ENS ¿Que es el Esquema Nacional de Seguridad? Objetivos y ámbito de actuación

Menú

Esquema Nacional de Seguridad

¿Qué es el Esquema Nacional de Seguridad ENS?

El Esquema Nacional de Seguridad (ENS) se basa en la Ley 11/2007 pubicado en e BOE núm. 150, de 23/06/2007 (y desarrollado posteriormente por el  Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, el cual a su vez fue modificado por el Real Decreto 951/2015), art. 42 que tiene por objeto

  • Implantar una política de Seguridad en el uso de los medios electrónicos de la Administración publica
  • Garantizar la protección apropiada de la información mediante:
    • Requisitos Básicos para la protección de la información
    • Definición de unos Requisitos Mínimos

¿En qué se basa el Esquema Nacional de Seguridad – ENS?

El esquema Nacional de seguridad (ENS) lo desarrolla básicamente el Centro Criptológico Nacional con la colaboración de todas las Administraciones Publicas (AA.PP.) y habiendo consultado también las recomendaciones de:

  • Las universidades publicas
  • La industria del Sector TIC
  • Directrices internacionales y Europeas
    • Directrices de seguridad de la información y de las redes:
    • Políticas de Seguridad de las organizaciones
    • Políticas sobre Firma electrónica
    • Plan de acción sobre administración electrónica i2010
  • Estudios sobre las buenas prácticas en Seguridad de la Información (Análisis y gestión de riesgos en seguridad de la Información)

Ámbito de aplicación del ENS

Deben cumplir con los requisitos del ENS

  • La administración General del Estado
  • Las Comunidades Autónomas y
  • Las Administraciones Locales
  • Las entidades de derecho público vinculadas o dependientes de las mismas
  • A los ciudadanos en sus relaciones con las Administraciones Públicas.
  • Las relaciones entre las distintas Administraciones Públicas

Únicamente están fuera de los requisitos del ENS aquellos sistemas de información que manejan “Información Clasificada”

Una pregunta típica en este punto es si el ENS afecta o no a las Universidades y Hospitales Públicos

La respuesta es:

Las Universidades y Hospitales Públicos como entidades vinculadas e la administración pública están igualmente afectadas por el ENS

En concreto con las Adversidades públicas se ha establecido un grupo de trabajo denominado “Comisión Sectorial de Tecnologías de la Información y las Comunicaciones” para establecer escenarios de colaboración en la Seguridad de la Información.

¿Que persigue el ENS?

El ENS persigue un triple objetivo

  • LA CONFIANZA
    Fomentar y conseguir la confianza en el uso de los medios electrónicos de la administración por parte de los usuarios estableciendo medidas de seguridad adecuadas
  • UNIFICAR CRITERIOS
    Mediante el establecimiento de elementos comunes que consigan unificar las medidas de seguridad empleadas por las administraciones en materia de Seguridad de la Información
  • INTEGRACION DE SISTEMAS
    Establecer un idioma común para la interacción entre las distintas administraciones y a la hora de establecer requisitos para la seguridad a los proveedores de la industria de sistemas de información.

 OBTENGA EL PRECIO EN MENOS DE UN MINUTO

Los ingredientes del ENS

Para conseguir los objetivos anteriormente descritos el ENS cuenta con los siguientes elementos

LOS PRINCIPIOS BASICOS DEL ENS

Se trata de los criterios que debemos tener en cuenta en el momento de la toma de decisiones en materia de seguridad de la información y se refieren a:

  • Seguridad Integral
  • Gestión de Riesgos
  • Prevención reacción y recuperación
  • Líneas de Defensa
  • Reevaluación periódica
  • La Seguridad como función diferenciada

LOS REQUISITOS MINIMOS DEL ENS

Se trata de la definición de requisitos concretos en seguridad de la información a cumplir por los diferentes tipos de sistemas los cuales se agrupan en:

  • Organización e implantación del sistema de seguridad
  • Análisis y gestión de riesgos
  • Gestión del personal
  • Profesionalidad
  • Autorización y control de accesos
  • Protección de las instalaciones
  • Adquisición de productos
  • Seguridad por defecto
  • Integridad y actualización del sistema
  • Protección de la información almacenada en transito
  • Prevención ante otros sistemas de información interconectados
  • Registro de la actividad
  • Incidentes de seguridad
  • Continuidad de la actividad
  • Mejora de la continuidad del proceso

CLASIFICACION DE LOS SISTEMAS DE INFORMACION

El siguiente elemento a tener en cuenta es la necesidad de categorizar los sistemas de información para determinar la importancia en sí de cada sistema. Para ello se establecen tres tipos de niveles de categorización:

Categorías de sistemas EN EL ENS

  • 1. Categoría ALTA
    Cuando cualquiera de los riesgos en la seguridad de la información pueda causar un daño catastrófico.
  • 2. Categoría MEDIA
    Cuando cualquiera de los riesgos en la seguridad de la información pueda causar un perjuicio grave no existiendo ninguno de nivel superior
  • 3. Categoría BAJA
    Cuando los riesgos en la seguridad de la información no superan la causa de un perjuicio limitado no existiendo ninguno de nivel grave o superior

Cada sistema de información podrá ser tratado de forma independiente en cuanto a las medidas de seguridad de la Información según su categoría.

