Qué es el Esquema Nacional de Seguridad (ENS) y a quiénes afectaLluis Serra 6 junio, 2023 En un anterior artículo hablaba de los puntos que debe abordar una auditoría interna para conseguir la Certificación del Esquema Nacional de Seguridad (ENS), para empresas que sean proveedoras del sector público. Pero ¿qué es el Esquema Nacional de Seguridad? El Esquema Nacional de Seguridad es un conjunto de políticas y normas que establece las medidas necesarias para garantizar la seguridad de la información en el ámbito de la Administración Pública en España. Con él se trata de «asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos». Su última modificación, por Real Decreto RD 311/2022 de 3 de mayo de 2022, constituye una de las medidas del paquete de actuaciones urgentes. Su objetivo es reforzar de manera inmediata las capacidades de defensa frente a las ciberamenazas del sector público y de las entidades privadas que colaboren con éste en la prestación de servicios o en el suministro de tecnología. El ENS es de aplicación obligatoria para todas las empresas del sector público estatal, autonómico y local, empresas del sector privado que suministren servicios o provean de soluciones a la Administración Pública y sistemas que traten con información clasificada. Una de las razones para crear el ENS es la intensificación de las ciberamenazas y ciberincidentes dentro del marco estratégico de ciberseguridad. El avance de las nuevas tecnologías y la evolución de muchas empresas en transformación digital han sido uno de los principales motivos. Defensa frente a las ciberamenazas El objetivo del ENS es crear las condiciones necesarias de confianza y protección en el uso de los sistemas electrónicos y medios de comunicación. Promover la gestión de la seguridad, prevenir, detectar y dar respuesta ante posibles incidentes de seguridad para garantizar la confidencialidad, integridad y protección de la información de los servicios a través de Internet. Las guías del Centro Criptológico Nacional (CCN-STIC) comprenden un conjunto de documentos, instrucciones, guías y buenas prácticas recomendadas. Con ellos se proporciona a las empresas herramientas adecuadas para mejorar el grado de ciberseguridad de sus sistemas de información. Más concretamente, la serie CCN-STIC 800 comprende un conjunto de guías para favorecer la implementación del ENS y cómo ayudar a mejorar el cumplimiento de sus disposiciones. Los principios básicos del ENS para garantizar que una empresa pueda cumplir los objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información se basan en la gestión de la seguridad, conservación, prevención, detección y respuesta. También en la existencia de líneas de defensa y de vigilancia continua. Tres grupos de medidas de seguridad El ENS estructura las medidas de seguridad en tres grupos: El marco organizativo: está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad, tales como la política, la normativa y el procedimiento de seguridad y el proceso de autorización. El marco operacional, formado por las medidas para proteger la operación del sistema. Incluye la planificación, el control de accesos, servicios externos y en la nube y la monitorización. Y, por último, las medidas de protección, que se centran en la salvaguarda de activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad. Se refiere a las instalaciones e infraestructuras, la gestión del personal, la protección de equipos, soportes, aplicaciones, información, servicios y de comunicaciones. Requisitos para proteger la información Los requisitos mínimos para permitir una protección adecuada de la información y los servicios son: Política de seguridad: debe definir los objetivos y principios generales de la seguridad de la información, así como la estrategia para alcanzarlos. Análisis y gestión de riesgos: se han de identificar los activos y los riesgos asociados a la información que manejan, y establecer medidas para gestionarlos adecuadamente. Sistemas de gestión de la seguridad de la información: su finalidad es planificar, implementar, revisar y mejorar continuamente las medidas de seguridad. Medidas de seguridad: se deben aplicar medidas de seguridad técnicas y organizativas para proteger la confidencialidad, integridad y disponibilidad de la información, tales como controles de acceso, cifrado, copias de seguridad y recuperación de desastres. Planes de contingencia y continuidad del negocio, que permitan restaurar la normalidad de las operaciones en caso de interrupciones o desastres. Designación de responsables de seguridad de la información, que se encarguen de garantizar el cumplimiento de las medidas de seguridad establecidas. ¿A quién se aplica el Esquema Nacional de Seguridad? El Esquema Nacional de Seguridad (ENS) se aplica a toda la Administración General del Estado (AGE), las comunidades autónomas, las administraciones locales, las entidades de derecho público y a los ciudadanos relacionados con el sector público. También se aplica a todas las empresas proveedoras de servicios a la Administración Pública, incluyendo las que prestan servicios de tecnología de la información y comunicaciones, servicios en la nube, de gestión de procesos empresariales, etc. «El ENS es de aplicación obligatoria para todas las entidades y empresas que manejan información clasificada, así como para aquellas que manejan información que, aunque no esté clasificada, es crítica o estratégica para la gestión y el funcionamiento de la Administración Pública». También se recomienda su aplicación a otras entidades y empresas que manejen información sensible y que deseen mejorar su seguridad de la información. En resumen, cualquier empresa de servicios que trabaje con la Administración Pública está obligada a pasar una auditoría interna para adaptarse al Esquema Nacional de Seguridad. Imagen de creativeart en Freepik Cómo trabajar en equipo como un animalRanking de las tecnologías con mejores perspectivas de implementación
Cristóbal Corredor Ardoy Manual de Responsabilidad Social Corporativa para pymes La Responsabilidad Social Corporativa (RSC) está de moda, hasta tal punto que los expertos en sostenibilidad son los profesionales más demandados, sólo por detrás de los ingenieros en inteligencia...
Alfonso Alcántara No seas el mejor conferenciante, sé el más adecuado Existen tres tipos de conferenciantes: Los que muestran cómo hacer algo; los que explican o conceptualizan la realidad; y los que repiten que «lo importante es la actitud». ¿Las personas...
Eva María Oviedo Testamento empresarial: deja tu empresa en buenas manos Una empresa es una parte importante del patrimonio que tanto ha costado levantar. Por eso es necesario atar y preparar de forma adecuada la sucesión en caso de fallecimiento. Normalmente...
Raúl Alonso Herramientas de inteligencia artificial para vender más en tu tienda online La inteligencia artificial lleva la gestión del comercio online a una nueva dimensión. Sus soluciones ya son utilizadas por los grandes operadores de la venta en línea, y ahora...
Raúl Salgado 3 claves para tener éxito en el ecosistema empresarial actual ¿Es España un país para emprender? He ahí un gran debate. Lo cierto es que hoy en día los emprendedores en nuestro país se enfrentan a un buen número...
Mercedes Blanco Cómo tener el dominio .ai en tu web En el mundo hay un total de 155.927 dominios .ai activos con una tendencia ascendente desde 2020, especialmente acusada desde la irrupción de ChatGPT. “Expert.ai” llegó a venderse por...