El Esquema Nacional de Seguridad fue creado para definir los requisitos de seguridad de la información en el contexto de la Administración electrónica.
El ENS define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de la información.
El objetivo del Esquema Nacional de Seguridad no es otro que conseguir la confianza de los usuarios y de las organizaciones ante el uso de medios electrónicos, , a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permitan el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Para ello se establecen medidas específicas para la seguridad con el siguiente alcance:
-
Marco Organizativo
- Política de seguridad
- Normativa de seguridad
- Procedimientos de seguridad
- Proceso de autorización
-
Marco operacional
- Planificación
- Control de accesos
- Explotación
- Servicios externos
- Continuidad del servicio
- Monitorización del sistema
-
Medidas de protección
- Instalaciones e infraestructuras
- Gestión del Personal
- Protección de los equipos
- Protección de las comunicaciones
- Protección soportes de información
- Protección aplicaciones informáticas
- Protección de la información
- Protección de los servicios
Organizaciones sometidas al Esquema Nacional de Seguridad
El ENS es una norma de obligado cumplimiento para todos los Sistemas de Información de las administraciones públicas, independientemente de su ubicación.
Por tanto, es de obligatorio cumplimiento el ENS no sólo a los Sistemas de Información que estén operados por personal de las administraciones públicas y/o en dependencias de las administraciones públicas, sino también a aquellos otros que, estando operados por terceros, incluso en dependencias de terceros, desarrollan funciones, misiones, cometidos o servicios para las administraciones públicas.
-
Administraciones públicas y entidades dependientes del sector público
La Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
El ENS también deben aplicarlo, entre otras, las siguientes entidades del sector público:
- Fundaciones del sector público.
- Universidades Públicas.
- Grupos políticos de las Cortes Generales y de Corporaciones Locales.
- Colegios profesionales en las tareas que realizan para la administración.
- Cámaras de comercio.
- Hospitales públicos.
- Federaciones deportivas.
- Empresas públicas (aguas, transporte, radio y TV, autopistas, etc.).
-
Cumplimiento del ENS por parte de empresas privadas
El Esquema Nacional de Seguridad es una norma de obligado cumplimiento para todos los Sistemas de Información de las Administraciones Públicas, independientemente de su ubicación. Siguiendo este concepto, las actividades de los Sistemas de Información que tienen lugar fuera de las dependencias de la administración pública o están subcontratadas con empresas externas se debe tener en cuenta que se les exige el cumplimiento del Esquema Nacional de Seguridad.
Lo anterior, es válido no sólo para los Sistemas de Información que estén operados por personal propio y/o en dependencias de las administraciones públicas, sino también a aquellos otros que, estando operados por terceros en dependencias propias o externas afecten a funciones, misiones, cometidos o servicios para las administraciones públicas.
Las empresas del sector privado que prestan servicios a entidades públicas también deben cumplir los requerimientos del ENS según el tipo de servicio e información que tratan. Habitualmente son empresas tecnológicas y de servicios. Por ejemplo, empresas tecnológicas de desarrollo de software, servicios cloud, mantenimiento de sistemas, servicios de nóminas, contabilidad, etc.En caso de duda, el Centro Criptológico Nacional recomienda realizar un análisis concreto para cada tipo de servicio e información que se trata.
Tipos de servicios afectados
- Sedes electrónicas.
- Registros electrónicos.
- Sistemas de Información accesibles electrónicamente por los ciudadanos.
- Sistemas de Información para el ejercicio de derechos.
- Sistemas de Información para el cumplimiento de deberes.
- Sistemas de Información para recabar información y estado del procedimiento administrativo.
Integración del ENS y la protección de Datos
La Ley de Protección de Datos y Garantía de los Derechos Digitales también regula las medidas de seguridad en el ámbito del sector público. La LOPDGDD establece que, en caso de tratamiento de datos personales por parte de las administraciones públicas, estas deberán aplicar un grado de seguridad en base al ENS y el correspondiente análisis de riesgos.
Equivalencias del Esquema Nacional de Seguridad y la norma ISO 27001
Los controles sobre la seguridad recogidos en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS. Sin embargo, Esquema Nacional de Seguridad es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad.
Las empresas certificadas en ISO 27001 tienen buena parte del camino recorrido para lograr su conformidad con el ENS.
Por otro lado, el ENS está enfocado en la “protección” de la información y los servicios exigiendo además la gestión continuada de la seguridad, para lo cual no descabellado pensar en implantar un sistema de gestión. En este sentido, podemos considerar que ISO 27001 puede ser un importante apoyo para todas las organizaciones ya sean públicas o privadas para entender y aplicar un proceso de mejora continua.
En el caso de sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, ENS impone la necesidad de pasar una auditoría bienal, realizada por personal cualificado, independiente y acreditados por ENAC
Beneficios de contar con una empresa certificada en ENS
- Garantía de productos certificados y de calidad
- Cumplimiento con los requisitos legales para las administraciones públicas
- Mayor confianza entre los usuarios en el uso de medios electrónicos
- Utilización de un lenguaje común de peligrosidad
- Utilización de guías e instrumentos para la Seguridad de la Información
Marco normativo
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre<, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.