MEDIDAS DE SEGURIDAD EN EL ENS

Finalmente tras un análisis de los requisitos de seguridad y evaluados por el nivel de impacto estimado resultante de un análisis de riesgos se establecerán las medidas de seguridad pertinentes que pueden afectar a:

  • Nivel de la organización: medidas en el nivel de la organización del sistema de seguridad que exigen tener:
    • Política de Seguridad
    • Normativa de Seguridad
    • Procedimientos de Seguridad
    • Procesos de autorización
  • Nivel Operacional : Medidas de protección a nivel de la operación del sistema de la información:
    • Planificación
    • Control de acceso
    • Servicios externos
    • Continuidad del servicio
    • Monitorización del sistema
  • Nivel de protección: Medidas para proteger activos concretos de información
    • Protección de las instalaciones e infraestructuras
    • Gestión del personal
    • Protección de los equipos
    • Protección de las comunicaciones
    • Protección de los soportes de la información
    • Protección de las aplicaciones informáticas
    • Protección de la información
    • Protección de los servicios

AUDITORIA DE SEGURIDAD

La realización de auditorías de seguridad es obligatoria en los sistemas de información que tengan la categoría de MEDIA o ALTA

¿Qué es una auditoria en ENS?

Se trata de una revisión y examen independiente de los registros y actividades del sistema de información

Sistemas de información

Un “Sistemas de información” es el conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir

¿Quién realiza las auditorias de Seguridad en el ENS?

El ENS puede ser auditado tanto por internos como externos independientes y capacitados para realizar el proceso de auditoría

¿Qué quiere decir independientes?

La independencia de los auditores quiere decir que no pueden ser auditores los mismos que operan o participan en el sistema de información

Capacidades:

El equipo auditor debe tener un jefe del equipo de auditoría y expertos que demuestren que disponen de los conocimientos suficientes para asegurar la adecuada realización de la auditoría.

certificación ens ¿Quién tiene que realizar las auditorias y cuándo?

  • Para los sistemas de información de categoría BASICA no es obligatorio realizar una auditoría, basta con un informe de autoevaluación
    • La puede realizar el mismo personal que gestiona el sistema de información
    • Se deberá documentar como están implantadas las medidas de seguridad y las evidencias de que son revisadas y mantenidas
    • Se deberá informar al responsable de seguridad de los resultados y conclusiones del informe quien adoptara las medidas correctoras necesarias derivadas del informe
  • Para los sistemas de categoría MEDIA O ALTA las auditorias son obligatorias
    • Periodicidad: Cada 2 años o siempre que se produzcan modificaciones importantes en el sistema de información que puedan afectar a la seguridad.
    • Informe de Auditoria: El informe de auditoría tendrá los siguientes elementos
      • Alcance y objetivo de la auditoría
      • Criterios metodológicos de auditoría utilizados
      • Datos, hechos y observaciones en que se basen las conclusiones formuladas.
      • Identificación de las deficiencias
      • Dictamen sobre el grado de cumplimiento del ENS
      • Sugerencia de posibles medidas correctoras o complementarias que sean necesarias
      • Recomendaciones
    • Resultados: los informes deben ser revisados por el responsable de seguridad del sistema quien deberá:
      • Adoptar medidas necesarias
      • Comunicarlo al responsable de la organización
      • Tenerlos disponibles por si son solicitados por en CCN (Centro Criptológico Nacional)
      • Determinar la adopción de medidas extraordinarias si fueran necesarias

Para ampliar información sobre el ENS puede consultar en https://www.ccn.cni.es/index.php/es/esquema-nacional-de-seguridad-ens.

Puede consultas la lista de empresas certificadas en  https://www.ccn.cni.es/index.php/es/esquema-nacional-de-seguridad-ens/empresas-certificadas,

Para consultas las guías del CCN, los requisitos, productos certificados puede consultar en https://www.ccn-cert.cni.es/evens/

 

Los ingredientes del ENS

Entre las principales modificaciones que se introducirán podemos mencionar:

Cualificación del Personal para las Auditorias de Seguridad

Según el artículo 15, se requerirá la cualificación del personal para las labores de auditoría de seguridad, exigiéndose a los proveedores la necesaria participación de profesionales cualificados para la prestación de servicios.

Medidas compensatorias de Seguridad

Como novedad, según el Artículo 19 será posible reemplazar las medidas de seguridad del Anexo II por otras compensatorias que permitan protegerse equivalente o mejorada frente a los riesgos identificados. La aplicación de medidas compensatorias deberá detallarse y justificarse en la Declaración de Aplicabilidad, que estará firmada por el Responsable de Seguridad.

