Adecuación al Esquema Nacional de Seguridad

Conocemos e implementamos a la perfección todas las medidas de seguridad de las tres categorías de sistemas de información: la básica con 52 medidas, la media con 68 medidas y la alta con 73 medidas.

¿Qué es el Esquema Nacional de Seguridad (ENS)?

El ENS es una norma de obligado cumplimiento aplicable a los sistemas de información de las Administraciones Públicas y proveedores privados que les prestan servicios TIC.

Se sustenta en principios internacionales de seguridad de la información y regula la protección de la información, los datos, los sistemas, los servicios electrónicos, las comunicaciones y se constituye, entre otros, por principios básicos y requisitos mínimos.

El ENS fija medidas de seguridad a título organizativo (marco organizativo), operacional (marco operacional), así como medidas de protección.

Claves del Esquema Nacional de Seguridad

La adecuación de los sistemas de información al Esquema Nacional de Seguridad (ENS) implica una meticulosa revisión de las medidas de seguridad existentes, abarcando desde la gestión de riesgos, la clasificación de los sistemas, hasta la correcta aplicación de las medidas de seguridad. Estas medidas deben ser proporcionales al nivel de riesgo detectado, ajustándose a los estándares de protección de la información requeridos por la normativa.

Su implementación conlleva un proceso continuo de mejora y adaptación tecnológica, asegurando la resiliencia ante ciberamenazas y el cumplimiento normativo alineado con los más altos estándares de seguridad. El ENS no es únicamente un requisito legal, sino una apuesta estratégica para la protección integral de la información.

Principios Básicos y Requisitos Mínimos

La adopción del Esquema Nacional de Seguridad es una decisión estratégica, que sobrepasa el mero cumplimiento normativo. Una hoja de ruta claramente delineada asegura que los sistemas de información estén blindados frente a vulnerabilidades.

Nuestro plan de adecuación persigue que cada entidad alcance el máximo grado de seguridad, estableciendo un ecosistema confiable. La protección de la información no es opción, sino una obligación inexorable que fortalece la estructura de su organización.

Implementar un marco de seguridad efectivo significa avanzar más allá de las medidas básicas: un enfoque proactivo y dinámico es fundamental para anticiparse a las amenazas.

El objeto último de la seguridad de la información es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:

  • Seguridad como proceso integral.
  • Gestión de la seguridad basada en los riesgos.
  • Prevención, detección, respuesta y conservación.
  • Existencia de líneas de defensa.
  • Vigilancia continua.
  • Reevaluación periódica.
  • Diferenciación de responsabilidades.

El ENS fija las siguientes medidas de seguridad en su Anexo II:

  • El Marco Organizativo (org) se configura por 4. Está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad:
    • Política de seguridad
    • Normativa de seguridad
    • Procedimiento de seguridad
    • Proceso de autorización
  • El Marco Operacional (op) se configura por 33.  Está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin:
    • Planificación
    • Control de acceso
    • Explotación
    • Recursos externos
    • Servicios en la nube
    • Continuidad del servicio
    • Monitorización del sistema
  • Existen 36 Medidas de Protección (mp). Estas medidas están dirigidas a proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad:
    • Protección de las instalaciones e infraestructuras
    • Gestión del personal
    • Protección de los equipos
    • Protección de las comunicaciones
    • Protección de los soportes de información
    • Protección de las aplicaciones informáticas
    • Protección de la información
    • Protección de los servicios

Implementación y Gestión del Cambio

La implementación efectiva del Esquema Nacional de Seguridad (ENS) requiere más que una simple instalación de nuevas políticas y controles; exige una gestión del cambio minuciosa y cuidadosa. Es esencial que todos los actores involucrados comprendan las razones detrás de las transformaciones y sean participes activos en el proceso. Esta fase presupone no solo cambios técnicos sino también una restructuración en la cultura organizativa y en la mentalidad de cada individuo que forma parte de la entidad.

