¿Qué es el ens?
El Esquema Nacional de Seguridad es una recopilación de información sobre las políticas que la empresa realiza o realizará para la protección de datos con el uso de medios electrónicos.
¿Cuál es el objetivo del ENS?
Según el Real Decreto 3/2010 (publicado en el BOE» núm. 25, de 29/01/2010) que regula la utilización de información de datos personales y que permite, por medio de este esquema (ENS), conseguir la confianza de los usuarios y de las organizaciones ante el uso de medios electrónicos.
¿Qué son los principios Básicos del ENS?
El esquema nacional de seguridad (ENS) estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información, teniendo presentes todos los medios digitales que se utilicen dentro de la organización.
Los principios básicos del ENS son:
- La seguridad como un proceso integral.
- Gestión de la seguridad basada en los riesgos.
- Prevención, reacción y recuperación.
- Líneas de defensa.
- Reevaluación periódica.
- La seguridad como función diferenciada.
Empresas que deben cumplir con el Esquema Nacional de Seguridad
La política de seguridad en el uso de medios electrónicos de la Administración pública y en organizaciones del sector privado que apoyen, ofrezcan y presten servicios a la ciudadanía; está regida por el Real Decreto 3/2010 que regula el Esquema Nacional de Seguridad (ENS).
Según información del Portal de Ingertec, se dividen en dos grandes grupos los organismos que deben cumplir con el Esquema Nacional de Seguridad:
- Públicos: dentro de este grupo se encuentran todas las entidades públicas, ya sean nacionales o de comunidades autónomas que tengan a su disposición cualquier tipo de dato sensible de clientes o ciudadanos. Se encuentran en este grupo también las universidades, hospitales o entidades sin ánimo de lucro.
- Privados: este grupo está compuesto por cualquier organización de naturaleza privada que preste servicios o cualquier tipo de solución a los organismos públicos que estén contenidos en el anterior grupo. Es decir, cualquier empresa que tenga algún tipo de relación con la administración pública.
Categorías del Esquema Nacional de Seguridad (ENS)
Según las dimensiones de seguridad descritas dentro del Esquema Nacional de Seguridad se consideran tres niveles: Bajo, Medio y Alto. Cada uno de los niveles tiene una dimensión de seguridad y dependiendo del nivel de impacto o de incidente de seguridad que afecte a la organización.
Cada servicio dentro de la empresa puede verse afectado por un incidente de seguridad que determina el nivel de afectación y así mismo, el nivel de conformidad que se requiere cumplir dentro del ENS para poder obtener la certificación a conformidad.
ENS Nivel Bajo
Este nivel se utiliza cuando las consecuencias de un incidente de seguridad solamente afectan a alguna de las dimensiones de seguridad dentro de la empresa, pero no a todas. Es decir, este nivel supone un perjuicio limitado a las funciones de la organización, a sus activos o a los personas afectadas
ENS Nivel Medio
Este nivel se utiliza cuando las consecuencias de un incidente de seguridad afectan a alguna de las dimensiones de seguridad dentro de la empresa. Es decir, este nivel supone un perjuicio grave a las funciones de la organización, a sus activos o a los personas afectadas.
ENS Nivel Alto
Este nivel se utiliza cuando las consecuencias de un incidente de seguridad afectan a muchas de las dimensiones de seguridad dentro de la empresa. Es decir, este nivel supone un perjuicio muy grave a las funciones de la organización, a sus activos o a los personas afectadas.
Fases para implantar un esquema nacional de seguridad
Según el Grupo Ingertec expertos en la implantación del ENS dentro de las organizaciones y con muchos casos exitosos, se recomienda seguir los siguientes 10 pasos para lograr la certificación de manera exitosa:
- Política de Seguridad: Establecer cuales son las políticas de seguridad con las cuales cuenta la organización y verificar su estado y aplicación
- Categorización de sistemas: Generar la revisión de sistemas de seguridad en información presentes dentro de la empresa y generar su categorización
- Análisis de riesgos: Realizar el análisis completo de todos los riesgos presentes y aquellos posibles, que se pueden generar dentro de la organización sin el cumplimiento del Esquema Nacional de Seguridad
- Declaración de aplicabilidad: Establecer los puntos principales de aplicación de las medidas a tomar, y dejar plena constancia de los procesos que se verán afectados.
