Si tu empresa colabora con la Administración Pública, ya sea como proveedor de servicios, contratista o de cualquier otra forma, estás obligada a cumplir con el Esquema Nacional de Seguridad (ENS).
El Real Decreto 311/2022, del 3 de mayo, establece que todas las entidades que presten servicios o provean soluciones a las entidades del sector público deben cumplir con los requisitos del Esquema Nacional de Seguridad.
En este artículo, te guiaremos a través de los requisitos necesarios para cumplir con el ENS y te daremos información para ayudarte en este proceso.
¿Qué es y qué objetivos tiene el Esquema Nacional de Seguridad o ENS?
Más tarde, en 2022, entra en vigor una nueva versión del ENS con el Real Decreto 311/2022. Este establece los requisitos mínimos de seguridad que deben cumplir la empresas que trabajan con las Administraciones Públicas en el ámbito de la Administración Electrónica.
Esta nueva versión ha sido creada para hacer frente al incremento de ciberataques, centrados en la sustracción y destrucción de la información.
¿Qué objeto y finalidad persigue el Esquema Nacional de Seguridad?
Su objetivo, en este ámbito, es proteger dicha información y los servicios electrónicos frente a posibles amenazas, como ciberataques o fraudes.
Tal como manifiesta el R.D., “el ENS está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios usados por medios electrónicos que gestionen en el ejercicio de sus competencias”.
¿Quién tiene que cumplir el Esquema Nacional de Seguridad?
- Administración general del estado
- Comunidades autónomas y
- Administraciones Locales
- Entidades de derecho público vinculadas o dependientes de las mismas y también
- Las empresas en sus negocios con la administración pública.
Ahora bien, cómo impacta este protocolo en tu empresa…
El impacto se observa en tres (3) formas:
- Relación comercial con el sector público si la tienes o buscas tenerla.
- Cumplimiento normativo empresarial.
- Gestión interna de la seguridad.
- Protección de la información y los datos.
- Reducción del riesgo de ciberataques y fraudes.
- Aumento de la confianza de tus clientes y proveedores.
- Mejora de la imagen de tu empresa.
- Mayor competitividad.
- Ahorro de costes.
- Cumplimiento legal.
En este sentido, el Esquema Nacional de Seguridad conlleva una serie de principios que crean el marco para que tu empresa pueda conseguir la certificación.
¿Cuáles son los principios básicos del ENS?
El Esquema Nacional de Seguridad se basa una serie de principios básicos que rigen su aplicación y que son esenciales para comprender su alcance y objetivos. Estos principios son:
- Seguridad como proceso integral. La seguridad debe abarcar todos los elementos del sistema de información, incluyendo los aspectos humanos, materiales, técnicos, jurídicos y de organización.
- Gestión de la seguridad basada en los riesgos. Se deben identificar, analizar y evaluar los riesgos de seguridad por los que la organización se ve afectada, y establecer medidas para mitigarlos de forma proporcional.
- Prevención, detección, respuesta y conservación. El ENS no solo busca prevenir las amenazas, sino también detectarlas de forma temprana, responder a tiempo y conservar las pruebas para facilitar su análisis.
- Existencia de líneas de defensa. Se debe implementar un sistema de defensa en profundidad que incluya diferentes capas de seguridad para proteger la información y los servicios electrónicos.
- Vigilancia y evaluación continua. La seguridad no es un proceso estático, sino que debe revisarse de forma regular para adaptarse a las nuevas amenazas y riesgos.
- Establecer responsabilidades. Es importante establecer responsabilidades claras y precisas en materia de seguridad para cada uno de los actores implicados.
Para el cumplimiento de estos principios, te aconsejamos contar con profesionales expertos, que te ayuden a lograr el cumplimiento y te orienten en la correcta adecuación de los sistemas, te acompañen durante todo el proceso con el organismo de certificación, etc.
¿Cuáles son los requisitos del ENS?
El Esquema Nacional de Seguridad establece unos requisitos mínimos para garantizar la seguridad de la información y los servicios que gestionan.
Estos se agrupan en las siguientes:
Organización e implantación del proceso de seguridad
La seguridad de los sistemas de información no es solo asunto del área de IT, sino que debe ser un compromiso de toda la organización. Para ello, es fundamental que la dirección se implique y defina una política de seguridad clara y concisa, que sea conocida por todos los empleados.
