La transformación digital del sector público ha hecho que se implanten una serie de medidas organizativas y técnicas de seguridad que sirvan para proteger la información manejada y los servicios prestados, proporcionadas a los riegos provocados por acciones malintencionadas o ilícitas, particularmente de las ciberamenazas, errores o fallos y accidentes o desastres.
Para dar respuesta a todo lo anterior, el artículo 156 de la Ley 40/2015 recoge el Esquema Nacional de Seguridad (ENS) que tiene por objeto establecer la política de seguridad en la utilización de medios. El ENS define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de los sistemas de información.
El origen del ENS es el artículo 42 de la Ley 11/2007, pero se concretó su necesidad en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Este Real Decreto fue modificado por el Real Decreto 951/2015, para actualizarlo en base al conocimiento adquirido y la situación actual, incluido un nuevo escenario de ciberamenazas, resultado de la evolución tecnológica y del contexto regulatorio internacional y europeo.
El Esquema Nacional de Seguridad pretende conseguir la confianza de los usuarios y de las organizaciones ante el uso de medios electrónicos. Para ello se establecen medidas específicas para la seguridad de:
- Sistemas (medios electrónicos).
- Datos.
- Comunicaciones.
- Servicios electrónicos.
Dimensiones de la Seguridad en el ENS
El Esquema Nacional de Seguridad trabaja en la 5 dimensiones para asegurar la seguridad de la información.
- Confidencialidad
- Integridad
- Disponibilidad
- Autenticidad
- Trazabilidad
Confidencialidad, Integridad y Trazabilidad (CID) son comunes con ISO27001. Todas estas dimensiones se consiguen con 75 medidas de seguridad:
- 4 medidas aplicadas al marco organizativo global de la seguridad
- 31 medidas aplicadas en el marco operacional para proteger la operación del sistema.
- 40 medidas de protección para activos concretos (instalaciones, equipos, comunicaciones,…)
Principios básicos
El ENS persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas. Se desarrollará y perfeccionará en paralelo a la evolución de los mismos y de las infraestructuras que lo apoyan. Los principios básicos con los que cuenta son:
- Seguridad como un proceso integral
- Gestión de la Seguridad basada en los riesgos
- Prevención, reacción y recuperación.
- Líneas de defensa
- Reevaluación periódica
- Función diferenciada
¿Quién debe cumplir con los requisitos del esquema nacional de seguridad?
- La Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
- Las empresas que dan servicios a las Administraciones Públicas.
- Los ciudadanos en sus relaciones con las Administraciones Públicas.
- Las relaciones entre las distintas Administraciones Públicas.
Beneficios de Certificarse en ENS
- Garantía de productos certificados y de calidad.
- Cumplimiento con los requisitos legales para las Administraciones Públicas.
- Logra mayor confianza entre los usuarios en el uso de medios electrónicos.
- Establecimiento de un lenguaje común de peligrosidad.
- Utilización de guías e instrumentos para la Seguridad de la Información.
El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos:
- Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos, a las empresas y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- Promover un cambio en las medidas organizativas y en los procesos de las empresas que trabajan para las Administraciones Públicas.
- Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
- Introducir los elementos comunes que han de guiar la actuación de las empresas privadas y las Administraciones públicas en materia de seguridad de las tecnologías de la información.
- Aportar un lenguaje común para facilitar la interacción de las empresas y las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.
- Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
- Facilitar un tratamiento continuado de la seguridad.
¿Qué elementos forman en Esquema Nacional de Seguridad?
- Los principios básicos a considerar en las decisiones en materia de seguridad (arts. 4-10).
- Los requisitos mínimos que permitan una protección adecuada de la información (arts. 11-26).
- El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (arts. 27, 43, 44, Anexo I y Anexo II).
- El uso de infraestructuras y servicios comunes (art. 28).
- Las guías de seguridad (art. 29).
- Las instrucciones técnicas de seguridad (art. 29 y disposición adicional cuarta).
- Las comunicaciones electrónicas (arts. 31 a 33)
- La auditoría de la seguridad (art. 34 y Anexo III).
- La respuesta ante incidentes de seguridad (arts. 36 y 37).
- El uso de productos certificados (art. 18., Anexo II y Anexo V).
- La conformidad (art. 41).
- La formación y la concienciación (disposición adicional primera).
¿En qué consiste?
El Esquema Nacional de Seguridad consiste en aplicar una serie de medidas predeterminadas para adaptar la administración pública a la política de seguridad y, posteriormente, velar por la continuidad de su aplicación a través de auditorías periódicas.
Nexus Integra y el Esquema Nacional de Seguridad
Nexus Integra es la plataforma de operaciones integrada segura para empresas industriales y entidades públicas. La plataforma está en proceso de certificación en el Esquema Nacional de Seguridad (ENS) con Renato Aquilino Pujol de LAW&TECH CRITERIA S.L., garantizando de esta forma la seguridad de la información tratada, protegiendo al usuario de ciberataques y otros riesgos.
Si necesitas más información no dudes en ponerte en contacto con nosotros.