El Esquema Nacional de Seguridad (ENS) se concibió como principal propósito garantizar una protección adecuada de la información que manejan las entidades públicas españolas, y, en consecuencia, también todas las empresas y/o organizaciones que trabajen con estas.
Los objetivos que deben alcanzar en ambos casos pueden resumirse en:
1. Establecer los principios básicos y requisitos mínimos de protección.
2. Definir los roles y responsabilidades de las entidades en materia de seguridad.
3. Mitigar riesgos relacionados con amenazas cibernéticas y vulnerabilidades.
Para asegurar estos objetivos, los sistemas deben ser clasificados, basándose en el impacto que tiene la seguridad en los sistemas de información, previamente a la implantación del ENS.
La clasificación se calcula en función de la criticidad y el impacto de una posible vulnerabilidad sobre el sistema o sistemas de información. Esta clasificación se establece en tres posibles categorías para el sistema o sistemas: bajo, medio y alto.
Para la evaluación de esta categoría, se han de tener en cuenta como impactan en el sistema o sistemas bajo el alcance de ENS las siguientes dimensiones de seguridad:
• Confidencialidad
• Integridad
• Trazabilidad
• Disponibilidad
• Autenticidad
Confidencialidad, Integridad y Trazabilidad (CIT) son comunes con la ISO 27.001.
Para garantizar la seguridad del sistema o sistemas, y que estas cinco dimensiones se garantizan, se conseguirá con la implantación de 73 medidas de seguridad distribuidas de la siguiente forma:
1. Mediadas Organizativas: con 4 medidas aplicadas al marco organizativo global de la seguridad; medidas como la definición de políticas de seguridad, la gestión de incidentes o la designación de responsables de seguridad.
2. Medidas Operativas: 33 medidas aplicadas en el marco operacional para proteger la operación del sistema; la aplicación de medidas para garantizar el funcionamiento seguro de los sistemas, como la protección contra el acceso no autorizado y la correcta configuración de los sistemas.
3. Mediadas de Protección: 36 medidas de protección para activos concretos (instalaciones, equipos, comunicaciones,…); medidas para asegurar la confidencialidad, integridad y disponibilidad de la información, como el cifrado de datos, el control de accesos y la implementación de copias de seguridad.
Beneficios del ENS
La implantación de todas las medidas de seguridad, y por tanto, conformidad con el ENS nos reportará una serie de beneficios:
- Reducción de riesgos de ciberataques o fallos de seguridad.
- Mayor confianza en los servicios digitales ofrecidos por las administraciones.
- Cumplimiento normativo, tanto a nivel nacional como europeo, en cuanto a la protección de datos.
- Mejora de la eficiencia operativa y la gestión de la seguridad en las organizaciones públicas.
El ENS es una herramienta esencial para asegurar la protección de la información en las administraciones públicas de España, promoviendo un entorno digital más seguro y confiable.
Para más información visita implantación de ENS o consúltanos