Menú

Esquema Nacional de Seguridad

¿Qué es el Esquema Nacional de Seguridad ENS?

El Esquema Nacional de Seguridad se basa en la Ley 11/2007, art. 42 que tiene por objeto
  • Implantar una política de Seguridad en el uso de los medios electrónicos de la Administración publica
  • Garantizar la protección apropiada de la información mediante:
    • Requisitos Básicos para la protección de la información
    • Definición de unos Requisitos Mínimos

¿En qué se basa el ENS?

El esquema Nacional de seguridad lo desarrolla básicamente el Centro Criptológico Nacional con la colaboración de todas las Administraciones Publicas (AA.PP.) y habiendo consultado también las recomendaciones de:

  • Las universidades publicas
  • La industria del Sector TIC
  • Directrices internacionales y Europeas
    • Directrices de seguridad de la información y de las redes:
    • Políticas de Seguridad de las organizaciones
    • Políticas sobre Firma electrónica
    • Plan de acción sobre administración electrónica i2010
  • Estudios sobre las buenas prácticas en Seguridad de la Información (Análisis y gestión de riesgos en seguridad de la Información)

Ámbito de aplicación del ENS

Deben cumplir con los requisitos del ENS

  • La administración General del Estado
  • Las Comunidades Autónomas y
  • Las Administraciones Locales
  • Las entidades de derecho público vinculadas o dependientes de las mismas
  • A los ciudadanos en sus relaciones con las Administraciones Públicas.
  • Las relaciones entre las distintas Administraciones Públicas

Únicamente están fuera de los requisitos del ENS aquellos sistemas de información que manejan “Información Clasificada”

Una pregunta típica en este punto es si el ENS afecta o no a las Universidades y Hospitales Públicos La respuesta es:
Las Universidades y Hospitales Públicos como entidades vinculadas e la administración pública están igualmente afectadas por el ENS

En concreto con las Adversidades públicas se ha establecido un grupo de trabajo denominado “Comisión Sectorial de Tecnologías de la Información y las Comunicaciones” para establecer escenarios de colaboración en la Seguridad de la Información.

¿Que persigue el ENS?

El ENS persigue un triple objetivo

  • LA CONFIANZA
    Fomentar y conseguir la confianza en el uso de los medios electrónicos de la administración por parte de los usuarios estableciendo medidas de seguridad adecuadas
  • UNIFICAR CRITERIOS
    Mediante el establecimiento de elementos comunes que consigan unificar las medidas de seguridad empleadas por las administraciones en materia de Seguridad de la Información
  • INTEGRACION DE SISTEMAS
    Establecer un idioma común para la interacción entre las distintas administraciones y a la hora de establecer requisitos para la seguridad a los proveedores de la industria de sistemas de información.

Los ingredientes del ENS

Para conseguir los objetivos anteriormente descritos el ENS cuenta con los siguientes elementos

LOS PRINCIPIOS BASICOS

Se trata de los criterios que debemos tener en cuenta en el momento de la toma de decisiones en materia de seguridad de la información y se refieren a:

  • Seguridad Integral
  • Gestión de Riesgos
  • Prevención reacción y recuperación
  • Líneas de Defensa
  • Reevaluación periódica
  • La Seguridad como función diferenciada

LOS REQUISITOS MINIMOS

Se trata de la definición de requisitos concretos en seguridad de la información a cumplir por los diferentes tipos de sistemas los cuales se agrupan en:

  • Organización e implantación del sistema de seguridad
  • Análisis y gestión de riesgos
  • Gestión del personal
  • Profesionalidad
  • Autorización y control de accesos
  • Protección de las instalaciones
  • Adquisición de productos
  • Seguridad por defecto
  • Integridad y actualización del sistema
  • Protección de la información almacenada en transito
  • Prevención ante otros sistemas de información interconectados
  • Registro de la actividad
  • Incidentes de seguridad
  • Continuidad de la actividad
  • Mejora de la continuidad del proceso

CLASIFICACION DE LOS SISTEMAS DE INFORMACION

El siguiente elemento a tener en cuenta es la necesidad de categorizar los sistemas de información para determinar la importancia en sí de cada sistema. Para ello se establecen tres tipos de niveles de categorización:

Categorías de sistemas

  • 1. Categoría ALTA
    Cuando cualquiera de los riesgos en la seguridad de la información pueda causar un daño catastrófico.
  • 2. Categoría MEDIA
    Cuando cualquiera de los riesgos en la seguridad de la información pueda causar un perjuicio grave no existiendo ninguno de nivel superior
  • 3. Categoría BAJA
    Cuando los riesgos en la seguridad de la información no superan la causa de un perjuicio limitado no existiendo ninguno de nivel grave o superior

Cada sistema de información podrá ser tratado de forma independiente en cuanto a las medidas de seguridad de la Información según su categoría.

MEDIDAS DE SEGURIDAD

Finalmente tras un análisis de los requisitos de seguridad y evaluados por el nivel de impacto estimado resultante de un análisis de riesgos se establecerán las medidas de seguridad pertinentes que pueden afectar a:

  • Nivel de la organización: medidas en el nivel de la organización del sistema de seguridad que exigen tener:
    • Política de Seguridad
    • Normativa de Seguridad
    • Procedimientos de Seguridad
    • Procesos de autorización
  • Nivel Operacional : Medidas de protección a nivel de la operación del sistema de la información:
    • Planificación
    • Control de acceso
    • Servicios externos
    • Continuidad del servicio
    • Monitorización del sistema
  • Nivel de protección: Medidas para proteger activos concretos de información
    • Protección de las instalaciones e infraestructuras
    • Gestión del personal
    • Protección de los equipos
    • Protección de las comunicaciones
    • Protección de los soportes de la información
    • Protección de las aplicaciones informáticas
    • Protección de la información
    • Protección de los servicios

AUDITORIA DE SEGURIDAD

La realización de auditorías de seguridad es obligatoria en los sistemas de información que tengan la categoría de MEDIA o ALTA

¿Qué es una auditoria en ENS?