Integración de Procesos y Capacitación

La armonización con el Esquema Nacional de Seguridad (ENS) implica una integración profunda de procesos. La optimización de los mismos, junto a la formación específica en seguridad de la información, facilita una transición sinérgica y eficaz que garantiza el cumplimiento normativo.

Establecer un marco de competencias claro es primordial para la efectividad de la capacitación. Esta claridad asegura la comprensión y ejecución correcta de los procedimientos de seguridad.

Además, resulta crítica la implementación de un plan de formación continuo y adaptado a cada perfil profesional. Los conocimientos deben actualizar constantemente para adherirse a las exigencias cambiantes del ENS y las tendencias en ciberseguridad.

Cada individuo debe comprender su papel dentro del esquema de seguridad. Este conocimiento empodera al personal y promueve una cultura de seguridad integral, convirtiendo a cada colaborador en un activo defensor del marco normativo.

Normativa, documentación y herramientas aplicables.

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Normas, Instrucciones, Guías y Recomendaciones del Centro Criptológico Nacional, especialmente de la serie STIC.
  • Herramientas creadas por el Centro Criptológico Nacional, por ejemplo, PILAR, CLARA, AMPARO.
  • Entre otros.

Sujetos obligados al cumplimiento del ENS.

El ENS se aplica a todo el Sector Público y comprende:

  • Administración General del Estado.
  • Administraciones de las Comunidades Autónomas.
  • Entidades que integran la Administración Local.
  • Sector Público Institucional:
    1. Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.
    2. Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas.
    3. Las Universidades públicas.

También es aplicable y obligatorio a todas las empresas privadas que presten servicios relacionados con las Tecnologías de la Información y la Comunicación a las Administraciones Públicas.

Beneficios de cumplir con el ENS.

  • En el caso de proveedores, cumplimiento de los requisitos legalmente exigidos desde las Administraciones Públicas mediante los pliegos de contratación. Es un requisito indispensable para contratar con el Sector Público.
  • Implantación de estándares de seguridad de alto nivel a través de guías e instrumentos apropiados.
  • Proporciona una ventaja competitiva y valor diferencial respecto de otros proveedores.
  • Garantía de la calidad y la seguridad en los sistemas certificados y servicios que ofrece la organización.
  • Mejora continua de la seguridad de la información, activo esencial de toda organización.
  • Crear las condiciones necesarias de confianza en el uso de los medios electrónicos que permitan a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Introducir los elementos y metodologías comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información.
  • Favorece el cumplimiento normativo en materia de seguridad de la información y protección de datos.

Servicios que proporciona Grupo Adaptalia.

A) Adecuación de sistemas de información al ENS conforme a los siguientes pasos:

1. Plan de Adecuación al ENS.

En conjunto con el cliente se prepara un documento con la siguiente información: el alcance de los sistemas que se van a someter al proceso de certificación/autoevaluación del ENS, categoría de los mismos, qué medidas del Anexo II se van a implementar (Declaración de Aplicabilidad), qué riesgos se asumen y la Política de Seguridad de la entidad.

Para abordar de forma eficiente el Plan de Adecuación realizaremos los siguientes pasos:

1.1. Identificación de los servicios y sistemas de información y categorización: valoración de servicios prestados e información tratada.

Una vez identificados los servicios, sistemas e información, se procederá a realizar su valoración en base a lo dispuesto en el Anexo I del ENS. Este proceso consiste en la determinación del impacto que tendría en la organización un incidente de seguridad que afectara a la información tratada o a los servicios prestados en cada una de las dimensiones de seguridad (Confidencialidad [C], Integridad [I], Trazabilidad [T], Autenticidad [A], Disponibilidad [D]) y se mide en tres niveles BAJO, MEDIO O ALTO.

La valoración anterior determinará si nos encontramos ante un sistema de información de categoría BÁSICA, MEDIA O ALTA.

