¡Pide presupuesto en 2 min! ✓
AdministraciónCiberseguridad

Esquema Nacional de Seguridad. Definición y objetivos

8 Mins read

El gran aumento en la utilización de las tecnologías de la información y las telecomunicaciones (TIC), en cualquier sector, ha originado la aparición de nuevo espacio, el ciberespacio, donde surgirán conflictos y amenazas cibernéticas que causan daños a la seguridad nacional, el estado de derecho, la económica y el funcionamiento adecuado de la sociedad y de las administraciones públicas. Es por ello que se aprobó el Esquema Nacional de Seguridad, donde se recogen los principios básicos de actuación de las Administraciones públicas en materia de seguridad.

En este post veremos en qué consiste el Esquema Nacional de Seguridad, a quién se aplica, sus objetivos y principios y cómo debemos adecuarnos al mismo.

¿Qué es el Esquema Nacional de Seguridad para Administraciones Públicas?

El Esquema Nacional de Seguridad (ENS) recoge la política de seguridad que debe ser aplicada en el uso de los sistemas electrónicos. Lo forman una serie de principios básicos y requisitos mínimos para proteger la información adecuadamente.

Será aplicado por las AA.PP. para garantizar el acceso, disponibilidad, integridad, confidencialidad, autenticidad y conservación de los datos, informaciones y servicios gestionados en el ejercicio de sus competencias de forma electrónica.

El ENS indica los principios básicos y requisitos mínimos, recoge las dimensiones de seguridad y sus niveles, la categoría de los sistemas, las correctas medidas de seguridad y la auditoría periódica de seguridad.

Implanta la elaboración de un informe para conocer regularmente el estado de seguridad de los sistemas de información y establece el protocolo de la capacidad de respuesta ante incidentes de seguridad en el Centro Criptológico Nacional.

Ámbito de aplicación y normativa

El Esquema Nacional de Seguridad se aplica al sector público, es decir, a todas las entidades y organismos pertenecientes a la Administración estatal, autonómica y local.

Se excluyen aquellos sistemas que manejan información clasificada regulada en la Ley de Secretos oficiales.

El ENS fue establecido por la Ley 11/2007, de Acceso electrónico de los ciudadanos a los Servicios Públicos, que
recoge los principios referentes a la seguridad de las administraciones electrónicas. Y fue regulado por primera vez en el Real Decreto 3/2010, estableciendo los principios que deben aplicarse en el uso de sistemas electrónicos.

Posteriormente, se aprueba el Real Decreto 40/2015, que modifica el del 2010 actualizando el ENS a las nuevas tecnologías existentes, las normas internacionales y las nuevas amenazas electrónicas.

¿Qué entidades deben cumplir este Esquema Nacional?

Como indicaba anteriormente, el ENS se aplica al sector público que comprende:

  • Administración general del Estado
  • Administración de las Comunidades Autónomas
  • Entidades de la administración local
  • Partidos políticos con representación parlamentaria
  • Hospitales públicos
  • Fundaciones públicas
  • Cámaras de comercio
  • Universidades públicas
  • Colegios profesionales respecto a las funciones realizadas para la Administración pública
  • Empresas públicas de energía, agua o transportes
  • Federaciones deportivas

¿Las empresas privadas también están obligadas?

En este caso, la respuesta es depende. Si esas empresas privadas van a prestar servicios a alguna administración pública, sí tienen la obligación de cumplir los requisitos establecidos en el Esquema Nacional de Seguridad.

Dentro de estas empresas están las tecnológicas que ofrecen servicios de mantenimiento, almacenamiento en la nube, desarrollo de software o programas de contabilidad o nóminas.

Según el Centro Criptológico Nacional, es aconsejable realizar una evaluación específica para cada clase de servicio que se va a prestar, si existe cualquier duda.

