Esquema Nacional de Seguridad

  1. Inicio
  2. Seguridad información

Si desea información detallada sobre el Esquema Nacional de Seguridad, Grupo ACMS Consultores puede asesorarle.

El Esquema Nacional de Seguridad, regulado por primera vez mediante El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, y establecido en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, determina la política de seguridad en la utilización de medios electrónicos y es una normativa obligatoria para las Administraciones Públicas y sus proveedores.

Constituye los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.

Existen diversas medidas de Seguridad recogidas en el ENS, que se dividen en 3 grupos (Anexo II del Real Decreto 311/2022):

  • Marco organizativo: las medidas son acerca de la política de seguridad, Los procedimientos y normas de seguridad, los procesos sobre autorizaciones, etc. 
  • Dentro del marco operacional se aprecian medidas sobre la planificación, análisis de riesgos, control de accesos, la continuidad del servicio, la monitorización de los sistemas, etc…
  • Las medidas para la protección son varias para proteger instalaciones e infraestructuras, gestión del personal, servicios, comunicaciones, soportes de información, etc

El artículo 42 de la Ley 11/2007, de 22 Junio Acceso electrónico de los ciudadanos a los Servicios Públicos regula el Esquema Nacional de Seguridad aprobado a través del R.D. 3/2010, 8 de enero (BOE de 29 de enero) en el que se indica que:

El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Ambos Esquemas se elaborarán con la participación de todas las Administraciones y se aprobarán por Real Decreto del Gobierno, a propuesta de la Conferencia Sectorial de Administración Pública y previo informe de la Comisión Nacional de Administración Local, debiendo mantenerse actualizados de manera permanente.

En la elaboración de ambos Esquemas se tendrán en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes. A estos efectos considerarán la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.

Actualmente, es el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad el marco regulatorio vigente en materia de Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad, actualizado en 2022, pretende cumplir tres objetivos:

  • Alinear el ENS con el marco normativo y el contexto estratégico existente para garantizar la seguridad en la administración digital. Se trata de reflejar con claridad el ámbito de aplicación del ENS en beneficio de la ciberseguridad y de los derechos de los ciudadanos.
  • Introducir la capacidad de ajustar los requisitos del ENS, para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza que presentan una multiplicidad de entidades o servicios en cuanto a los riesgos a los que están expuestos sus sistemas de información y sus servicios. 
  • Facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua mediante la revisión de los principios básicos, de los requisitos mínimos y de las medidas de seguridad.

El objeto último de la seguridad de la información, como se define en el Esquema de Seguridad Nacional es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:

  1. Seguridad como proceso integral.
  2. Gestión de la seguridad basada en los riesgos.
  3. Prevención, detección, respuesta y conservación.
  4. Existencia de líneas de defensa.
  5. Vigilancia continua.
  6. Reevaluación periódica.
  7. Diferenciación de responsabilidades.

Lo primero que se debe analizar y tener en cuenta a la hora de implantar el Esquema Nacional de Seguridad es la Categorización de la seguridad de los sistemas de información, tal y como se describe en el Anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad el marco regulatorio vigente en materia de Esquema Nacional de Seguridad.

Esto se realizará teniendo en cuenta las 5 dimensiones de la seguridad: Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad de la información.

Así se definen 3 niveles de Seguridad: Bajo, Medio y Alto

Y a partir de aquí, se definen tres categorías de seguridad: BÁSICA, MEDIA y ALTA.

  • Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad ALTO.
  • Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad MEDIO, y ninguna alcanza un nivel de seguridad superior.
  • Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos se aplicarán las medidas de seguridad indicadas en el Anexo II, en el cual se incluye una Tabla con la correspondencia de Medidas de Seguridad a aplicar por cada uno de los Marcos definidos (organizativo, operacional y medidas de protección) en función de las dimensiones de seguridad, la Categoría de seguridad del sistema.


Si necesita asesoramiento para implantar el ENS en su organización consulte a nuestros técnicos de Grupo ACMS Consultores.

ISO 27001 SEGURIDAD DE LA INFORMACIÓN

ISO 20000 TECNOLOGÍAS DE LA INFORMACIÓN

RGPD -GDPR- PROTECCIÓN DE DATOS

ISO 22301 GESTIÓN CONTINUIDAD DEL NEGOCIO

ISO 27032 GESTIÓN DE LA CIBERSEGURIDAD

HACKING ÉTICO PROFESIONAL

ANÁLISIS FORENSE DIGITAL

ISO 33000 PROCESOS DE DESARROLLO SOFTWARE

LOPDGDD

Para poder enviar el formulario debe aceptar previamente la Cookies.
Política de privacidad y protección de datos
Responsable: Asistencia en calidad medio ambiente y servicios SL (ACMS) (CIF: B82029703)
Finalidad: Gestionar la solicitud realizada.
Legitimación: Consentimiento de la persona.
Destinatarios: Empresas del GRUPO ACMS.
Derechos: Enviándonos un correo a: proteccion-datos@grupoacms.com.
Acepto la política de tratamiento de mis datos
Quiero recibir información relacionada

Documentación Relacionada

Le ofrecemos la posibilidad de descargar de forma totalmente GRATUITA distintos documentos relacionados que le serán de interés.

Preguntas

Frecuentes

INFORMACIÓN SOBRE COOKIES
Utilizamos cookies propias y de terceros para obtener datos estadísticos de su navegación en esta web. Para su proposito debe aceptar el uso de cookies. INFORMACIÓN | ACEPTO