En un anterior artículo hablaba de los puntos que debe abordar una auditoría interna para conseguir la Certificación del Esquema Nacional de Seguridad (ENS), para empresas que sean proveedoras del sector público. Pero ¿qué es el Esquema Nacional de Seguridad?
El Esquema Nacional de Seguridad es un conjunto de políticas y normas que establece las medidas necesarias para garantizar la seguridad de la información en el ámbito de la Administración Pública en España. Con él se trata de «asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos».
Su última modificación, por Real Decreto RD 311/2022 de 3 de mayo de 2022, constituye una de las medidas del paquete de actuaciones urgentes. Su objetivo es reforzar de manera inmediata las capacidades de defensa frente a las ciberamenazas del sector público y de las entidades privadas que colaboren con éste en la prestación de servicios o en el suministro de tecnología.
El ENS es de aplicación obligatoria para todas las empresas del sector público estatal, autonómico y local, empresas del sector privado que suministren servicios o provean de soluciones a la Administración Pública y sistemas que traten con información clasificada.
Una de las razones para crear el ENS es la intensificación de las ciberamenazas y ciberincidentes dentro del marco estratégico de ciberseguridad. El avance de las nuevas tecnologías y la evolución de muchas empresas en transformación digital han sido uno de los principales motivos.
Defensa frente a las ciberamenazas
El objetivo del ENS es crear las condiciones necesarias de confianza y protección en el uso de los sistemas electrónicos y medios de comunicación. Promover la gestión de la seguridad, prevenir, detectar y dar respuesta ante posibles incidentes de seguridad para garantizar la confidencialidad, integridad y protección de la información de los servicios a través de Internet.
Las guías del Centro Criptológico Nacional (CCN-STIC) comprenden un conjunto de documentos, instrucciones, guías y buenas prácticas recomendadas. Con ellos se proporciona a las empresas herramientas adecuadas para mejorar el grado de ciberseguridad de sus sistemas de información. Más concretamente, la serie CCN-STIC 800 comprende un conjunto de guías para favorecer la implementación del ENS y cómo ayudar a mejorar el cumplimiento de sus disposiciones.
Los principios básicos del ENS para garantizar que una empresa pueda cumplir los objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información se basan en la gestión de la seguridad, conservación, prevención, detección y respuesta. También en la existencia de líneas de defensa y de vigilancia continua.
Tres grupos de medidas de seguridad
El ENS estructura las medidas de seguridad en tres grupos:
- El marco organizativo: está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad, tales como la política, la normativa y el procedimiento de seguridad y el proceso de autorización.
- El marco operacional, formado por las medidas para proteger la operación del sistema. Incluye la planificación, el control de accesos, servicios externos y en la nube y la monitorización.
- Y, por último, las medidas de protección, que se centran en la salvaguarda de activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad. Se refiere a las instalaciones e infraestructuras, la gestión del personal, la protección de equipos, soportes, aplicaciones, información, servicios y de comunicaciones.
Requisitos para proteger la información
Los requisitos mínimos para permitir una protección adecuada de la información y los servicios son:
Política de seguridad: debe definir los objetivos y principios generales de la seguridad de la información, así como la estrategia para alcanzarlos.
Análisis y gestión de riesgos: se han de identificar los activos y los riesgos asociados a la información que manejan, y establecer medidas para gestionarlos adecuadamente.
Sistemas de gestión de la seguridad de la información: su finalidad es planificar, implementar, revisar y mejorar continuamente las medidas de seguridad.
Medidas de seguridad: se deben aplicar medidas de seguridad técnicas y organizativas para proteger la confidencialidad, integridad y disponibilidad de la información, tales como controles de acceso, cifrado, copias de seguridad y recuperación de desastres.
Planes de contingencia y continuidad del negocio, que permitan restaurar la normalidad de las operaciones en caso de interrupciones o desastres.
Designación de responsables de seguridad de la información, que se encarguen de garantizar el cumplimiento de las medidas de seguridad establecidas.
¿A quién se aplica el Esquema Nacional de Seguridad?
El Esquema Nacional de Seguridad (ENS) se aplica a toda la Administración General del Estado (AGE), las comunidades autónomas, las administraciones locales, las entidades de derecho público y a los ciudadanos relacionados con el sector público.
También se aplica a todas las empresas proveedoras de servicios a la Administración Pública, incluyendo las que prestan servicios de tecnología de la información y comunicaciones, servicios en la nube, de gestión de procesos empresariales, etc.
«El ENS es de aplicación obligatoria para todas las entidades y empresas que manejan información clasificada, así como para aquellas que manejan información que, aunque no esté clasificada, es crítica o estratégica para la gestión y el funcionamiento de la Administración Pública».
También se recomienda su aplicación a otras entidades y empresas que manejen información sensible y que deseen mejorar su seguridad de la información.
En resumen, cualquier empresa de servicios que trabaje con la Administración Pública está obligada a pasar una auditoría interna para adaptarse al Esquema Nacional de Seguridad.
Imagen de creativeart en Freepik