Análisis y gestión de los riesgos
Este análisis debe identificar los activos de información, las amenazas y vulnerabilidades, y los posibles impactos de un incidente de seguridad.
Gestión de personal
El personal que tenga acceso al sistema de información debe ser formado e informado sobre sus deberes y responsabilidades en materia de seguridad.
Deben conocer las normas de seguridad y cómo actuar en caso de que se detecte un incidente de seguridad.
Profesionalidad
La seguridad de los sistemas de información debe ser atendida por personal experto, con la formación y experiencia necesarias para desempeñar sus funciones.
Las empresas deben determinar los requisitos de formación y experiencia del personal para cada puesto de trabajo.
Control de los accesos
El acceso a los sistemas de información debe estar limitado a los usuarios, procesos, instrumentos y otros sistemas autorizados.
Protección de las instalaciones
Los sistemas de información deben estar ubicados en áreas controladas con acceso restringido.
Las instalaciones deben contar con medidas de seguridad físicas para protegerlas contra accesos no autorizados, daños o robos.
Adquisición de productos y servicios de seguridad
Al adquirir productos de seguridad o contratar servicios de seguridad, es importante elegir aquellos que aseguren la seguridad.
Mínimo privilegio
Los usuarios solo deben tener los privilegios necesarios para realizar sus tareas.
Esto significa que se deben eliminar o desactivar las funciones que no son necesarias para cada usuario.
Integridad y actualización del sistema
Es fundamental controlar la inclusión de cualquier elemento nuevo en el sistema, ya sea hardware, software o datos.
Asimismo, se debe realizar una evaluación y seguimiento permanente del sistema para detectar posibles vulnerabilidades o intrusiones.
Protección de la información guardada y en tránsito
Se debe prestar especial atención a la información sensible, como por ejemplo datos personales o información financiera. Esta información debe estar siempre protegida.
Prevención ante otros sistemas de información conectados
En caso de que el sistema de información esté conectado a redes públicas o a otros sistemas de información.
Registro de la actividad y detección de código dañino
Se debe registrar la actividad de los usuarios en el sistema para poder detectar posibles incidentes de seguridad. Sin embargo, es crucial tener en cuenta la legislación vigente en materia de protección de datos personales y privacidad.
Incidentes de seguridad
Para poder actuar de manera rápida y eficaz es necesario contar con procedimientos de gestión de incidentes de seguridad.
Estos deben definir los pasos a seguir para detectar, reportar, analizar y resolver los incidentes de seguridad.
Continuidad de la actividad
Los sistemas de información deben disponer de copias de seguridad que permitan recuperar la información y los servicios en caso de un incidente.
Además, se deben establecer mecanismos para garantizar la continuidad de la actividad en caso de no disponer del sistema habitual.
Mejora continua del proceso de seguridad
La seguridad de los sistemas de información no es un proceso estático, sino que debe ser un proceso de mejora continua.
Es importante aplicar las metodologías para la gestión de la seguridad de la información y realizar revisiones para identificar áreas de mejora.
¿Cómo se categoriza un sistema según el ENS?
El Esquema Nacional de Seguridad establece tres categorías para los sistemas de información: Básica, Media y Alta. Estas están identificadas por sus correspondientes impactos que un incidente de seguridad podría tener en la organización, como:
- Capacidad para alcanzar sus objetivos.
- Protección de los activos a su cargo.
- Respeto a la legalidad y a los derechos de los ciudadanos.
Para determinar la categoría de un sistema, se realiza una evaluación de riesgos que analiza las siguientes dimensiones de seguridad: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad.
- Confidencialidad. La protección de la información frente a accesos no autorizados.
- Integridad. La precisión y fiabilidad de la información.
- Trazabilidad. La capacidad de rastrear el origen y el destino de la información.
- Disponibilidad. El acceso a la información y los servicios cuando se necesitan.
- Autenticidad. La garantía de que la información es lo que dice ser.
En función del resultado de la evaluación de riesgos, el sistema se categoriza como:
- Bajo, cuando un incidente afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado para la organización.
- Medio, cuando las consecuencias de un incidente de seguridad supongan un perjuicio grave sobre las funciones de la organización.
- Alto, cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad alcanza el nivel de perjuicio muy grave.
Tu empresa debe conocer la categoría de tus sistemas de información para poder implementar las medidas de seguridad adecuadas.
¿Qué diferencia hay entre el ENS y la ISO 27001?
