¿A quién va dirigido?

El Esquema Nacional de Seguridad (conocido como ENS por sus siglas) aplica a los organismo públicos y a entidades vinculadas y/o dependientes de los mismos, y aplica a todas aquellas actividades que lleve a cabo dicho organismo público en régimen de derecho público. Sin embargo, también se establece que cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas a las que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, estas organizaciones privadas también deberán cumplir con el ENS de manera indirecta.

¿Qué es?

Esquema Nacional de Seguridad se regula en el Real Decreto 3/2010 del 8 de enero, que fue modificado por el Real Decreto 951/2015 del 23 de octubre, y que de nuevo en 2021 está siendo revisado, esperándose una nueva modificación a finales de 2021 o principios de 2022.

El ENS establece los principios básicos y requisitos mínimos necesarios para proporcionar una protección adecuada de la información y los servicios, definiendo un denominador común normativo en materia de seguridad electrónica de los sistemas de información de los organismos públicos. Esta regulación concibe la seguridad como una actividad integral, consistente en analizar los riesgos de seguridad a los que están expuestos las redes y sistemas considerados y diseñar y desplegar las medidas de seguridad (tanto de carácter organizativo como de carácter normativo, operativo y tecnológico) necesarias para mitigar los riesgos identificados, desarrollando estas tareas de forma cíclica, de modo que las medidas de seguridad adoptadas se puedan ir adecuando a la situación cambiante de los servicios prestados.

Objetivos

Los objetivos del Esquema Nacional de Seguridad se pueden resumir en los siguientes puntos:

• Crear las condiciones de seguridad necesarias para que los ciudadanos, las empresas y las propias administraciones públicas confíen en el uso de los medios electrónicos para relacionarse con las administraciones públicas.
• Garantizar, en la medida de lo posible, la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, de manera que tanto los ciudadanos como las Administraciones públicas puedan realizar el ejercicio de derechos y el cumplimiento de deberes a través de estos medios electrónicos.
• Fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.

Beneficios de tenerlo

Llevar a cabo la adecuación al Esquema Nacional de Seguridad va a permitir:

• Disponer de un mecanismo por el que los riesgos de seguridad de la información que puedan afectar a la organización se analizan de manera sistemática.
• Estar seguro de que la seguridad de la información de la organización está gestionada de manera transversal y concebida como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales.
• Hacer uso de un catálogo de medidas de seguridad que garantizan unos niveles mínimos de protección de la disponibilidad, la integridad, la confidencialidad, la autenticidad y la trazabilidad de la información tratada.
• Asegurarse de que los mecanismos de seguridad establecidos son objeto de auditoría periódica, al menos cada dos años, que verifique el cumplimiento de los requerimientos establecidos por el propio ENS.

Factores a tener en cuenta para la adecuación al Esquema Nacional de Seguridad

• El tamaño de la organización.
• Los servicios afectados
• Los sistemas de información afectados
• La categoría de los sistemas de información
• El nivel de madurez en seguridad.
• Otros aspectos organizativos.

Fases del proceso de adecuación al Esquema Nacional de Seguridad

Fase 1. Lanzar el proyecto

La adecuación al ENS debe contar con la implicación del órgano superior de la organización, ya que deberán aprobar la Política de Seguridad, que establece el marco de actuación que debe regir la gestión de la seguridad de la información.

Fase 2. Delimitar el alcance

La organización debe identificar el listado de servicios afectados por el ENS, así como los sistemas de información que los soportan. El catálogo de servicios electrónicos o el listado de trámites y procedimientos de la organización podrían ser un buen punto de partida, aunque no se deben olvidar los procedimientos internos relacionados con el cumplimiento de deberes. La identificación de los sistemas de información vendrá asociada a la identificación de las aplicaciones, infraestructuras y/o componentes TIC que soportan la prestación de los servicios, trámites y/o procedimientos anteriormente identificados.

Fase 3. Categorización de los sistemas

La categorización de los sistemas vendrá derivada de la valoración de los servicios identificados anteriormente (en tres niveles, Bajo, Medio o Alto) por cada una de las dimensiones de seguridad consideradas por el ENS (disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad), y la determinación del valor máximo que alcanza cualquiera de los servicios que están soportados por un mismo sistema de información, que se corresponderá con la categoría de dicho sistema de información.

Fase 4. Análisis de riesgos

Posteriormente se llevará a cabo el análisis de los riesgos a los que está sujeto cada sistema de información, utilizándose para ello una metodología reconocida y cuyo nivel de precisión vendrá determinado por la categoría de los sistemas de información de los que se esté analizando el riesgo.

Fase 5. Determinación de las medidas de seguridad aplicables

También se deberá llevar a cabo la determinación de las medidas de seguridad aplicables, cuya relación se recogerá en un documento denominado “Declaración de Aplicabilidad”. Dicho listado será consecuencia de identificar el listado de medidas de seguridad que el propio ENS establece en función de la categoría de los sistemas de información y la valoración de los servicios, y completarlo con el listado de medidas de seguridad que sea necesario aplicar con el fin de mitigar riesgos que tras el análisis de riesgos hayan resultado excesivos.

Fase 6. Desarrollo del plan de adecuación

Posteriormente se elaborará un plan de adecuación, en el que se planificarán los proyectos de desarrollo y/o mejora de todas aquellas medidas de seguridad que la Declaración de Aplicabilidad haya establecido como aplicables y que la organización no tenga desarrolladas en los términos exigidos por el ENS.

Fase 7. Ejecución de los proyectos del plan de adecuación

La organización llevará a cabo la adecuación al ENS propiamente dicha, desarrollando todos los proyectos previstos en el plan de adecuación, y que podrán contemplar tanto medidas de carácter tecnológico como medidas de carácter organizativo, operativo o contractual, dependiendo del plan específico de cada organización.

Fase 8. Auditoría

Tras la finalización de los proyectos de adecuación al ENS se deberá llevar a cabo una auditoría global, donde de manera objetiva e independiente se evalúe el grado de cumplimiento de los requisitos del ENS. Dicha auditoría, en función de la categoría de los sistemas, deberá ser llevada a cabo por una entidad de certificación acreditada.

Fase 9. Operación y mantenimiento

La adecuación al Esquema Nacional de Seguridad supone la gestión continua de la seguridad en forma de proceso. Por lo tanto, la auditoría no hará sino dar comienzo a un nuevo ciclo de gestión donde se deberán reevaluar los riesgos, adaptar las medidas de seguridad que se considere oportuno, y mantener mientras tanto todas las medidas de seguridad establecidas en óptimas condiciones de funcionamiento, dando comienzo de este modo a un ciclo continuo de gestión y mejora de la seguridad.

Referencias

Portal del CCN-Cert en relación al Esquema Nacional de Seguridad: https://ens.ccn.cni.es/es/

Portal de Administración Electrónica del Gobierno de España, con información relativa al ENS: https://administracionelectronica.gob.es/pae_Home/pae_Estrategias/pae_Seguridad_Inicio/pae_Esquema_Nacional_de_Seguridad.html