¿Qué es el Esquema Nacional de Seguridad (ENS)?
Las nuevas tecnologías siguen siendo la base de una era moderna que no para de desarrollar nuevos frentes, ventajas, inconvenientes y paradigmas.
Hay diversidad de acciones o sistemas que, o bien se han quedado obsoletos, o bien no tienen una solución frente a nuevos contratiempos.
Para frenar esto último, el Centro Criptológico Nacional (CCN) ha desarrollado y promovido una nueva norma: el Esquema Nacional de Seguridad.
¿Qué es el ENS?
El Esquema Nacional de Seguridad (ENS) es una norma que busca preservar la privacidad de los datos de los ciudadanos cuando éstos hagan trámites en la red.
Se trata por tanto de un régimen de aplicación directa para las Administraciones Públicas, pero la cual, por extensión, está siendo de aplicación también para sus proveedores tecnológicos.
Por lo tanto, unos y otros van a tener que implementar una serie de principios y requisitos en materia de Seguridad de la Información, dependiendo de su grado de intervención en los trámites electrónicos. Las clasificaciones se asignarán según el nivel de riesgo bajo, medio o alto.
Este esquema está regulado en el Real Decreto 3/2010 en el ámbito de la Administración Electrónica que se contempla en la Ley 11/2007 de 22 de junio.
Posteriormente, y con el objetivo de incrementar la seguridad en las Administraciones Públicas (AAPP), el ENS ha sido priorizado por el Estado que en base a la Ley 40/2015 ha desarrollado el Real Decreto 203/2021 para establecer los principios de actuación del Sector Público, así como los requisitos mínimos y medidas de seguridad de la información
La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos en las AAPP. Para ello se proponen medidas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos por las AA.PP.
¿Para qué implantar un Sistema de Gestión de la
Seguridad de la Información (SGSI)
Estos sistemas son bastante útiles y provechosos, aunque parezca tedioso el proceso de implementación y solicitud,
los sistemas de gestión de seguridad de la información tienen beneficios como:
Aumentar las posibilidades de colaboración con el Sector Público a través de subvenciones o licitaciones.
Asegurar el cumplimiento legal en materia de confidencialidad, disponibilidad e integridad de la información física y lógica.
Reducir riesgos y contemplar escenarios para garantizar la continuidad del negocio.
Aumentar la eficiencia reduciendo costes de las acciones correctivas que se derivan de las incidencias como código dañino, ataques, accesos no autorizados, daños físicos, abuso de privilegios, falta de disponibilidad de servicios, etc.
Mejorar la imagen y fiabilidad de la organización respecto a reguladores, inversores, clientes y empleados de manera considerable
Diferencias entre la norma ISO 27001 y el ENS
En primer lugar, conviene tener en cuenta que la implantación y certificación en la norma ISO 27001 es una decisión voluntaria por parte de la organización, mientras que el ENS es un Real Decreto de obligado cumplimiento. La voluntariedad en el caso de la ISO 27001 permite a la organización establecer su propio alcance, haciéndose responsable de establecer los límites del sistema de gestión mientras que el alcance del Esquema Nacional de Seguridad incluye determinados aspectos de manera obligatoria. En resumen, si se está planteando dar cumplimiento al esquema Nacional de Seguridad en base al trabajo realizado con una certificación ISO 27001, preste atención a las siguientes cuestiones:
La Política de seguridad: en ambos casos se establece una necesidad de aprobarla por parte de la dirección No obstante los contenidos mínimos se desarrollan con distinto grado de detalle y deben incluirse en el ámbito del sistema de gestión, los objetivos, el marco legal y regulatorio, los roles o funciones de seguridad, la estructura del comité de seguridad, las directrices para actuación de la documentación de seguridad, etc.
Marco organizativo de los SGSI conforme a la 27001,basado en 3 dimensiones de seguridad de la información ( confidencialidad, integridad y disponibilidad) y en 5 dimensiones, para el Esquema Nacional de Seguridad que hace referencia a otras dos más: autenticidad y trazabilidad.
Otra diferencia significativa entre el esquema Nacional de Seguridad y la norma ISO 27001 es el catálogo de medidas de seguridad de referencia: 114 controles para ISO 27001, mientras que el Esquema Nacional de Seguridad, establece 75 medidas de seguridad. No obstante, es posible establecer equivalencias entre una gran parte de los mismos ya que los objetivos de control se comparten.
¿Qué beneficios supone para las organizaciones públicas y privadas?
Los principales beneficios de esta certificación para las organizaciones son disponer de un sistema gestionado y controlado con medidas/controles
que aseguren la correcta protección de los sistemas de información ante amenazas e incidencias internas y externas.
Preguntas frecuentes
A continuación, concluimos el artículo con alguna de las preguntas frecuentes, extraídas del propio apartado web del ENS:
Sí, y ya estamos acreditados. Para ello se ha realizado un plan de transición, que implica, entre otros, que nuestros auditores están calificados y formados en el ENS 2022 y por eso AENOR ya está en disposición de realizar las auditorías con la nueva versión, siendo la primera que lo hace bajo la nueva versión de ENS
El plazo de transición que se ha definido en el propio RD 311/2022 – ENS en su disposición transitoria única, es de 24 meses desde el día siguiente a la fecha de publicación (4 de mayo de 2022).
De acuerdo con el plan de transición establecido por el CCN en coordinación con ENAC, para entidades acreditadoras, ya se pueden operar nuestras auditorías bajo el nuevo ENS (RD 311/2022), aunque no se podrán emitir los primeros certificados antes del 1 diciembre de 2022, siguiendo los criterios establecidos por el dueño del esquema (CCN).
Estando AENOR acreditado para la nueva versión de ENS, las empresas podrán certificarse con ambas versiones (RD 3/2010 o RD 311/2022), siendo recomendable hacerlo con la última versión, ya que la validez oficial y vigencia de la RD 3/2010 sólo es hasta el 5 de mayo de 2024 (fecha sujeta a modificación por el organismo competente).
Las empresas que actualmente estén en proceso de certificación (inicial o renovación), obtendrán la certificación con AENOR conforme al RD 3/2010, teniendo una validez oficial y vigencia hasta el 5 de mayo de 2024(*).