ENS Esquema Nacional de Seguridad

Esquema Nacional de Seguridad

ENS Seguridad en la utilización de medios electrónicos

Seguridad en la utilización de medios electrónicos

ENS De obligado cumplimiento en las Administraciones Públicas

De obligado cumplimiento en las Administraciones
Públicas 

ENS requisitos para una protección adecuada de la información

El ENS (Esquema Nacional de Seguridad) se creo en el ámbito de la Administración Electrónica.

ENS establece una política de seguridad en la utilización de medios electrónicos  mediante requisitos mínimos que posibiliten una protección adecuada de la información.

La finalidad del Esquema Nacional de Seguridad es la de generar confianza en el uso de los medios electrónicos, a través de medidas para

  • la seguridad de los sistemas (utilización de medios electrónicos) ,
  • la seguridad de los datos,
  • la seguridad de las comunicaciones
  • la seguridad de los servicios electrónicos

¿Para quién es obligatorio el ENS?

  • A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
  • A los ciudadanos en sus relaciones con las Administraciones Públicas.
  • A las relaciones entre las distintas Administraciones Públicas.

¿A qué servicios afecta?

  • Sedes electrónicas.
  • Registros electrónicos.
  • Sistemas de Información accesibles electrónicamente por los ciudadanos.
  • Sistemas de Información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo.

¿El ENS también afecta a las empresas externas?

Cuando las actividades de los Sistemas de Información tienen lugar fuera de las dependencias de la administración pública o están subcontratadas con empresas externas se debe tener en cuenta que:

El ENS es una norma de obligado cumplimiento para todos los Sistemas de Información de las AA.PP., independientemente de su ubicación.

Por tanto, se exige el cumplimiento del ENS no sólo a los Sistemas de Información que estén operados por personal de las AA.PP. y/o en dependencias de las AA.PP., sino también a aquellos otros que, estando operados por terceros –e, incluso, en dependencias de terceros- desarrollan funciones, misiones, cometidos o servicios para las AA.PP.

¿Cuál es la relación del ENS con ISO 27001

  • El Esquema Nacional de Seguridad y la norma UNE ISO/IEC 27001 aun siendo normas complementarias difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen.Sedes electrónicas.
  • ENS es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad, sin embargo, buena parte de los controles para la aplicación de los controles de seguridad recogidos en el anexo ISO 27002 son comunes a  muchas de las medidas de seguridad indicadas en el anexo II del ENS.
  • Las organizaciones que se encuentren certificadas en  ISO 27001 tienen una buena parte del camino recorrido para lograr su conformidad con el ENS.
  • Por otro lado, el ENS que trata la "protección" de la información y los servicios, contempla y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un sistema de gestión, por lo que se puede considerar que ISO 27001 puede ser un apoyo a todas las organizaciones ya sean públicas o privadas para un mejor entendimiento del proceso de mejora continua.

Esquema Nacional de Seguridad: Los Principos

CATEGORIZACION DE LOS SISTEMAS DE INFORMACION

Como punto de partida el Esquema Nacional de Seguridad establece unos criterios para clasificar y categorizar los sistemas de información con el objetivo de establecer los criterios de aplicación de las distintas medidas y requisitos de protección de la información.

¿Cómo categorizar un Sistema de la Información según el Esquema Nacional de Seguridad?

Esta es una de las tareas quizás más importantes a la hora de implantar el ENS, pues de ello depende finalmente que medidas tanto operacionales como de protección de la información debemos adoptar

Nivel de impacto en la Seguridad de la Información

Para establecer la categoría de un sistema de la información el ENS nos dice:

“La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas”

Para determinar el impacto de un incidente en la seguridad de la información se deben tener en cuenta como afectaría a:

  • Los objetivos del servicio o sistema de información
  • La protección de los activos implicados
  • El cumplimiento de las obligaciones del servicio
  • El cumplimiento de la legalidad vigente
  • El respeto a los derechos de las personas involucradas

¿Cómo categorizar un sistema de la información en la practica?