Objetivos del ENS

En el Esquema Nacional de Seguridad se recogen los siguientes objetivos:

  • Establecer las condiciones precisas de confianza en la utilización de sistemas electrónicos, recogiendo una serie de medidas que garanticen la seguridad de la información y los servicios electrónicos, y posibilite que los ciudadanos y las Administraciones Públicas puedan ejercer derechos y cumplir deberes a través de estos medios.
  • Diseñar la política de seguridad en el uso de medios electrónicos, integrada por los principios básicos y los requisitos mínimos que protejan adecuadamente la información.
  • Añadir normas comunes que guíen la actuación de las Administraciones Públicas sobre seguridad de la información.
  • Introducir un lenguaje único que facilite la cooperación de las Administraciones Públicas y la notificación de los requisitos de seguridad de la información a las empresas.
  • Presentar un tratamiento uniforme de la seguridad que simplifique la colaboración en la prestación de servicios electrónico en los que intervienen distintas entidades.
  • Facilitar un tratamiento continuado de la seguridad.

¿Qué elementos y principios regula el Esquema ENS?

Los principales elementos regulados en el ENS son:

  • Principios básicos que deben tenerse en cuenta a la hora de adoptar decisiones sobre seguridad.
  • Requisitos mínimos para garantizar una adecuada protección de la información.
  • Sistema para conseguir cumplir los principios básicos y los requisitos mínimos implantando medidas de seguridad adecuadas a la naturaleza de la información y los servicios que deben protegerse.
  • Comunicaciones, infraestructuras y sistemas electrónicos.
  • Auditoría de la seguridad.
  • Detección y respuesta a incidentes de seguridad.
  • Certificación de seguridad.
  • Conformidad.

En el ENS debe destacarse la necesidad de que todos los órganos superiores de las AA.PP. tengan su propia Política de Seguridad, elaborada según los principios básicos y desarrollada introduciendo los requisitos mínimos.

Todas las decisiones adoptadas en materia de seguridad tienen que cumplir los siguientes principios básicos:

Seguridad integral

La seguridad debe considerarse u  proceso integral, integrado por todos los elementos humanos, técnicos, organizativos y materiales, vinculados al sistema. Se tendrá en cuenta sobre todo, la concienciación de las personas.

La seguridad es entendida como una actividad integral, en la que no es posible realizar actuaciones puntuales, debido a que la fragilidad de un sistema surge de su punto más frágil y este punto es coordinar medidas adecuadas de forma individual pero encajadas de forma defectuosa.

Gestión de riesgos

El análisis y gestión de riesgos es un aspecto fundamental dentro del proceso de seguridad y es necesario que está actualizado continuamente. La gestión de riesgos mantendrá controlado el entorno, reduciendo los riesgos a niveles aceptables.

Prevención, reacción y recuperación

Las medidas de prevención suprimirán o, al menos minimizarán, la posibilidad de materialización de las amenazas, causando daños al sistema. Dentro de estas medidas de prevención están la disuasión y la disminución de la exposición.

Las medidas de detección deben acompañarse de medidas de reacción, para responder rápidamente a los incidentes de seguridad.

Las medidas de recuperación posibilitarán que la información y los servicios sean restablecidos, para combatir los casos en los que un incidente de seguridad suponga una inhabilitación de los medios habituales.

Es una obligación del sistema garantizar que la información y los datos se conservarán en soporte electrónico.

Líneas de defensa

El sistema debe tener unas medidas de protección formadas por diversas capas de seguridad. Las líneas de defensa comprenderán medidas de tipo organizativo, físicas y lógicas.

Evaluación periódica

Las medidas de seguridad se actualizarán y evaluarán de forma periódica, para adaptar su eficiencia a la evolución continua de los riesgos y sistemas de protección, pudiendo ser necesario replantearse la seguridad, en determinados casos.

Función diferenciada

En los sistemas de información se distinguirá el responsable del servicio, el responsable de la información y el responsable de la seguridad.

En la Política de Seguridad de la entidad se especificarán las competencias de cada responsable y las formas de cooperación y resolución de conflictos.

Todos los órganos superiores de las Administraciones Públicas tienen la obligación de cumplir los siguientes requisitos mínimos en el momento de elaborar su Política de Seguridad:

  • Organización
  • Gestión de los riesgos
  • Gestión de personal
  • Profesionalidad
  • Control de los accesos
  • Protección de las instalaciones
  • Adquisición de productos
  • Seguridad por defecto
  • Integridad del sistema
  • Información almacenada y en tránsito
  • Otros sistemas interconectados
  • Registro de actividad
  • Sistema de detección y respuesta a incidentes de seguridad
  • Continuidad de la actividad
  • Sistemas no afectados
  • Mejora continua del proceso de seguridad

Cómo adecuarse a los requisitos del Esquema Nacional de Seguridad

La adecuación a las exigencias del Esquema Nacional de Seguridad debe hacerse de forma escalonada.

