Qué es el Esquema Nacional de Seguridad (ENS) y a quiénes afectaLluis Serra 6 junio, 2023 En un anterior artículo hablaba de los puntos que debe abordar una auditoría interna para conseguir la Certificación del Esquema Nacional de Seguridad (ENS), para empresas que sean proveedoras del sector público. Pero ¿qué es el Esquema Nacional de Seguridad? El Esquema Nacional de Seguridad es un conjunto de políticas y normas que establece las medidas necesarias para garantizar la seguridad de la información en el ámbito de la Administración Pública en España. Con él se trata de «asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos». Su última modificación, por Real Decreto RD 311/2022 de 3 de mayo de 2022, constituye una de las medidas del paquete de actuaciones urgentes. Su objetivo es reforzar de manera inmediata las capacidades de defensa frente a las ciberamenazas del sector público y de las entidades privadas que colaboren con éste en la prestación de servicios o en el suministro de tecnología. El ENS es de aplicación obligatoria para todas las empresas del sector público estatal, autonómico y local, empresas del sector privado que suministren servicios o provean de soluciones a la Administración Pública y sistemas que traten con información clasificada. Una de las razones para crear el ENS es la intensificación de las ciberamenazas y ciberincidentes dentro del marco estratégico de ciberseguridad. El avance de las nuevas tecnologías y la evolución de muchas empresas en transformación digital han sido uno de los principales motivos. Defensa frente a las ciberamenazas El objetivo del ENS es crear las condiciones necesarias de confianza y protección en el uso de los sistemas electrónicos y medios de comunicación. Promover la gestión de la seguridad, prevenir, detectar y dar respuesta ante posibles incidentes de seguridad para garantizar la confidencialidad, integridad y protección de la información de los servicios a través de Internet. Las guías del Centro Criptológico Nacional (CCN-STIC) comprenden un conjunto de documentos, instrucciones, guías y buenas prácticas recomendadas. Con ellos se proporciona a las empresas herramientas adecuadas para mejorar el grado de ciberseguridad de sus sistemas de información. Más concretamente, la serie CCN-STIC 800 comprende un conjunto de guías para favorecer la implementación del ENS y cómo ayudar a mejorar el cumplimiento de sus disposiciones. Los principios básicos del ENS para garantizar que una empresa pueda cumplir los objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información se basan en la gestión de la seguridad, conservación, prevención, detección y respuesta. También en la existencia de líneas de defensa y de vigilancia continua. Tres grupos de medidas de seguridad El ENS estructura las medidas de seguridad en tres grupos: El marco organizativo: está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad, tales como la política, la normativa y el procedimiento de seguridad y el proceso de autorización. El marco operacional, formado por las medidas para proteger la operación del sistema. Incluye la planificación, el control de accesos, servicios externos y en la nube y la monitorización. Y, por último, las medidas de protección, que se centran en la salvaguarda de activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad. Se refiere a las instalaciones e infraestructuras, la gestión del personal, la protección de equipos, soportes, aplicaciones, información, servicios y de comunicaciones. Requisitos para proteger la información Los requisitos mínimos para permitir una protección adecuada de la información y los servicios son: Política de seguridad: debe definir los objetivos y principios generales de la seguridad de la información, así como la estrategia para alcanzarlos. Análisis y gestión de riesgos: se han de identificar los activos y los riesgos asociados a la información que manejan, y establecer medidas para gestionarlos adecuadamente. Sistemas de gestión de la seguridad de la información: su finalidad es planificar, implementar, revisar y mejorar continuamente las medidas de seguridad. Medidas de seguridad: se deben aplicar medidas de seguridad técnicas y organizativas para proteger la confidencialidad, integridad y disponibilidad de la información, tales como controles de acceso, cifrado, copias de seguridad y recuperación de desastres. Planes de contingencia y continuidad del negocio, que permitan restaurar la normalidad de las operaciones en caso de interrupciones o desastres. Designación de responsables de seguridad de la información, que se encarguen de garantizar el cumplimiento de las medidas de seguridad establecidas. ¿A quién se aplica el Esquema Nacional de Seguridad? El Esquema Nacional de Seguridad (ENS) se aplica a toda la Administración General del Estado (AGE), las comunidades autónomas, las administraciones locales, las entidades de derecho público y a los ciudadanos relacionados con el sector público. También se aplica a todas las empresas proveedoras de servicios a la Administración Pública, incluyendo las que prestan servicios de tecnología de la información y comunicaciones, servicios en la nube, de gestión de procesos empresariales, etc. «El ENS es de aplicación obligatoria para todas las entidades y empresas que manejan información clasificada, así como para aquellas que manejan información que, aunque no esté clasificada, es crítica o estratégica para la gestión y el funcionamiento de la Administración Pública». También se recomienda su aplicación a otras entidades y empresas que manejen información sensible y que deseen mejorar su seguridad de la información. En resumen, cualquier empresa de servicios que trabaje con la Administración Pública está obligada a pasar una auditoría interna para adaptarse al Esquema Nacional de Seguridad. Imagen de creativeart en Freepik Cómo trabajar en equipo como un animalRanking de las tecnologías con mejores perspectivas de implementación
Telefónica Pymes AVISO: En Think Big Pymes nos trasladamos A partir de ahora, TODOS los contenidos del blog Think Big Pymes, se trasladan a la Comunidad Empresas, un espacio de referencia para la pequeña y mediana empresa, donde...
Íñigo Morete Ortiz Explora las novedades de Telefónica Open Gateway en su newsletter En la actualidad, acceder a información actualizada es un impulsor indispensable para el progreso empresarial, permitiendo que las empresas avancen de manera más ágil y eficiente. Hoy en día...
Telefónica Pymes Joinup, movilidad sostenible para empresas y empleados Los servicios de movilidad corporativa cada día toman una mayor relevancia en el panorama laboral, una oportunidad de negocio que hace más de una década detectaron Elena Peyró y...
Telefónica Pymes Transformando el calor en frío para ser más eficientes. El caso de Castellana de Carnes ¿Y si el sol pudiera convertir el calor en frío? Seguimos visitando empresas que ya han descubierto las grandes ventajas de pasarse a la energía solar. En esta ocasión...
Raúl Alonso ¿Estás preparado para cumplir con la nueva factura electrónica obligatoria? La obligación para pymes y autónomos de emitir facturas de forma electrónica o digital se demora hasta mediados de 2025. Cierto que aún queda tiempo para prepararse, pero aquellos...
Álvaro Álvarez ¿Cómo mejorar la protección de los datos personales de tus clientes? La protección de los datos personales de los clientes es una prioridad para las empresas. No solo por la obligación de cumplir con la jurisprudencia de la conocida LOPD...