ENS Esquema Nacional de Seguridad
¿No sabes por dónde empezar? Calidad y Gestión te apoya en todo el proceso para cumplir con los requisitos. Obtén la certificación en el plazo que necesites.
¿No sabes por dónde empezar? Calidad y Gestión te apoya en todo el proceso para cumplir con los requisitos. Obtén la certificación en el plazo que necesites.
La legislación que regular el ENS es el Real Decreto 3/2010, de 8 de enero, en vigor factuamnete aunque fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.
ENS se basa en la definición de una política de seguridad para facilitar el empleo de medios electrónicos estableciendo unos principios básicos y unos requisitos mínimos que garanticen una protección adecuada de la información.
Conseguir la confianza de los usuarios cuando se relacionan con la administración mediante medios electrónicos es uno de los principales objetivos del Esquema Nacional de Seguridad. Para ello se establecen una seria de medidas enfocadas a mejorar:
La seguridad de los sistemas
(utilización de medios electrónicos)
La seguridad de los datos
La seguridad de las comunicaciones
La seguridad de los servicios electrónicos
A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
A los ciudadanos en sus relaciones con las Administraciones Públicas.
A las relaciones entre las distintas Administraciones Públicas.
Sedes electrónicas.
Registros electrónicos.
Sistemas de Información accesibles electrónicamente por los ciudadanos.
Sistemas de Información para el ejercicio de derechos.
Sistemas de Información para recabar información y estado del procedimiento administrativo.
Tomando en consideración que el Esquema Nacional de Seguridad no está restringido al tipo de sistema ni a su ubicación sino que afecta a todos los organismos públicos de forma independiente a estos factores, podemos deducir que también deben tenerse en cuenta los requisitos de seguridad cuando:
Subcontratamos o externalizamos un servicio
Desarrollamos alguna actividad específica en locales o dependencias no pertenecientes o propias de la administración.
Así pues, mientras un sistema de información preste servicios o desarrolle funciones necesarias para la administración electrónica de los servicios públicos, se le exige igualmente el cumplimiento de los requisitos del ENS ya sea que esta operado por terceros o que se desarrolla en dependencias externas a las AA.PP. Dicho de otra forma, la seguridad en el ámbito de la adminitración electrónica incluye a las empresas privadas que afecten a la seguridad de los servicios públicos.
El Esquema Nacional de Seguridad y la norma UNE ISO/IEC 27001 aun siendo normas complementarias difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen
El esquema Nacional de Seguridad se constituye como un requisito jurídico de obligado cumplimiento y que contiene una serie de medidas concretas, mientras que la norma ISO 27001 se propone como un Sistema de Gestión de la Seguridad de la Información
Ambas normas tienen sin embargo, muchas cosas en común ya que los controles de seguridad considerados en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS
Las organizaciones que se encuentren certificadas en ISO 27001 tienen una base importante para obtener la conformidad con el ENS
Por otro lado, el ENS que trata la “protección” de la información y los servicios, contempla y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un sistema de gestión, por lo que se puede considerar que ISO 27001 puede ser un apoyo a todas las organizaciones ya sean públicas o privadas para un mejor entendimiento del proceso de mejora continua
Existen guías para analizar el cumplimiento del ENS basado en los controles de ISO 27001. Estas guías o tablas de correlación son un punto de partida, pero cada caso es diferente y por eso desde Calidad y Gestión analizamos su sistema ISO 27001 para hacer un plan de trabajo personalizado para cumplir con el Esquema Nacional de Seguridad minimizando el trabajo nuevo a realizar.
Si quiere saber su nivel de cumplimiento actual le hacemos un diagnóstico previo gratuito.
Como punto de partida el Esquema Nacional de Seguridad establece unos criterios para clasificar y categorizar los sistemas de información con el objetivo de establecer los criterios de aplicación de las distintas medidas y requisitos de protección de la información.
¿Cómo categorizar un Sistema de la Información según el Esquema Nacional de Seguridad?
