¡Pide presupuesto en 2 min! ✓
AdministraciónCiberseguridad

Esquema Nacional de Seguridad. Definición y objetivos

El gran aumento en la utilización de las tecnologías de la información y las telecomunicaciones (TIC), en cualquier sector, ha originado la aparición de nuevo espacio, el ciberespacio, donde surgirán conflictos y amenazas cibernéticas que podrán causar daños a la seguridad nacional, el estado de derecho, la económica y el funcionamiento adecuado de la sociedad y de las administraciones públicas. Es por ello que se aprobó el Esquema Nacional de Seguridad (ENS), donde se recogen los principios básicos de actuación de las Administraciones públicas en materia de seguridad.

En este artículo veremos en qué consiste el Esquema Nacional de Seguridad, a quién se aplica, sus objetivos y principios y cómo debemos adecuarnos al mismo.

¿Qué es el Esquema Nacional de Seguridad?

El Esquema Nacional de Seguridad (ENS) recoge la política de seguridad que debe ser aplicada en el uso de los sistemas electrónicos. Lo forman una serie de principios básicos y requisitos mínimos para proteger la información adecuadamente.

El Esquema Nacional de Seguridad en el ámbito de la administración electrónica será aplicado por las AA. PP. para garantizar el acceso, disponibilidad, integridad, confidencialidad, autenticidad y conservación de los datos, informaciones y servicios gestionados en el ejercicio de sus competencias de forma electrónica.

El ENS indica los principios básicos y requisitos mínimos, recoge las dimensiones de seguridad y sus niveles, la categoría de los sistemas, las correctas medidas de seguridad y la auditoría periódica de seguridad.

Implanta la elaboración de un informe para conocer regularmente el estado de seguridad de los sistemas de información y establece el protocolo de la capacidad de respuesta ante incidentes de seguridad en el Centro Criptológico Nacional.

Objetivos del ENS

En el Esquema Nacional de Seguridad se recogen los siguientes objetivos:

  • Establecer las condiciones precisas de confianza en la utilización de sistemas electrónicos, recogiendo una serie de medidas que garanticen la seguridad de la información y los servicios electrónicos, y posibilite que los ciudadanos y las Administraciones Públicas puedan ejercer derechos y cumplir deberes a través de estos medios.
  • Diseñar la política de seguridad en el uso de medios electrónicos, integrada por los principios básicos y los requisitos mínimos que protejan adecuadamente la información.
  • Añadir normas comunes que guíen la actuación de las Administraciones Públicas sobre seguridad de la información.
  • Introducir un lenguaje único que facilite la cooperación de las Administraciones Públicas y la notificación de los requisitos de seguridad de la información a las empresas.
  • Presentar un tratamiento uniforme de la seguridad que simplifique la colaboración en la prestación de servicios electrónicos en los que intervienen distintas entidades.
  • Facilitar un tratamiento continuado de la seguridad.

Ámbito de aplicación del ENS

El ámbito de aplicación del Esquema Nacional de Seguridad consolidado es el sector público, es decir, todas las entidades y organismos pertenecientes a la Administración estatal, autonómica y local.

Se excluyen aquellos sistemas que manejan información clasificada regulada en la Ley de Secretos oficiales.

¿Qué normativa regula el Esquema Nacional de Seguridad?

El ENS fue establecido por la Ley 11/2007, de Acceso electrónico de los ciudadanos a los Servicios Públicos, que recoge los principios referentes a la seguridad de las administraciones electrónicas. Y fue regulado por primera vez en el Real Decreto 3/2010, estableciendo los principios que deben aplicarse en el uso de sistemas electrónicos.

Posteriormente, se aprueba el Real Decreto 40/2015, que modifica el del 2010 actualizando el Esquema Nacional de Seguridad y de Interoperabilidad a las nuevas tecnologías existentes, las normas internacionales y las nuevas amenazas electrónicas.

¿Quién debe cumplir el Esquema Nacional de Seguridad?

Como indicábamos anteriormente, la certificación del Esquema Nacional de Seguridad solo es posible para el sector público, que comprende a:

  • Administración general del Estado
  • Administración de las Comunidades Autónomas
  • Entidades de la administración local
  • Partidos políticos con representación parlamentaria
  • Hospitales públicos
  • Fundaciones públicas
  • Cámaras de comercio
  • Universidades públicas
  • Colegios profesionales respecto a las funciones realizadas para la Administración pública
  • Empresas públicas de energía, agua o transportes
  • Federaciones deportivas

Además, también deben aplicar los diferentes niveles del Esquema Nacional de Seguridad aquellas empresas privadas que presten servicios a la Administración Pública, como por ejemplo, las empresas tecnológicas que ofrecen servicios de mantenimiento, almacenamiento en la nube, desarrollo de software o programas de contabilidad y nóminas.