Especificación Técnica para Auditorias de seguridad

Está previsto el desarrollo de una instrucción técnica con el objeto de regular el desarrollo de las auditorías de seguridad previstas por el ENS

Notificación de Incidentes

El artículo 36 introduce la necesidad de notificar al Centro Criptológico Nacional todos los incidentes que tengan un impacto significativo en la seguridad de los servicios e información.

Nuevo Conjunto de Instrucciones Técnicas

Además está previsto desarrollar un conjunto de Instrucciones Técnicas de Seguridad de obligado cumplimiento, relativas a:

Por otro lado, se incluyen otras modificaciones en las medidas de seguridad del Anexo II del ENS que afectan a tanto a los requisitos de seguridad como a sus niveles aplicables.

Proyecto ENS

MEDIAS COMPENSATORIAS

¿CUÁNDO PODEMOS UTILIZAR ESTAS MEDIDAS COMPENSATORIAS?

El mismo ENS nos lo explica:

“cuando se justifique documentalmente que protegen igual o mejor del riesgo sobre los activos (Anexo I) y se satisfacen los principios básicos y los requisitos mínimos “

¿EN BASE A QUÉ CRITERIOS PODEMOS ADOPTAR LA APLICACIÓN DE MEDIDAS COMPENSATORIAS?

“en base a razones técnicas, operativas, presupuestarias o de otro tipo, debidamente documentadas y justificadas, no esté en condiciones de aplicar alguna de las antedichas medidas de seguridad, podrá adoptar una medida compensatoria”

Y siempre que:

  • Se incluya esta excepción en la declaración de aplicabilidad
  • Sean aprobadas formalmente por el responsable de Seguridad

¿QUÉ REQUISITOS DEBEN CUMPLIR LAS MEDIDAS COMPENSATORIAS?

  • Dar respuesta al propósito de la medida de seguridad que compensa, en toda su extensión y rigurosidad.
  • Proporcionar, al menos, un nivel de protección similar al de la medida de seguridad que compensa

EXCLUSIONES

Están excluidos del ámbito de aplicación los sistemas que tratan información clasificada regulada por Ley 9/1968,

Si desea conocer los costes asociados a la implantación de la Norma, en los siguientes enlaces puede obtener la información que necesita:

Obtenga Aquí un Presupuesto On line de la implantación de la Norma.

Presupuesto Online ISO 50001

Presupuesto Online

Solicite Aquí Asesoría Personalizada de la implantación de la Norma.

Asesoría ISO 50001

Contáctanos

Nuevas ISO 9001 & ISO 14001 – 2015 –

Presupuesto Online Adaptación ISO 45001

Mas información Consultoría Online

Consultoría On Line

AHORRO DE COSTES

Implantar sistemas de calidad de
forma eficiente y económica

FORMACION - CAPACITACION

Acceso a nuestra plataforma de formación de cursos ON-LINE. !Forme a su personal como Auditores Internos!

GESTION ON-LINE

¡Consulta tus dudas en cualquier momento!

REDUCIR EL TIEMPO DEDICADO

Sin desplazamientos ni tiempos muertos de gestión.

GESTOR DOCUMENTAL

Gestión de los documentos en Servidores Seguros : Disponibilidad Total de la Información.

CALIDAD

Nuestros consultores son expertos y te damos siempre la ¡Garantía de Certificación!

Consultoría Online aplicable en mi empresa
Consultoría Online aplicable en mi empresa

Desde cualquier lugar del mundo

Cursos Normas ISO – Campus Online

Capacítate con nosotros y mejora tu CV

Mas información Cursos Normas ISO

llamada gratuita
  • + de 15 años de Experiencia
  • 100% Empresas certificadas a la primera
  • + de 5.000 Empresas asesoradas

Newsletter Normas ISO

NEWSLETTER
* This field is required

Haga AQUI su consulta

Referencias

Empresas asesoradas por Normas ISO

Envíenos su consulta

  •   Acepto la Politica de Privacidad

Donde estamos

DELEGACION CENTRO
[Tel. 91 134 14 68 ]
Madrid
Paseo de la Castellana 259
Torre de Cristal
DELEGACION NOROESTE
[Tel. 93 550 08 94]
Barcelona
Edif. Este, Moll de Barcelona, s/n DELEGACION SUR
[Tel. 95 532 86 00]
Sevilla
Córdoba
Avda. Torrecilla s/n, Centro
Industrial La Torre nave 38
DELEGACION NORTE
Navarra [Tel. 948 985 753]
C/ Mayor Nº 15
Burlada
Bilbao
[Tel. 946 545 010]
Logroño
[Tel. 900 897 931]
General Vara de Rey 64
DELEGACION NOROESTE
[Teléfono 900 897 931]
A Coruña
Calle Rua de Amio 114
Llamada gratuita 900 897 931
Normas ISO Donde Estamos

Autopresupuesto sin compromiso

Rellene este formulario y recibirá automáticamente el presupuesto en su email



Sector Servicios
Sector Fabricación
Otros

Si
No

















Acepto la Política y los Términos & condiciones