Esta es una de las tareas quizás más importantes a la hora de implantar el ENS, pues de ello depende finalmente que medidas tanto operacionales como de protección de la información debemos adoptar
Nivel de impacto en la Seguridad de la Información en el ENS
Para establecer la categoría de un sistema de la información el ENS nos dice:
"La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas"
Para determinar el impacto de un incidente en la seguridad de la información se deben tener en cuenta como afectaría a:
Los objetivos del servicio o sistema de información
La protección de los activos implicados
El cumplimiento de las obligaciones del servicio
El cumplimiento de la legalidad vigente
El respeto a los derechos de las personas involucradas
¿Cómo categorizar un sistema de la información en la práctica?
Los parámetros para medir el impacto en la seguridad de la información deberemos considerar cómo el sistema de ver afectado en cada una de las dimensiones (tabla 1) en cuanto a su impacto sobre los niveles de Seguridad de la información
Dimensión en la Seguridad de la INFORMACION
Nivel de Impacto
Disponibilidad Integridad Confidencialidad Autenticidad TrazabilidadCuando alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
Cuando alguna de sus dimensiones alcanza el nivel MEDIO, y ninguna tiene nivel ALTO
cuando ninguna de sus dimensiones alcanza el nivel MEDIO o ALTO
El ENS se compone de dos tipos de criterios o requisitos enfocados a los objetivos de la protección de la información.
Los principios Básicos en el ENS nos permiten establecer las pautas para guiar las acciones a emprender en materia de seguridad de la información
Los principios básicos contienen requerimientos que tienen en cuenta:
La Seguridad Integral
La Gestión de Riesgos
La Prevención reacción y recuperación
Las Líneas de Defensa
Una Reevaluación periódica
La Seguridad como función diferenciada
El ENS Establece una serie de requisitos mínimos que derivaran en una serie de "medidas de seguridad" concretas teniendo en cuenta:
La categoría del Sistema de la información
Los activos que constituyen el sistema
Las decisiones que se tomen para tratar los riesgos identificados con la seguridad de la información
Los requisitos mínimos formaran parte de la política de Seguridad que será aprobada por el titular del órgano superior correspondiente de cada Administración Publica aplicando los siguientes requisitos
Organización e implantación del proceso de seguridad
Responsabilidades y comunicación de los requisitos
Análisis y gestión de los riesgos
Implantar un sistema de análisis y tratamiento de riesgos utilizando una metodología reconocida
Gestión de personal
Formación y concienciación del personal respecto a la seguridad de la información
Profesionalidad
Cualificación del personal relacionado con la seguridad y protección de la información
Autorización y control de los accesos
Restricciones de acceso y funciones a los distintos sistemas
Protección de las instalaciones
Controles de accesos y separación física de los sistemas
Adquisición de productos
Requisitos para la certificación de sistemas de información y productos adquiridos de forma externa
Seguridad por defecto
Requisitos para el control de la configuración de sistemas y el diseño de los mismos para considerar el principio de seguridad por defecto
Integridad y actualización del sistema
Procedimiento de autorizaciones previas a la instalación y actualización de sistemas
Protección de la información almacenada y en tránsito
Requisitos para entornos inseguros de almacenamiento de información (P ej. Equipos portátiles etc.)
Prevención ante otros sistemas de información interconectados
Requisitos de protección perimetral en la conexión a redes públicas
Registro de actividad
Requisitos para el registro de la actividad de los usuarios con la finalidad de detectar actividades indebidas
Incidentes de seguridad
Requisitos de implantación de sistemas de detección de código dañino
Continuidad de la actividad
Requisitos para la recuperación de la actividad después de un incidente en la seguridad de la información
Mejora continua del proceso de seguridad
Establecimiento de métodos de gestión que garanticen la continua revisión del sistema de seguridad para conseguir la mejora continua del mismo
De cada uno de estos requisitos se desprenderá el establecimiento de medidas concretas de protección de la información que podrán afectar en distintos niveles recogidos en el ENS:
Medidas a Nivel de la organización
Responsabilidades y comunicación de los requisitos
Nivel Operacional
Medidas de protección a nivel de la operación del sistema de la información (controles de acceso etc.)