Los parámetros para medir el impacto en la seguridad de la información deberemos considerar cómo el sistema de ver afectado en cada una de las dimensiones (tabla 1) en cuanto a su impacto sobre los niveles de Seguridad de la información

Dimensión en la Seguridad de la INFORMACION Nivel de Impacto
  • Disponibilidad
  • Integridad
  • Confidencialidad
  • Autenticidad
  • Trazabilidad
Nivel ALTO
Perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
Nivel MEDIO
Perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
NIVEL BAJO
Perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Así podremos clasificar los sistemas de la información en

  • Sistema Categoría ALTA -> cuando alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
  • Sistema Categoría MEDIA-> cuando alguna de sus dimensiones el nivel MEDIO, y ninguna tiene nivel ALTO
  • Sistema categoría BÁSICA -> cuando ninguna de sus dimensiones alcanza el nivel MEDIO o ALTO

REQUISITOS DE SEGURIDAD / PROTECCION DE LA INFORMACION

El ENS se compone de dos tipos de criterios o requisitos enfocados a los objetivos de la protección de la información

PRINCIPIOS BASICOS

Los principios Básicos en el ENS nos permiten establecer las pautas para guiar las acciones a emprender en materia de seguridad de la información

Los principios básicos contienen requerimientos que tienen en cuenta:

  • La Seguridad Integral
  • La Gestión de Riesgos
  • La Prevención reacción y recuperación
  • Las Líneas de Defensa
  • Una Reevaluación periódica
  • La Seguridad como función diferenciada

REQUISITOS MINIMOS DEL ESQUEMA NACIONAL DE SEGURIDAD

El ENS Establece una serie de requisitos mínimos que derivaran en una serie de”medidas de seguridad” concretas teniendo en cuenta

  • La categoría del Sistema de la información
  • Los activos que constituyen el sistema
  • Las decisiones que se tomen para tratar los riesgos identificados con la seguridad de la información

Los requisitos mínimos formaran parte de la política de Seguridad que será aprobada por el titular del órgano superior correspondiente de cada Administración Publica aplicando los siguientes requisitos

  • a) Organización e implantación del proceso de seguridad.
    Responsabilidades y comunicación de los requisitos
  • b) Análisis y gestión de los riesgos.
    Implantar un sistema de análisis y tratamiento de riesgos utilizando una metodología reconocida
  • c) Gestión de personal.
    Formación y concienciación del personal respecto a la seguridad de la información
  • d) Profesionalidad.
    Cualificación del personal relacionado con la seguridad y protección de la información
  • e) Autorización y control de los accesos.
    Restricciones de acceso y funciones a los distintos sistemas
  • f) Protección de las instalaciones.
    Controles de accesos y separación física de los sistemas
  • g) Adquisición de productos.
    Requisitos para la certificación de sistemas de información y productos adquiridos de forma externa
  • h) Seguridad por defecto.
    Requisitos para el control de la configuración de sistemas y el diseño de los mismos para considerar el principio de seguridad por defecto
  • i) Integridad y actualización del sistema.
    Procedimiento de autorizaciones previas a la instalación y actualización de sistemas
  • j) Protección de la información almacenada y en tránsito.
    Requisitos para entornos inseguros de almacenamiento de información (P ej. Equipos portátiles etc.)
  • k) Prevención ante otros sistemas de información interconectados.
    Requisitos de protección perimetral en la conexión a redes públicas
  • l) Registro de actividad.
    Requisitos para el registro de la actividad de los usuarios con la finalidad de detectar actividades indebidas
  • m) Incidentes de seguridad.
    Requisitos de implantación de sistemas de detección de código dañino
  • n) Continuidad de la actividad.
    Requisitos para la recuperación de la actividad después de un incidente en la seguridad de la información
  • o) Mejora continua del proceso de seguridad.
    Establecimiento de métodos de gestión que garanticen la continua revisión del sistema de seguridad para conseguir la mejora continua del mismo

De cada uno de estos requisitos se desprenderá el establecimiento de medidas concretas de protección de la información que podrán afectar en distintos niveles

  • Medidas a Nivel de la organización: (política y procedimientos de seguridad)
  • Nivel Operacional: Medidas de protección a nivel de la operación del sistema de la información (controles de acceso etc.)
  • Nivel de protección: Medidas para proteger activos concretos de información (protección de equipos, comunicaciones etc.)