1.2. Determinación de la Declaración de Aplicabilidad provisional.

Identificaremos qué medidas de seguridad hay que aplicar y los documentos necesarios que deben generarse para cada medida.

1.3. Realización del Análisis de Riesgos.

Identificaremos  los activos esenciales, identificaremos los activos de soporte: hardware, software, entre otros, estableceremos medidas según la Declaración de Aplicabilidad y realizaremos el Análisis de Riesgos.

1.4. Elaboración de la Declaración de Aplicabilidad definitiva o Perfil de Cumplimiento Específico.

Mediante la aceptación del riesgo residual arrojado por el análisis de riesgos.

En el caso de las Entidades Locales, se disponen de Perfiles Específicos de Cumplimiento a los que pueden acogerse, siendo entonces de aplicación la declaración de aplicabilidad asociada a este perfil en concreto.

1.5. Elaboración de la Política de Seguridad de la Información y la Normativa Interna correspondiente.

Incluye la definición de roles, asignación de responsabilidades y personas que van a formar parte el Comité de Seguridad.

1.6. Elaboración del Plan de Mejora de la Seguridad.

El informe de deficiencias del sistema (gap analysis), recogerá el estado de cumplimiento de las medidas de seguridad, reflejando el nivel actual de madurez de las medidas de la declaración de aplicabilidad. Este informe se puede completar también con aquellas medidas que será necesario implantar para garantizar el cumplimiento de la normativa de protección de datos.

El informe contendrá, por tanto, lo que se consideran riesgos residuales del sistema que deberán ser aceptados formalmente por los Responsables de los Servicios y por los Responsables de la Información.

Finalmente, será necesario identificar las tareas que será necesario realizar para subsanar las deficiencias del sistema, planificarlas y asignarles los recursos necesarios (personales y/o económicos, según sea el caso). Se plasmará en un documento denominado Plan de mejora de la seguridad, que deberá ser aprobado formalmente por el Comité de Seguridad, comprometiéndose, de este modo la organización con la mejora de la seguridad.

2. Implantación de la seguridad.

Una vez realizado el Plan de Adecuación, se pasa a la fase de implantación de la seguridad. Esta fase consta de los siguientes pasos:

  • Hoja de ruta: documentos a elaborar, medidas técnicas a implementar y definir las prioridades.
  • Elaborar el Marco Normativo y la implantación de la seguridad.
  • Aprobar el Sistema de Gestión de Seguridad de la Información.

3. Declaración/Certificación de conformidad con el ENS.

La Certificación de Conformidad, válida para todas las categorías del sistema (BÁSICA, MEDIA y ALTA). En este caso es necesario contar con una entidad de certificación acreditada que realizará la correspondiente auditoría.

La Declaración de Conformidad, únicamente válida para sistemas de categoría BÁSICA. En este caso no es necesario contar con una certificación externa ni someterse a una auditoría.

4. Informar sobre el Estado de Seguridad. Métricas e Indicadores.

Los organismos a los que se aplica el ENS están obligados a cumplimentar e informar sobre el estado de Seguridad. Para cumplir con este mandato, el CCN ha desarrollado el proyecto INES.

5. Vigilancia y Mejora Continua.

La gestión de la seguridad de la información es un proceso sujeto a cambios constantes que pueden proceder de cambios en la organización, amenazas, tecnologías y/o legislación y por ello es necesaria una mejora continua de los sistemas.

B) Auditorías internas.

Grupo Adaptalia, mediante sus consultores especialistas en ciberseguridad, tanto de perfiles jurídicos como técnicos, ofrece el servicio de auditoría interna previa a la auditoría oficial de certificación, con el objeto de favorecer un óptimo resultado en la auditoría final.

Esta auditoría previa permitirá al cliente conocer su estado de adecuación al ENS, según la categorización del sistema, y reparar en eventuales falencias de manera oportuna.

Suscribete a nuestra Newsletter
error: Content is protected !!