Nivel de protección
Medidas para proteger activos concretos de información (protección de equipos, comunicaciones etc.)
Finalmente para conseguir los objetivos se establece el requisito de realizar auditorías de seguridad periódicas que permitan garantizar el nivel de cumplimiento adecuado de los requisitos del ENS
¿Cómo obtengo el certificado del ENS?
Disponer de una política de seguridad Disponer de una declaración de aplicabilidad con todos los controles aplicables Disponer del marco normativo necesaario: políticas, procedimientos, otros documentos... Cumplir con las medidas técnicas aplicables a la categoría del sistema de información Cumplir con la medidas organizativas Realizar una auditoría interna para comprobar el cumplimiento de las medidas Realizar una auditoría externaEs decir, necesito:
Definir políticas del sistema Asegurar el cumplimiento de las políticas Definir alcance del sistema Auditoría interna Auditoría externa Verificar el grado de cumplimiento Adecuar los sistemas de información de las medidas técnicas 100% empresas y entidades certificadas
Reducción de los tiempos de consecución
Reducción de la carga de trabajo: nosotros redactamos las políticas y los documentos. No le daremos trabajo, se lo quitaremos.
Asesoramiento sobre las medidas técnicas y como cumplirlas
Te guíamos en todo el proceso
Cuando se están evaluando sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, la norma señala que se hace necesario pasar una auditoría bienal, realizada por personal cualificado, independiente del servicio/sistema que esté auditando.
Aquellas personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría.
Esta exigencia se rebaja cuando se están evaluando sistemas categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación.
Adaptaciones
Actualización nuevos requisitos ENS
Adaptación ISO 27001 a los requisitos ENS
Auditorías
Auditorías externas ENS Servicios nivel ALTO o MEDIO
Cumplimiento ENS
Informes de autoevaluación
Implantación de requisitos ENS
Requisitos ENS (Nivel BAJO ALTO MEDIO)
Sistema de gestión ISO 27001 Seguridad de la Información
El CCN manteniene una lista pública de empresas certificadas
¿Quiénes y cuándo se realizan las auditorías en el ENS?
Las auditorías deben ser realizadas por:
Personal independiente (que no forme parte de la operación del sistema) Personal cualificado convenientemente Se deben realizar cada dos años como mínimo o cada vez que se realicen modificaciones en el sistema que puedan afectar a los niveles de seguridad del mismoCumple con los requisitos de las administraciones públicas para poder licitar. Consigue la certificación de forma sencilla, rápida y segura. Te ayudamos en todas las fases del proceso y hacemos un estudio previo gratuito.
Según el artículo 15, se requerirá la cualificación del personal para las labores de auditoría de seguridad, exigiéndose a los proveedores la necesaria participación de profesionales cualificados para la prestación de servicios.
Como novedad, según el Artículo 19 será posible reemplazar las medidas de seguridad del Anexo II por otras compensatorias que permitan protegerse equivalente o mejorada frente a los riesgos identificados. La aplicación de medidas compensatorias deberá detallarse y justificarse en la Declaración de Aplicabilidad, que estará firmada por el Responsable de Seguridad.
Está previsto el desarrollo de una instrucción técnica con el objeto de regular el desarrollo de las auditorías de seguridad previstas por el ENS
El artículo 36 introduce la necesidad de notificar al Centro Criptológico Nacional todos los incidentes que tengan un impacto significativo en la seguridad de los servicios e información.
Además está previsto desarrollar un conjunto de Instrucciones Técnicas de Seguridad de obligado cumplimiento, relativas a:
Elaboración de un Informe de estado de seguridad. Procedimiento de Notificación de incidentes de seguridad. Procedimiento de Auditoría de la seguridad. Especificaciones de Conformidad con el Esquema Nacional de Seguridad. Procedimientos de Adquisición de productos de seguridad. Instrucciones sobre criptología de empleo en el Esquema Nacional de Seguridad. Especificaciones de Interconexión en el Esquema Nacional de Seguridad. Requisitos de seguridad en entornos externalizados.
