ENS Esquema Nacional de Seguridad

¿No sabes por dónde empezar? Calidad y Gestión te apoya en todo el proceso para cumplir con los requisitos. Obtén la certificación en el plazo que necesites.

Calidad y Gestión

Calidad y Gestión le ayuda en todo el proceso



servidores



ENS requisitos para obtener una protección idónea de la información

La legislación que regular el ENS es el Real Decreto 3/2010, de 8 de enero, en vigor factuamnete aunque fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

# Ley 11/2007

# Real Decreto 3/2010

# Real Decreto 951/2015

ENS se basa en la definición de una política de seguridad para facilitar el empleo de medios electrónicos estableciendo unos principios básicos y unos requisitos mínimos que garanticen una protección adecuada de la información.

La confianza de los usuarios

Conseguir la confianza de los usuarios cuando se relacionan con la administración mediante medios electrónicos es uno de los principales objetivos del Esquema Nacional de Seguridad. Para ello se establecen una seria de medidas enfocadas a mejorar:

#

La seguridad de los sistemas
(utilización de medios electrónicos)

#

La seguridad de los datos

#

La seguridad de las comunicaciones

#

La seguridad de los servicios electrónicos


¿Está preparado para las amenazas
en la de seguridad de la información?



edificios


¿Para quién es obligatorio el ENS?

A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.

A los ciudadanos en sus relaciones con las Administraciones Públicas.

A las relaciones entre las distintas Administraciones Públicas.

servidor en nube

¿A qué servicios afecta el ENS?

Sedes electrónicas.

Registros electrónicos.

Sistemas de Información accesibles electrónicamente por los ciudadanos.

Sistemas de Información para el ejercicio de derechos.

Sistemas de Información para recabar información y estado del procedimiento administrativo.

¿El ENS también afecta a las empresas externas?

Tomando en consideración que el Esquema Nacional de Seguridad no está restringido al tipo de sistema ni a su ubicación sino que afecta a todos los organismos públicos de forma independiente a estos factores, podemos deducir que también deben tenerse en cuenta los requisitos de seguridad cuando:

check

Subcontratamos o externalizamos un servicio

check

Desarrollamos alguna actividad específica en locales o dependencias no pertenecientes o propias de la administración.

Así pues, mientras un sistema de información preste servicios o desarrolle funciones necesarias para la administración electrónica de los servicios públicos, se le exige igualmente el cumplimiento de los requisitos del ENS ya sea que esta operado por terceros o que se desarrolla en dependencias externas a las AA.PP. Dicho de otra forma, la seguridad en el ámbito de la adminitración electrónica incluye a las empresas privadas que afecten a la seguridad de los servicios públicos.

¿Cuál es la relación del ENS con ISO 27001?

El Esquema Nacional de Seguridad y la norma UNE ISO/IEC 27001 aun siendo normas complementarias difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen

El esquema Nacional de Seguridad se constituye como un requisito jurídico de obligado cumplimiento y que contiene una serie de medidas concretas, mientras que la norma ISO 27001 se propone como un Sistema de Gestión de la Seguridad de la Información

Ambas normas tienen sin embargo, muchas cosas en común ya que los controles de seguridad considerados en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS

Las organizaciones que se encuentren certificadas en ISO 27001 tienen una base importante para obtener la conformidad con el ENS

Por otro lado, el ENS que trata la “protección” de la información y los servicios, contempla y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un sistema de gestión, por lo que se puede considerar que ISO 27001 puede ser un apoyo a todas las organizaciones ya sean públicas o privadas para un mejor entendimiento del proceso de mejora continua

Existen guías para analizar el cumplimiento del ENS basado en los controles de ISO 27001. Estas guías o tablas de correlación son un punto de partida, pero cada caso es diferente y por eso desde Calidad y Gestión analizamos su sistema ISO 27001 para hacer un plan de trabajo personalizado para cumplir con el Esquema Nacional de Seguridad minimizando el trabajo nuevo a realizar.



Si quiere saber su nivel de cumplimiento actual le hacemos un diagnóstico previo gratuito.



Diagnóstico cumplimiento gratuito

Esquema Nacional de Seguridad: Los Principos





CATEGORIZACION DE LOS SISTEMAS DE INFORMACION EN EL ENS

Como punto de partida el Esquema Nacional de Seguridad establece unos criterios para clasificar y categorizar los sistemas de información con el objetivo de establecer los criterios de aplicación de las distintas medidas y requisitos de protección de la información.



¿Cómo categorizar un Sistema de la Información según el Esquema Nacional de Seguridad?