AUDITORIA DE SEGURIDAD

Finalmente para conseguir los objetivos se establece el requisito de realizar auditorías de seguridad periódicas que permitan garantizar el nivel de cumplimiento adecuado de los requisitos del ENS

¿Quienes están obligados a realizar las auditorias en el ENS?

Todos aquellos organismos que tengan sistemas de información de nivel MEDIO o ALTO

Los sistemas de nivel BAJO tendrían que realizar únicamente un informe de autoevaluación

¿Quienes y cuando se realizan las auditorias en el ENS?

Las auditorias deben ser realizadas por:

  • Personal independiente (que no forme parte de la operación del sistema)
  • Personal cualificado convenientemente
  • Se deben realizar cada dos años como mínimo o cada vez que se realicen modificaciones en el sistema que puedan afectar a los niveles de seguridad del mismo

¿Cuando es necesaria una auditoría externa en ENS?

  • Cuando se están evaluando sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, la norma señala que se hace necesario pasar una auditoría bienal, realizada por personal cualificado, independiente del servicio/sistema que esté auditando.
  • Aquellas personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría.
  • Esta exigencia se rebaja cuando se están evaluando sistemas categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación.

Adaptación ENS

Adaptaciones

Implementando el Sistema ISO 22301

Auditorias

  • Auditorías externas ENS Servicios nivel ALTO o MEDIO
  • Cumplimiento ENS
  • Informes de autoevaluación

Revisión y Mantenimiento ISO 22301

Implantación de requisitos ENS

  • Requisitos ENS (Nivel BAJO ALTO MEDIO)
  • Sistema de gestión ISO 27001 Seguridad de la Información

;

 

 

 

 

Aprovecha tu tiempo . Te llamamos nosotros

¿Alguna pregunta?

Te llamamos nosotros

¿Por qué elegir a CALIDAD y GESTIÓN?

+ de 4.000 clientes nos avalan

+ de 4.000 clientes nos avalan

+ de 15 años de experiencia

+ de 15 años de experiencia

Lo hacemos sencillo y con rapidez

Lo hacemos sencillo y con rapidez

Garantía de certificación por contrato

Garantía de certificación por contrato

100% de empresas certificadas a la primera

100% de empresas certificadas a la primera

Nuevos requisitos ENS

Cualificación del Personal para las Auditorias de Seguridad Según el artículo 15, se requerirá la cualificación del personal para las labores de auditoría de seguridad, exigiéndose a los proveedores la necesaria participación de profesionales cualificados para la prestación de servicios.

Medidas compensatorias de Seguridad Como novedad, según el Artículo 19 será posible reemplazar las medidas de seguridad del Anexo II por otras compensatorias que permitan protegerse equivalente o mejorada frente a los riesgos identificados. La aplicación de medidas compensatorias deberá detallarse y justificarse en la Declaración de Aplicabilidad, que estará firmada por el Responsable de Seguridad.

Especificación Técnica para Auditorias de seguridad Está previsto el desarrollo de una instrucción técnica con el objeto de regular el desarrollo de las auditorías de seguridad previstas por el ENS

Notificación de Incidentes El artículo 36 introduce la necesidad de notificar al Centro Criptológico Nacional todos los incidentes que tengan un impacto significativo en la seguridad de los servicios e información.

Nuevo Conjunto de Instrucciones Técnicas Además está previsto desarrollar un conjunto de Instrucciones Técnicas de Seguridad de obligado cumplimiento, relativas a:

noviembre,2016 Calidad y Gestión
Certificadoras habituales de Calidad y Gestión

Calcule AQUÍ Su Presupuesto Personalizado

Obtenga aquí su presupuesto de consultoría en menos de ¡1 minuto!

ENVIENOS UN FORMULARIO DE CONTACTO

  •   Acepto la Política de privacidad

REFERENCIAS SECTOR TIC

Referencias CALIDAD y GESTION SECTOR TIC