Según el Centro Criptológico Nacional, es aconsejable realizar una evaluación específica para cada clase de servicio que se va a prestar, si existe cualquier duda.

¿Qué elementos constituyen el ENS?

Los principales elementos regulados en el ENS son:

  • Principios básicos que deben tenerse en cuenta a la hora de adoptar decisiones sobre seguridad.
  • Requisitos mínimos para garantizar una adecuada protección de la información.
  • Sistema para conseguir cumplir los principios básicos y los requisitos mínimos implantando medidas de seguridad adecuadas a la naturaleza de la información y los servicios que deben protegerse.
  • Comunicaciones, infraestructuras y sistemas electrónicos.
  • Auditoría de la seguridad.
  • Detección y respuesta a incidentes de seguridad.
  • Certificación de seguridad.
  • Conformidad.

Principios básicos

En el ENS debe destacarse la necesidad de que todos los órganos superiores de las AA. PP. tengan su propia Política de Seguridad, elaborada según los principios básicos y desarrollada introduciendo los requisitos mínimos.

Todas las decisiones adoptadas en materia de seguridad tienen que cumplir los siguientes principios básicos:

  • Seguridad integral:

La seguridad debe considerarse un proceso integral, integrado por todos los elementos humanos, técnicos, organizativos y materiales, vinculados al sistema. Se tendrá en cuenta sobre todo, la concienciación de las personas.

La seguridad es entendida como una actividad integral, en la que no es posible realizar actuaciones puntuales, debido a que la fragilidad de un sistema surge de su punto más frágil y este punto es coordinar medidas adecuadas de forma individual, pero encajadas de forma defectuosa.

  • Gestión de riesgos:

El análisis y gestión de riesgos es un aspecto fundamental dentro del proceso de seguridad y es necesario que esté actualizado continuamente. La gestión de riesgos mantendrá controlado el entorno, reduciendo los riesgos a niveles aceptables.

  • Prevención, reacción y recuperación:

Las medidas de prevención suprimirán o, al menos minimizarán, la posibilidad de materialización de las amenazas, causando daños al sistema. Dentro de estas medidas de prevención están la disuasión y la disminución de la exposición.

Las medidas de detección deben acompañarse de medidas de reacción, para responder rápidamente a los incidentes de seguridad.

Las medidas de recuperación posibilitarán que la información y los servicios sean restablecidos, para combatir los casos en los que un incidente de seguridad suponga una inhabilitación de los medios habituales.

Es una obligación del sistema garantizar que la información y los datos se conservarán en soporte electrónico.

  • Líneas de defensa:

El sistema debe tener unas medidas de protección formadas por diversas capas de seguridad. Las líneas de defensa comprenderán medidas de tipo organizativo, físicas y lógicas.

  • Evaluación periódica:

Las medidas de seguridad se actualizarán y evaluarán de forma periódica, para adaptar su eficiencia a la evolución continua de los riesgos y sistemas de protección, pudiendo ser necesario replantearse la seguridad, en determinados casos.

  • Función diferenciada:

En los sistemas de información se distinguirá el responsable del servicio, el responsable de la información y el responsable de la seguridad.

En la Política de Seguridad de la entidad se especificarán las competencias de cada responsable y las formas de cooperación y resolución de conflictos.

Todos los órganos superiores de las Administraciones Públicas tienen la obligación de cumplir los siguientes requisitos mínimos en el momento de elaborar su Política de Seguridad:

  • Organización
  • Gestión de los riesgos
  • Gestión de personal
  • Profesionalidad
  • Control de los accesos
  • Protección de las instalaciones
  • Adquisición de productos
  • Seguridad por defecto
  • Integridad del sistema
  • Información almacenada y en tránsito
  • Otros sistemas interconectados
  • Registro de actividad
  • Sistema de detección y respuesta a incidentes de seguridad
  • Continuidad de la actividad
  • Sistemas no afectados
  • Mejora continua del proceso de seguridad

¿Cómo adecuarse a los requisitos del Esquema Nacional de Seguridad?

La adecuación a las exigencias del Esquema Nacional de Seguridad debe hacerse de forma escalonada.

