ESQUEMA NACIONAL DE SEGURIDAD

ENS Seguridad en medios electrónicos de la Administración Pública

ENS: Esquema Nacional de Seguridad

ESQUEMA NACIONAL DE SEGURIDAD: cumplimiento de los requisitos de protección de los sistemas de información de la Administración Pública

El origen del ENS es el artículo 42 de la Ley 11/2007, pero se concretó su necesidad en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Este Real Decreto fue modificado por el Real Decreto 951/2015, para actualizarlo en base al conocimiento adquirido y la situación actual, incluido un nuevo escenario de ciber amenazas.

El ENS define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de os sistemas de información.

Objetivos del Esquema Nacional de Seguridad

El objetivo del Esquema Nacional de Seguridad no es otro que conseguir la confianza de los usuarios y de las organizaciones ante el uso de medios electrónicos. Para ello se establecen medidas específicas para la seguridad de:

Sistemas (Medios electrónicos).

Comunicaciones

Datos.

Servicios Electrónicos

¿Quién debe cumplir con los requisitos del ESQUEMA NACIONAL DE SEGURIDAD?

  • La Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
  • Los ciudadanos en sus relaciones con las Administraciones Públicas.
  • Las relaciones entre las distintas Administraciones Públicas.

Beneficios de Certificarse en ENS

  • Garantía de productos certificados y de calidad.
  • Cumplimiento con los requisitos legales para las AA.PP.
  • Logra mayor confianza entre los usuarios en el uso de medios electrónicos.
  • Establecimiento de un lenguaje común de peligrosidad.
  • Utilización de guías e instrumentos para la Seguridad de la Información.

¿Qué tipo de servicios ESTÁN AFECTADOS?

  • Sedes electrónicas.
  • Registros electrónicos.
  • Sistemas de Información accesibles electrónicamente por los ciudadanos.
  • Sistemas de Información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo.

¿El ENS también afecta a LOS PROVEEDORES?

Los controles sobre la seguridad recogidos en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS. Sin embargo, Esquema Nacional de Seguridad es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad.

Es por lo anterior, que las empresas certificadas en ISO 27001 tienen buena parte del camino recorrido para lograr su conformidad con el ENS.

Las organizaciones que se encuentren certificadas en ISO 27001 tienen una buena parte del camino recorrido para lograr su conformidad con el ENS.

Por otro lado, el ENS está enfocado en la “protección” de la información y los servicios exigiendo además la gestión continuada de la seguridad, para lo cual no descabellado pensar en implantar un sistema de gestión. En este sentido, podemos considerar que ISO 27001 puede ser un importante apoyo para todas las organizaciones ya sean públicas o privadas para entender y aplicar un proceso de mejora continua.

¿Son equivalentes el Esquema Nacional de Seguridad Y LA NORMA ISO 27001?

Los controles sobre la seguridad recogidos en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS. Sin embargo, Esquema Nacional de Seguridad es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad.

Es por lo anterior, que las empresas certificadas en ISO 27001 tienen buena parte del camino recorrido para lograr su conformidad con el ENS.

Las organizaciones que se encuentren certificadas en ISO 27001 tienen una buena parte del camino recorrido para lograr su conformidad con el ENS.

Por otro lado, el ENS está enfocado en la “protección” de la información y los servicios exigiendo además la gestión continuada de la seguridad, para lo cual no descabellado pensar en implantar un sistema de gestión. En este sentido, podemos considerar que ISO 27001 puede ser un importante apoyo para todas las organizaciones ya sean públicas o privadas para entender y aplicar un proceso de mejora continua.

¿Son necesarias las auditorías externas EN ESQUEMA NACIONAL DE SEGURIDAD?

En el caso de sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, ENS impone la necesidad de pasar una auditoría bienal, realizada por personal cualificado, independiente del servicio/sistema que esté auditando.

Además se aclara que las personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría.

Esta exigencia se rebaja cuando se están evaluando sistemas categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación.

Certificado Esquema Nacional de Seguridad

Las condiciones para la conformidad con el ENS Esquema Nacional de Seguridad se establecen en la guía Declaración y Certificación de Conformidad con el ENS y distintivos de cumplimiento.

Según esta guía se establece:

1. La conformidad con el ENS

Se definirá mediante una auditoria de conformidad.

NOTA: Para los sistemas de categoría Básica bastaría con publicar una declaración de conformidad en el sitio web similar.

2. ¿Qué entidades de Certificación pueden acreditar el cumplimiento del ENS?

Las Entidades de Certificación deberán estar acreditados por ENAC “para la certificación de sistemas conforme a UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios, para la certificación de sistemas del ámbito de aplicación del ENS.”

3. Auditorias de Proveedores

Se puede plantar la cuestión si los proveedores de la Administración pública deben certificarse de forma independiente según los requisitos del ENS.

Como respuesta podemos decir que el camino a seguir por las empresas es optar por la Certificación Independiente ya que aunque existe dentro de la guía de certificación, la posibilidad de realizar una auditoria conjunta de los sistemas de la Administración y sus proveedores también queda expresado que «los proveedores deben ser capaces de” estar en condiciones de exhibir los distintivos de conformidad».

Solicita este servicio con un descuento ESPECIAL

SOLICITAR INFORMACIÓN
Ir arriba
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad
1