Esta es una de las tareas quizás más importantes a la hora de implantar el ENS, pues de ello depende finalmente que medidas tanto operacionales como de protección de la información debemos adoptar

Nivel de impacto en la Seguridad de la Información en el ENS

Para establecer la categoría de un sistema de la información el ENS nos dice:

"La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas"

Para determinar el impacto de un incidente en la seguridad de la información se deben tener en cuenta como afectaría a:

Los objetivos del servicio o sistema de información

La protección de los activos implicados

El cumplimiento de las obligaciones del servicio

El cumplimiento de la legalidad vigente

El respeto a los derechos de las personas involucradas



¿Cómo categorizar un sistema de la información en la práctica?

Los parámetros para medir el impacto en la seguridad de la información deberemos considerar cómo el sistema de ver afectado en cada una de las dimensiones (tabla 1) en cuanto a su impacto sobre los niveles de Seguridad de la información

Dimensión en la Seguridad de la INFORMACION

Nivel de Impacto

  • # Disponibilidad
  • # Integridad
  • # Confidencialidad
  • # Autenticidad
  • # Trazabilidad
Nivel ALTO
Perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Nivel MEDIO
Perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

NIVEL BAJO
Perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.



Así podremos clasificar los sistemas
de la información dentro del ámbito del ENS en





Sistema Categoría ALTA

Cuando alguna de sus dimensiones de seguridad alcanza el nivel ALTO.

Sistema Categoría MEDIA

Cuando alguna de sus dimensiones alcanza el nivel MEDIO, y ninguna tiene nivel ALTO

Sistema categoría BÁSICA

cuando ninguna de sus dimensiones alcanza el nivel MEDIO o ALTO


REQUISITOS DE SEGURIDAD / PROTECCION DE LA INFORMACION

El ENS se compone de dos tipos de criterios o requisitos enfocados a los objetivos de la protección de la información.

seguridad

Principios básicos

Los principios Básicos en el ENS nos permiten establecer las pautas para guiar las acciones a emprender en materia de seguridad de la información



Los principios básicos contienen requerimientos que tienen en cuenta:

# La Seguridad Integral

# La Gestión de Riesgos

# La Prevención reacción y recuperación

# Las Líneas de Defensa

# Una Reevaluación periódica

# La Seguridad como función diferenciada





Requisitos mínimos del esquema nacional de seguridad

El ENS Establece una serie de requisitos mínimos que derivaran en una serie de "medidas de seguridad" concretas teniendo en cuenta:

# La categoría del Sistema de la información

# Los activos que constituyen el sistema

# Las decisiones que se tomen para tratar los riesgos identificados con la seguridad de la información





Los requisitos mínimos formaran parte de la política de Seguridad que será aprobada por el titular del órgano superior correspondiente de cada Administración Publica aplicando los siguientes requisitos

Organización e implantación del proceso de seguridad

Responsabilidades y comunicación de los requisitos

Análisis y gestión de los riesgos

Implantar un sistema de análisis y tratamiento de riesgos utilizando una metodología reconocida

Gestión de personal

Formación y concienciación del personal respecto a la seguridad de la información


Profesionalidad

Cualificación del personal relacionado con la seguridad y protección de la información

Autorización y control de los accesos

Restricciones de acceso y funciones a los distintos sistemas

Protección de las instalaciones

Controles de accesos y separación física de los sistemas


Adquisición de productos

Requisitos para la certificación de sistemas de información y productos adquiridos de forma externa

Seguridad por defecto

Requisitos para el control de la configuración de sistemas y el diseño de los mismos para considerar el principio de seguridad por defecto

Integridad y actualización del sistema

Procedimiento de autorizaciones previas a la instalación y actualización de sistemas


Protección de la información almacenada y en tránsito

Requisitos para entornos inseguros de almacenamiento de información (P ej. Equipos portátiles etc.)

Prevención ante otros sistemas de información interconectados

Requisitos de protección perimetral en la conexión a redes públicas

Registro de actividad

Requisitos para el registro de la actividad de los usuarios con la finalidad de detectar actividades indebidas


Incidentes de seguridad

Requisitos de implantación de sistemas de detección de código dañino

Continuidad de la actividad

Requisitos para la recuperación de la actividad después de un incidente en la seguridad de la información

Mejora continua del proceso de seguridad

Establecimiento de métodos de gestión que garanticen la continua revisión del sistema de seguridad para conseguir la mejora continua del mismo





De cada uno de estos requisitos se desprenderá el establecimiento de medidas concretas de protección de la información que podrán afectar en distintos niveles recogidos en el ENS:

Medidas a Nivel de la organización

Responsabilidades y comunicación de los requisitos

Nivel Operacional

Medidas de protección a nivel de la operación del sistema de la información (controles de acceso etc.)

Nivel de protección

Medidas para proteger activos concretos de información (protección de equipos, comunicaciones etc.)