Así, las fases para implantar un Esquema Nacional de Seguridad son las siguientes:

  • Elaborar y aprobar la Política de Seguridad, incluyendo la definición de roles y la atribución de responsabilidades. Si el organismo tiene una Política de Seguridad, esta se incluirá en el plan de adecuación. Si tiene una Política de Seguridad, pero no cumple los requisitos, o no tiene esa política, se especificará la forma en la que se prevé adaptar o elaborar la política.
  • Clasificar los sistemas según el valor de la información tratada y de los servicios prestados. Debe especificarse la información que se maneja y los servicios que se prestan. En caso de no haberse designado el responsable de alguna de las informaciones o servicios, o si no se ha aprobado la valoración, será efectuada por el Responsable de Seguridad según su criterio, haciendo constar los motivos de dicha valoración. Se establecerá un plazo límite para realizar la valoración formal de los servicios que se prestan.
  • Efectuar un análisis de riesgos en el que debe incluirse la valoración de las medidas de seguridad aplicadas. El plan de adecuación incluirá un análisis de riesgos, según los requisitos exigidos para la categoría determinada para el sistema. En este análisis deben evaluarse las salvaguardas y los riesgos residuales que existan en el momento de aprobar el plan de adecuación.
  • Elaborar y aprobar la Declaración de Aplicabilidad de las medidas de Seguridad. Debe indicarse una lista de medidas que se aplicarán al sistema. En caso de que una medida exigida no se considere aplicable, debe justificarse esta no-aplicabilidad. Si se recurre a medidas alternativas, se explicará a qué medidas sustituyen y el motivo.
  • Aplicar, operar y evaluar las medidas de seguridad mediante la gestión continuada de la seguridad.
  • Realizar auditorías de seguridad de los sistemas. Pueden localizarse carencias en el sistema por incumplir las medidas de seguridad o por la aparición de riesgos inasumibles por el organismo. Los Responsables de la Información y Servicios afectados, y en su defecto por el Responsable de Seguridad, deben aceptar los riesgos residuales.
  • Informar sobre el estado de la seguridad. Deben establecerse las actuaciones orientadas a solucionar las insuficiencias detectadas. Cada actuación prevista comprenderá información sobre la deficiencia que soluciona, el plazo previsto de ejecución y una valoración estimada del coste que tendrá.

Podéis ampliar información sobre las fases, requisitos y contenido del Esquema Nacional de Seguridad leyendo nuestro artículo sobre la Directiva NIS, ya que el ENS adapta esta Directiva europea a nuestra regulación.

<H2> ¿Quién certifica ENS?

El ENS actualmente son varias las entidades que pueden expedir certificaciones de conformidad con el ENS:

  • AENOR
  • Audertis Audit Services
  • BDO Auditores
  • Cámara Certifica
  • European Quality Assurance Spain
  • IGAE
  • Ingeniería de Sistemas para la Defensa de España
  • IVAC
  • LEET Security
  • LGAI Technological Center (APPLUS)
  • OCA Global
  • S2 Grupo
  • Servicio de Seguridad y Protección de Datos de la Dirección General de Administración Digital de Castilla-La Mancha
  • SGS Española de Control. Unidad Técnica: Cyberlab Madrid
  • Sideria Solutions
  • Sistemas Informáticos Abiertos

Subdirección General de Tecnologías de la Información y Comunicaciones

Integración del ENS con la protección de datos

Deben adaptarse al ENS, tanto los organismos como las entidades públicas y también cumplir la normativa de Protección de Datos, formada por el RGPD y la LOPDGDD.

En la LOPDGDD se recogen además las medidas de seguridad aplicables al sector público. Esta ley indica que los tratamientos de datos realizados por las Administraciones públicas deben cumplir las medidas de seguridad exigidas en el ENS y realizar el análisis de riesgos establecido.        

Resumen

En resumen, el Esquema Nacional de Seguridad establece los requisitos y medidas básicas de seguridad que las AA. PP. deben adoptar para proteger de forma adecuada la información, las comunicaciones y sus servicios electrónicos, garantizando así la seguridad de los datos y la información sensible de los ciudadanos cuando hacen uso de los servicios telemáticos para llevar a cabo aquellos trámites que necesitan gestionar con la administración. También debe aplicarlo aquellas empresas privadas que presten servicios relacionados con la información al sector público.

Además, el ENS ha conseguido homogeneizar las medidas de ciberseguridad de las AA. PP.

Puedes descargar aquí el Esquema Nacional de Seguridad en PDF.