info@grupoadaptalia.es
900 26 40 99

Adecuación al Esquema Nacional de Seguridad

Inicio » Servicios » Adecuación al Esquema Nacional de Seguridad

Conocemos e implementamos a la perfección todas las medidas de seguridad de las tres categorías de sistemas de información: la básica con 52 medidas, la media con 68 medidas y la alta con 73 medidas.

¿Qué es el Esquema Nacional de Seguridad (ENS)?

El ENS es una norma de obligado cumplimiento aplicable a los sistemas de información de las Administraciones Públicas y proveedores privados que les prestan servicios TIC.

Se sustenta en principios internacionales de seguridad de la información y regula la protección de la información, los datos, los sistemas, los servicios electrónicos, las comunicaciones y se constituye, entre otros, por principios básicos y requisitos mínimos.

El ENS fija medidas de seguridad a título organizativo (marco organizativo), operacional (marco operacional), así como medidas de protección.

Sujetos obligados al cumplimiento del ENS.

El ENS se aplica a todo el Sector Público y comprende:

  • Administración General del Estado.
  • Administraciones de las Comunidades Autónomas.
  • Entidades que integran la Administración Local.
  • Sector Público Institucional:
    1. Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.
    2. Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas.
    3. Las Universidades públicas.

También es aplicable y obligatorio a todas las empresas privadas que presten servicios relacionados con las Tecnologías de la Información y la Comunicación a las Administraciones Públicas.

Beneficios de cumplir con el ENS.

  • En el caso de proveedores, cumplimiento de los requisitos legalmente exigidos desde las Administraciones Públicas mediante los pliegos de contratación. Es un requisito indispensable para contratar con el Sector Público.
  • Implantación de estándares de seguridad de alto nivel a través de guías e instrumentos apropiados.
  • Proporciona una ventaja competitiva y valor diferencial respecto de otros proveedores.
  • Garantía de la calidad y la seguridad en los sistemas certificados y servicios que ofrece la organización.
  • Mejora continua de la seguridad de la información, activo esencial de toda organización.
  • Crear las condiciones necesarias de confianza en el uso de los medios electrónicos que permitan a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Introducir los elementos y metodologías comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información.
  • Favorece el cumplimiento normativo en materia de seguridad de la información y protección de datos.

Servicios que proporciona Grupo Adaptalia.

A) Adecuación de sistemas de información al ENS conforme a los siguientes pasos:

1. Plan de Adecuación al ENS.

En conjunto con el cliente se prepara un documento con la siguiente información: el alcance de los sistemas que se van a someter al proceso de certificación/autoevaluación del ENS, categoría de los mismos, qué medidas del Anexo II se van a implementar (Declaración de Aplicabilidad), qué riesgos se asumen y la Política de Seguridad de la entidad.

Para abordar de forma eficiente el Plan de Adecuación realizaremos los siguientes pasos:

1.1. Identificación de los servicios y sistemas de información y categorización: valoración de servicios prestados e información tratada.

Una vez identificados los servicios, sistemas e información, se procederá a realizar su valoración en base a lo dispuesto en el Anexo I del ENS. Este proceso consiste en la determinación del impacto que tendría en la organización un incidente de seguridad que afectara a la información tratada o a los servicios prestados en cada una de las dimensiones de seguridad (Confidencialidad [C], Integridad [I], Trazabilidad [T], Autenticidad [A], Disponibilidad [D]) y se mide en tres niveles BAJO, MEDIO O ALTO.

La valoración anterior determinará si nos encontramos ante un sistema de información de categoría BÁSICA, MEDIA O ALTA.

1.2. Determinación de la Declaración de Aplicabilidad provisional.

Identificaremos qué medidas de seguridad hay que aplicar y los documentos necesarios que deben generarse para cada medida.

1.3. Realización del Análisis de Riesgos.

Identificaremos  los activos esenciales, identificaremos los activos de soporte: hardware, software, entre otros, estableceremos medidas según la Declaración de Aplicabilidad y realizaremos el Análisis de Riesgos.

1.4. Elaboración de la Declaración de Aplicabilidad definitiva o Perfil de Cumplimiento Específico.

Mediante la aceptación del riesgo residual arrojado por el análisis de riesgos.

En el caso de las Entidades Locales, se disponen de Perfiles Específicos de Cumplimiento a los que pueden acogerse, siendo entonces de aplicación la declaración de aplicabilidad asociada a este perfil en concreto.

1.5. Elaboración de la Política de Seguridad de la Información y la Normativa Interna correspondiente.

Incluye la definición de roles, asignación de responsabilidades y personas que van a formar parte el Comité de Seguridad.

1.6. Elaboración del Plan de Mejora de la Seguridad.

El informe de deficiencias del sistema (gap analysis), recogerá el estado de cumplimiento de las medidas de seguridad, reflejando el nivel actual de madurez de las medidas de la declaración de aplicabilidad. Este informe se puede completar también con aquellas medidas que será necesario implantar para garantizar el cumplimiento de la normativa de protección de datos.

El informe contendrá, por tanto, lo que se consideran riesgos residuales del sistema que deberán ser aceptados formalmente por los Responsables de los Servicios y por los Responsables de la Información.

Finalmente, será necesario identificar las tareas que será necesario realizar para subsanar las deficiencias del sistema, planificarlas y asignarles los recursos necesarios (personales y/o económicos, según sea el caso). Se plasmará en un documento denominado Plan de mejora de la seguridad, que deberá ser aprobado formalmente por el Comité de Seguridad, comprometiéndose, de este modo la organización con la mejora de la seguridad.

2. Implantación de la seguridad.

Una vez realizado el Plan de Adecuación, se pasa a la fase de implantación de la seguridad. Esta fase consta de los siguientes pasos:

  • Hoja de ruta: documentos a elaborar, medidas técnicas a implementar y definir las prioridades.
  • Elaborar el Marco Normativo y la implantación de la seguridad.
  • Aprobar el Sistema de Gestión de Seguridad de la Información.

3. Declaración/Certificación de conformidad con el ENS.

La Certificación de Conformidad, válida para todas las categorías del sistema (BÁSICA, MEDIA y ALTA). En este caso es necesario contar con una entidad de certificación acreditada que realizará la correspondiente auditoría.

La Declaración de Conformidad, únicamente válida para sistemas de categoría BÁSICA. En este caso no es necesario contar con una certificación externa ni someterse a una auditoría.

4. Informar sobre el Estado de Seguridad. Métricas e Indicadores.

Los organismos a los que se aplica el ENS están obligados a cumplimentar e informar sobre el estado de Seguridad. Para cumplir con este mandato, el CCN ha desarrollado el proyecto INES.

5. Vigilancia y Mejora Continua.

La gestión de la seguridad de la información es un proceso sujeto a cambios constantes que pueden proceder de cambios en la organización, amenazas, tecnologías y/o legislación y por ello es necesaria una mejora continua de los sistemas.

B) Auditorías internas.

Grupo Adaptalia, mediante sus consultores especialistas en ciberseguridad, tanto de perfiles jurídicos como técnicos, ofrece el servicio de auditoría interna previa a la auditoría oficial de certificación, con el objeto de favorecer un óptimo resultado en la auditoría final.

Esta auditoría previa permitirá al cliente conocer su estado de adecuación al ENS, según la categorización del sistema, y reparar en eventuales falencias de manera oportuna.

Copyright © 2023 Grupo Adaptalia
Suscribete a nuestra Newsletter