aplicar por cada uno de los Marcos definidos (organizativo, operacional y medidas de protección) en función de las dimensiones de seguridad, la Categoría de seguridad del sistema.
Si necesita asesoramiento para implantar el ENS en su organización en Grupo ACMS Consultores podemos asesorarle.
ISO 27001 Seguridad de la Información
ISO 20000 Tecnologías de la Información
RGPD -GDPR- Protección de Datos
ISO 22301 Gestión Continuidad del Negocio
ISO 27032 Gestión de la Ciberseguridad