CERTIFICACIÓN ENS: auditoria de seguridad

Finalmente para conseguir los objetivos se establece el requisito de realizar auditorías de seguridad periódicas que permitan garantizar el nivel de cumplimiento adecuado de los requisitos del ENS

Auditoria

¿Cómo obtengo el certificado del ENS?

  • # Disponer de una política de seguridad
  • # Disponer de una declaración de aplicabilidad con todos los controles aplicables
  • # Disponer del marco normativo necesaario: políticas, procedimientos, otros documentos...
  • # Cumplir con las medidas técnicas aplicables a la categoría del sistema de información
  • # Cumplir con la medidas organizativas
  • # Realizar una auditoría interna para comprobar el cumplimiento de las medidas
  • # Realizar una auditoría externa

Es decir, necesito:

  • # Definir políticas del sistema
  • # Asegurar el cumplimiento de las políticas
  • # Definir alcance del sistema
  • # Auditoría interna
  • # Auditoría externa
  • # Verificar el grado de cumplimiento
  • # Adecuar los sistemas de información de las medidas técnicas



¿Qué aporta Calidad y Gestión?

# 100% empresas y entidades certificadas

# Reducción de los tiempos de consecución

# Reducción de la carga de trabajo: nosotros redactamos las políticas y los documentos. No le daremos trabajo, se lo quitaremos.

# Asesoramiento sobre las medidas técnicas y como cumplirlas

# Te guíamos en todo el proceso





¿Cuándo es necesaria una auditoría externa en ENS?

Cuando se están evaluando sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, la norma señala que se hace necesario pasar una auditoría bienal, realizada por personal cualificado, independiente del servicio/sistema que esté auditando.

Aquellas personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría.

Esta exigencia se rebaja cuando se están evaluando sistemas categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación.

check

Adaptaciones

Actualización nuevos requisitos ENS

Adaptación ISO 27001 a los requisitos ENS

check

Auditorías

Auditorías externas ENS Servicios nivel ALTO o MEDIO

Cumplimiento ENS

Informes de autoevaluación

check

Implantación de requisitos ENS

Requisitos ENS (Nivel BAJO ALTO MEDIO)

Sistema de gestión ISO 27001 Seguridad de la Información

El CCN manteniene una lista pública de empresas certificadas


¿Quiénes y cuándo se realizan las auditorías en el ENS?

Las auditorías deben ser realizadas por:

  • # Personal independiente (que no forme parte de la operación del sistema)
  • # Personal cualificado convenientemente
  • # Se deben realizar cada dos años como mínimo o cada vez que se realicen modificaciones en el sistema que puedan afectar a los niveles de seguridad del mismo

Cumple con el Esquema Nacional de Seguridad

Cumple con los requisitos de las administraciones públicas para poder licitar. Consigue la certificación de forma sencilla, rápida y segura. Te ayudamos en todas las fases del proceso y hacemos un estudio previo gratuito.



Nuevos requisitos ENS


cualificacion

Cualificación del Personal para las Auditorias de Seguridad

Según el artículo 15, se requerirá la cualificación del personal para las labores de auditoría de seguridad, exigiéndose a los proveedores la necesaria participación de profesionales cualificados para la prestación de servicios.



Medidas compensatorias de Seguridad

Como novedad, según el Artículo 19 será posible reemplazar las medidas de seguridad del Anexo II por otras compensatorias que permitan protegerse equivalente o mejorada frente a los riesgos identificados. La aplicación de medidas compensatorias deberá detallarse y justificarse en la Declaración de Aplicabilidad, que estará firmada por el Responsable de Seguridad.

medidas
regular


Especificación Técnica para Auditorias de seguridad

Está previsto el desarrollo de una instrucción técnica con el objeto de regular el desarrollo de las auditorías de seguridad previstas por el ENS



Notificación de Incidentes

El artículo 36 introduce la necesidad de notificar al Centro Criptológico Nacional todos los incidentes que tengan un impacto significativo en la seguridad de los servicios e información.

notificar
notificar

Nuevo Conjunto de Instrucciones Técnicas

Además está previsto desarrollar un conjunto de Instrucciones Técnicas de Seguridad de obligado cumplimiento, relativas a:

  • # Elaboración de un Informe de estado de seguridad.
  • # Procedimiento de Notificación de incidentes de seguridad.
  • # Procedimiento de Auditoría de la seguridad.
  • # Especificaciones de Conformidad con el Esquema Nacional de Seguridad.
  • # Procedimientos de Adquisición de productos de seguridad.
  • # Instrucciones sobre criptología de empleo en el Esquema Nacional de Seguridad.
  • # Especificaciones de Interconexión en el Esquema Nacional de Seguridad.
  • # Requisitos de seguridad en entornos externalizados.
logo-icono

Esquema Nacional de Seguridad con
Calidad y Gestión