Para la adecuación ordenada al Esquema Nacional de Seguridad deben tratarse las siguientes cuestiones:

  • Elaborar y aprobar la Política de Seguridad, incluyendo la definición de roles y la atribución de responsabilidades. Si el organismo tiene una Política de Seguridad, esta se incluirá al plan de adecuación. Si tiene una Política de Seguridad, pero no cumple los requisitos, o no tiene esa política, se especificará la forma en la que se prevé adaptar o elaborar la política.
  • Clasificar los sistemas según el valor de la información tratada y de los servicios prestados. Debe especificarse la información que se maneja y los servicios que se prestan. En caso de no haberse designado el responsable de alguna de las informaciones o servicios, o si no se ha aprobado la valoración, será efectuada por el Responsable de Seguridad según su criterio, haciendo constar los motivos de dicha valoración. Se establecerá un plazo límite para realizar la valoración formal de los servicios que se prestan.
  • Efectuar un análisis de riesgos en el que debe incluirse la valoración de las medidas de seguridad aplicadas. El plan de adecuación incluirá un análisis de riesgos, según los requisitos exigidos para la categoría determinada para el sistema. En este análisis deben evaluarse las salvaguardas y los riesgos residuales que existan en el momento de aprobar el plan de adecuación.
  • Elaborar y aprobar la Declaración de Aplicabilidad de las medidas de Seguridad. Debe indicarse una lista de medidas que se aplicarán al sistema. En caso de que una medida exigida no se considere aplicable, debe justificarse esta no-aplicabilidad. Si se recurre a medidas alternativas, se explicará a qué medidas sustituyen y el motivo.
  • Aplicar, operar y evaluar las medidas de seguridad mediante la gestión continuada de la seguridad.
  • Realizar auditorías de seguridad de los sistemas. Pueden localizarse carencias en el sistema por incumplir las medidas de seguridad o por la aparición de riesgos inasumibles por el organismo. Los Responsables de la Información y Servicios afectados, y en su defecto por el Responsable de Seguridad, deben aceptar los riesgos residuales.
  • Informar sobre el estado de la seguridad. Deben establecerse las actuaciones orientadas a solucionar las insuficiencias detectadas. Cada actuación prevista comprenderá información sobre la deficiencia que soluciona, el plazo previsto de ejecución y una valoración estimada del coste que tendrá.

Si necesitas mas información sobre este tema, puedes ver nuestro artículo sobre la directiva NIS, que hace referencia a este tema.

Integración del ENS con la protección de datos

Deben adaptarse al ENS, tanto los organismos como las entidades públicas y también cumplir la normativa de Protección de Datos, formada por el RGPD y la LOPDGDD.

En la LOPDGDD se recogen además las medidas de seguridad aplicables al sector público. Esta ley indica que los tratamientos de datos realizados por las Administraciones públicas deben cumplir las medidas de seguridad exigidas en el ENS y realizar el análisis de riesgos establecido.

Puedes descargar aquí el Esquema Nacional de Seguridad en pdf.

Yolanda González

About author
Graduada en Derecho por la Universidad de León y Máster en Abogacía por la Universidad de Oviedo. Especializada en realizar adaptaciones y auditorías conforme a la normativa de protección de datos para todo tipo de empresas y sectores.
Articles
Related posts
Ciberseguridad

Seguridad en internet. Consejos y recomendaciones

17 Mins read
Con la creciente dependencia de la tecnología, es cada vez más esencial proteger todos los aspectos de la información y los datos…
Ciberseguridad

¿Qué es y para qué sirve un Hash?

13 Mins read
Un concepto que encontrarás una y otra vez en cualquier discusión sobre ciberseguridad es el concepto de hash. Estas largas cadenas de…
Ciberseguridad

¿Qué es el flaming en Internet?

8 Mins read
Dentro de la investigación del comportamiento en Internet, existen múltiples formas de acoso en la red. Dentro de estos tipos de acoso…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.