- Plan de adecuación: Realizar un plan de adecuación de los sistemas, procesos y normativas que se requieren modificar para dar cumplimiento al esquema nacional de seguridad
- Implementación de seguridad: Implementar todas las medidas presentadas en el plan de adecuación de la fase anterior dentro de toda la organización
- Auditorías: Seguir un proceso completo de auditoría sobre el cumplimiento de las medidas implantadas de seguridad que se requieren para la conformidad del ENS
- Certificación de conformidad: Declaración realizada por entidad acreditada sobre el proceso de conformidad del Esquema Nacional de seguridad dentro de la organización
- Vigilancia y mejora continua: Generar vigilancia continua de los procesos de seguridad en la información implantados dentro de la empresa y su mejora con el paso del tiempo para mantener los niveles indicados por el Esquema Nacional de Seguridad certificación esquema nacional de seguridad
El proceso de certificación ENS: esquema nacional de seguridad
El proceso de certificación ENS pasa por la realización de una auditoria externa realizada por una entidad acreditada e independiente donde normalmente se realicen las siguientes actividades
Determinar objetivo y alcance de la auditoría de certificación ENS donde se definirá de forma clara y documentada el texto que defina dicho alcance. En esto interviene tanto el equipo auditor como la entidad del sector público o proveedor de servicios privado
Comprobación, a través de los registros y evidencias que sirvan de verificación de que las medidas de seguridad del sistema auditado se ajustan a los principios básicos del RD 3/2010 (artículo 4), y satisfacen los requisitos mínimos de seguridad (artículo 11)
Para los sistemas de categoría Básica requerirán de una autoevaluación para su declaración de la conformidad
Como se obtienen las evidencias de cumplimiento del ENS
Las evidencias de cumplimiento del ENS se obtienen basicamente desde
-
El Analisis y Gestión de Riesgos
Se analiza la metodología de la identificación de escenarios de riesgo, su coherencia, y documentación así como la verificación del inventario de activos.
La metodología de análisis del riesgo debe ser reconocida internacionalmente.
-
El marco organizativo y la segregación de funciones.
Aquí se analiza la documentación de las políticas y procedimientos y su accesibilidad por el personal al que afecta y como se actualiza
Por otro lado se verifica la comunicación de las normas, de las responsabilidades y de la concienciación del personal afectado por las normas, políticas y procedimientos.
-
El marco operacional
(Planificación, Control de Accesos, Explotación, Servicios Externos, Continuidad del Servicio, y Monitorización del Sistema).
En este contexto se verifican
- las evidencias de la continuidad del servicio, con inclusión o no de los servicios externos;
- las autorizaciones y solicitudes de acceso,
- el registro y seguimiento de los incidentes de seguridad;
- la adecuación de los derechos de acceso que consideren la segregación de funciones,
- evaluación del control de capacidad de los sistemas,
- Los mecanismos de control para el acceso físico, la revisión de los registros de actividad, su revisión y supervisión;
- la fortaleza de las medidas de seguridad de las comunicaciones frente a ataques internos o externos;
- el control de cambios en aplicaciones y sistemas;
- el cumplimiento de contratos de propiedad intelectual, etc.
-
Las medidas de protección
- Protección de las instalaciones e infraestructuras,
- Gestión del personal,
- Protección de equipos, de las comunicaciones, de los soportes de información, de las aplicaciones informáticas, de la información, y de los servicios).
Beneficios de tener certificación del ENS
- Garantía de productos certificados y de calidad
- Cumplimiento con los requisitos legales para las AA.PP
- Logra mayor confianza entre los usuarios en el uso de medios electrónicos
- Establecimiento de un lenguaje común de peligrosidad
- Utilización de guías e instrumentos para la Seguridad de la Información
Empresas certificadas
El CCN publica las empresas que han obtenido la certicación en categorias alta y media, así como aquellas que aún siendo de categoria baja se han certificado.