Se trata de una revisión y examen independiente de los registros y actividades del sistema de información

Sistemas de información Un “Sistemas de información” es el conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir

¿Quién realiza las auditorias de Seguridad en el ENS? El ENS puede ser auditado tanto por internos como externos independientes y capacitados para realizar el proceso de auditoría ¿Qué quiere decir independientes?

La independencia de los auditores quiere decir que no pueden ser auditores los mismos que operan o participan en el sistema de información

Capacidades: El equipo auditor debe tener un jefe del equipo de auditoría y expertos que demuestren que disponen de los conocimientos suficientes para asegurar la adecuada realización de la auditoría.

¿Quién tiene que realizar las auditorias y cuándo?

  • Para los sistemas de información de categoría BASICA no es obligatorio realizar una auditoría, basta con un informe de autoevaluación
    • La puede realizar el mismo personal que gestiona el sistema de información
    • Se deberá documentar como están implantadas las medidas de seguridad y las evidencias de que son revisadas y mantenidas
    • Se deberá informar al responsable de seguridad de los resultados y conclusiones del informe quien adoptara las medidas correctoras necesarias derivadas del informe
  • Para los sistemas de categoría MEDIA O ALTA las auditorias son obligatorias
    • Periodicidad: Cada 2 años o siempre que se produzcan modificaciones importantes en el sistema de información que puedan afectar a la seguridad.
    • Informe de Auditoria: El informe de auditoría tendrá los siguientes elementos
      • Alcance y objetivo de la auditoría
      • Criterios metodológicos de auditoría utilizados
      • Datos, hechos y observaciones en que se basen las conclusiones formuladas.
      • Identificación de las deficiencias
      • Dictamen sobre el grado de cumplimiento del ENS
      • Sugerencia de posibles medidas correctoras o complementarias que sean necesarias
      • Recomendaciones
    • Resultados: los informes deben ser revisados por el responsable de seguridad del sistema quien deberá:
      • Adoptar medidas necesarias
      • Comunicarlo al responsable de la organización
      • Tenerlos disponibles por si son solicitados por en CCN (Centro Criptológico Nacional)
      • Determinar la adopción de medidas extraordinarias si fueran necesarias

Si desea conocer los costes asociados a la implantación de la Norma, en los siguientes enlaces puede obtener la información que necesita:

Obtenga Aquí un Presupuesto On line de la implantación de la Norma.

Presupuesto Online ISO 50001
Presupuesto Online

Solicite Aquí Asesoría Personalizada de la implantación de la Norma.

Asesoría ISO 50001
Contáctanos

Mas información Consultoría Online

Consultoría On Line

AHORRO DE COSTES

Implantar sistemas de calidad de
forma eficiente y económica

FORMACION - CAPACITACION

Acceso a nuestra plataforma de formación de cursos ON-LINE. !Forme a su personal como Auditores Internos!

GESTION ON-LINE

¡Consulta tus dudas en cualquier momento!

REDUCIR EL TIEMPO DEDICADO

Sin desplazamientos ni tiempos muertos de gestión.

GESTOR DOCUMENTAL

Gestión de los documentos en Servidores Seguros : Disponibilidad Total de la Información.

CALIDAD

Nuestros consultores son expertos y te damos siempre la ¡Garantía de Certificación!

Consultoría Online aplicable en mi empresa
Consultoría Online aplicable en mi empresa

Desde cualquier lugar del mundo

Cursos Normas ISO – Campus Online

Capacítate con nosotros y mejora tu CV

Mas información Cursos Normas ISO

llamada gratuita
  • + de 15 años de Experiencia
  • 100% Empresas certificadas a la primera
  • + de 5.000 Empresas asesoradas

Newsletter Normas ISO

NEWSLETTER
* Este campo es obligatorio

Haga AQUI su consulta

Referencias

Empresas asesoradas por Normas ISO

Envíenos su consulta

  •   Acepto la Politica de Privacidad

Donde estamos

DELEGACION CENTRO
[Tel. 91 134 14 68 ]
Madrid
Paseo de la Castellana 259
Torre de Cristal
DELEGACION NOROESTE
[Tel. 93 550 08 94]
Barcelona
Edif. Este, Moll de Barcelona, s/n DELEGACION SUR
[Tel. 95 532 86 00]
Sevilla
Córdoba
Avda. Torrecilla s/n, Centro
Industrial La Torre nave 38
DELEGACION NORTE
Navarra [Tel. 948 985 753]
C/ Mayor Nº 15
Burlada
Bilbao
[Tel. 946 545 010]
Logroño
[Tel. 900 897 931]
General Vara de Rey 64
DELEGACION NOROESTE
[Teléfono 900 897 931]
A Coruña
Calle Rua de Amio 114
Llamada gratuita 900 897 931
Normas ISO Donde Estamos

Autopresupuesto sin compromiso

Rellene este formulario y recibirá automáticamente el presupuesto en su email



Sector Servicios
Sector Fabricación
Otros

Si
No