A lo largo del artículo se puede observar una cooperación positiva y una relación mutuamente beneficiosa entre el Esquema Nacional de Seguridad, según lo establecido en el Real Decreto 311/2022 del 3 de mayo, y la norma ISO/IEC 27001:2022.
De hecho el ENS se ha basado en la familia de estándares ISO 27000 y, más concretamente, en la ISO/IEC 27001. Esto se evidencia ya que su aplicación corresponde al cilo de mejora continua.
¿Qué significa esto?
Que ambas herramientas son complementarias e integradas es la formula perfecra para la ciberseguridad de tu empresa.
Existe la oportunidad de implementar sistemas de gestión teniendo en cuenta lo establecido en ambos marcos. No obstante, es crucial abordar las particularidades y discrepancias entre ellos, ya que sin ello, no se podrá mantener un sistema que satisfaga los requisitos de ambos.
A nivel nacional, es importante tener en cuenta que según el artículo 2 del Real Decreto 311/2022, las entidades sujetas al cumplimiento del Esquema Nacional de Seguridad deben implementar sistemas de gestión de acuerdo con este. Sin embargo, estos sistemas pueden incorporar los requisitos adicionales de la norma ISO y cumplir con ellos de manera efectiva.
A nivel global, la Guía CCN-STIC-825 analiza ambos marcos, definiendo aspectos comunes y diferencia pudiendo llegar a las siguientes conclusiones:
A pesar de las disparidades entre ambas normativas, ambas comparten un objetivo central: la gestión de los riesgos vinculados a la seguridad cibernética. Esto implica no solo a la organización propietaria del sistema, sino que también extienden sus requisitos a proveedores y cadenas de suministro, incluidos aquellos que operan en servicios en la nube, tan comunes en nuestra actualidad.
La implementación de un sistema de gestión siguiendo las pautas de estas normativas permitirá generar confianza entre terceros, mejorar de manera significativa la seguridad y la capacidad de recuperación del sistema, y mantener el reconocimiento de los servicios y productos que se encuentren dentro de su ámbito de aplicación.
Es importante destacar que a nivel internacional, la norma ISO puede desempeñar un papel unificador al establecer requisitos de seguridad, actuando como un traductor de normas o estándares de seguridad. Esto se refleja, por ejemplo, en los requisitos establecidos en la Política Agraria Común (PAC) o en las normativas asociadas al sector financiero, donde es común establecer equivalencias entre la ISO/IEC 27001 y las directrices de las autoridades.
Por tanto, trabajar con medidas de seguridad compatibles entre el Esquema Nacional de Seguridad y la ISO 27001 puede resultar enriquecedor y ayudar a demostrar los requisitos de manera coherente y utilizando un lenguaje común.
¿Cómo podemos ayudarte desde IDavinci?
➡️ Sea porque necesites implantar la norma ISO 27001 o el ENS, a través de nuestra línea de negocio Consultoría Normas ISO te podemos ayudar.
¿No tienes muy claro que es lo que necesitas? ¡no te preocupes!
En IDavinci generamos diferentes propuestas de acuerdo al perfil y necesidades de tu empresa.
En este sentido, para poderte dar la solución correcta en IDavinci:
- Realizamos un análisis y diagnóstico para definir el plan de trabajo más adecuado para tu empresa.
- Revisamos que la política de seguridad cumpla con los requisitos.
- Valoramos y categorizamos los servicios y la información de tu empresa.
- Analizamos los riesgos asociados, cumpliendo con las pautas adecuadas.
- Preparamos la declaración de aplicabilidad.
- Definimos los procedimientos necesarios para implantar el ENS.
- Te acompañamos durante todo el proceso.
Si quieres conocer cómo podemos ayudar a tu empresa, ¡escríbenos!
idavinci.es te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por IDAVINCI IMAGINA S.L. como responsable de esta web. Destinatarios: Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. En todo caso, los datos que nos facilitas están ubicados en sopeo de Protección de Datos. Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@idavinci.es así como el derecho a presentar una reclamación ante una autoridad de control como se explica en la información adicional.
Conclusiones
Como hemos visto a lo largo del artículo, la seguridad de la información se ha convertido en un factor crítico para cualquier empresa.
El ENS es una inversión en el futuro de tu empresa. Certificarte te ayudará a proteger tu negocio, aumentar la confianza de tus clientes y proveedores, además de mejorar tu competitividad en el mercado.