ENS, Todo lo que debes saber

En este post vamos a hablar en profundidad de todo lo que debes saber en relación con el Esquema Nacional de Seguridad (ENS), un marco normativo que establece una serie de medidas que tienen que ver con la seguridad de la información. Este esquema es de obligado cumplimiento para las administraciones públicas y para las entidades que presten servicios para dichas administraciones.

Si trabajas en una entidad pública o tu trabajo está relacionado con un organismo oficial, esto te interesa. ¿ENS, qué hay que saber? ¡Te lo contamos!

¿Qué es el Esquema Nacional de Seguridad?         

El Esquema Nacional de Seguridad, también conocido como ENS, es un esquema establecido por el Centro Criptológico Nacional (CCN) para la protección adecuada de la información en el uso de medios electrónicos a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos de las administraciones públicas.

La nueva versión del ENS está regulada por el Real Decreto 311/2022, de 3 de mayo, donde incorpora una serie de actualizaciones en base a la evolución tecnológica.

Novedades implantación del ENS

Una de las novedades importantes del ENS es el ámbito de aplicación. Se detalla que el ámbito de aplicación del ENS es de todo sector público, independientemente de su tamaño, es decir, todas las administraciones y organismos públicos tienen que cumplir con el Esquema Nacional de Seguridad.

También es aplicable a todas las empresas que presten servicios relacionados con las Tecnologías de la Información y la Comunicación (TIC) a las administraciones públicas.

Como novedad destaca el nuevo sistema de codificación de medidas, es decir, ahora se establecen unos requisitos base para las medidas y luego a esos requisitos, se suman una serie de refuerzos incrementándose entre sí, pudiéndose, a veces, elegir entre qué refuerzos a aplicar.

¿Qué especificaciones establece el Esquema Nacional de Seguridad?

En cuanto a las dimensiones de la seguridad de la información las más comunes son:

  • Confidencialidad: es la característica de la información en la que no se pone a disposición ni se revela a individuos o a personas no autorizadas.
  • Integridad: propiedad que consiste en que la información no ha sido alterada de forma no autorizada.
  • Disponibilidad: la información está cuando se necesita.

Pero, además, el Esquema Nacional de Seguridad incorpora otras dos categorías:

  • Autenticidad: propiedad que consiste en que la entidad es quien dice ser o bien se garantiza la fuente de la que proceden los datos.

  • Trazabilidad: las actuaciones de una entidad pueden ser imputadas exclusivamente a esa entidad.

¿Qué medidas de seguridad establece el ENS?

El Esquema Nacional de Seguridad fija las siguientes medidas de seguridad:

  • En el Marco Organizativo existen 4. Este está constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. Aquí puedes encontrarte:
    • Política de seguridad
    • Normativa de seguridad
    • Procedimiento de seguridad
    • Proceso de autorización
  • En el Marco Operacional hay 33.  Está formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. En esta sección, conocerás:
    • Planificación
    • Control de acceso
    • Explotación
    • Recursos externos
    • Servicios en la nube
    • Continuidad del servicio
    • Monitorización del sistema
  • Se contabilizan 36 medidas de Protección. Estas se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
    • Protección de las instalaciones e infraestructuras
    • Gestión del personal
    • Protección de los equipos
    • Protección de las comunicaciones
    • Protección de los soportes de información
    • Protección de las aplicaciones informáticas
    • Protección de la información
    • Protección de los servicios

En conjunto, en este nuevo Esquema Nacional de Seguridad tenemos tres medidas: la básica con 52 medidas, la media con 68 medidas y la alta con 73 medidas.

ENS_ Todo lo que debes saber (2)

¿Cómo se realiza la implantación del Esquema Nacional de Seguridad?

De seguido, te detallamos de manera minuciosa y precisa todos los pasos que tienes que conocer para implantar el ENS.

Determinar el alcance del ENS

Es decir, qué sistemas van a estar incluidos dentro del Esquema Nacional de Seguridad. Primero se identifican qué servicios se prestan, y luego todos los sistemas que hay vinculados a la estación de servicios; en este caso hablamos de servidores, aplicaciones, servicios en la nube, equipos de usuario final que se conectan al sistema, es decir, todos los que están dentro involucrados en el alcance del servicio que se está prestando.

Categorizar el sistema

Valorar las necesidades de seguridad de los servicios que se prestan y la información que se manejan. Aquí encontramos tres categorías en función de la sensibilidad de esa información:

  • Categoría básica
  • Categoría media
  • Categoría alta

Declaración de Aplicabilidad

Identificar qué medidas de seguridad hay que aplicar e identificar los documentos necesarios en cada medida.

Evaluación de riesgos

Este paso consiste en realizar una serie de pasos:

  • Identificar los activos esenciales
  • Identificar los activos de soporte: hardware, software y otros
  • Establecer medidas según la Declaración de Aplicabilidad
  • Realizar la Evaluación de riesgos

Validar la Declaración de Aplicabilidad

Mediante la aceptación del Riesgo Residual, es decir, una vez que he implantado medidas de seguridad, el riesgo baja y al final puedes tener un riesgo residual que no vas a poder eliminar.

Política de Seguridad de la Información

Incluyendo la definición de roles, asignación de responsabilidades y los que van a formar el Comité de Seguridad de la Información.

Definir la Hoja de Ruta

En este caso, es importante realizar los siguientes puntos:

  • Identificar los documentos a elaborar
  • Identificar las medidas técnicas a implementar
  • Establecer prioridades y orden de elaboración de documentos
  • Elaborar la Hoja de Ruta para tener el plan de Adecuación

Elaborar Marco Normativo y las medidas

  • Normas de uso de los sistemas

  • Procedimiento de formación

  • Control de acceso lógico

Implantación de Medidas Técnicas

  • Bastionado de servidores

  • Seguridad de los Endpoints

  • Implantar la vigilancia de la red

Aprobación del SGSI

  • Revisión del Marco Normativo y las medidas técnicas de seguridad implantadas.

  • Reunión del Comité de Seguridad de la Información para la aprobación de las Normativas y procedimientos de seguridad

  • Acta del Comité de Seguridad y Marco Normativo Firmado

  • Publicación del Marco Normativo

Plazos de tiempo

Entre 3 y 6 meses, dependiendo del tamaño de la organización, situación de partida, agilidad para implantar las medidas de seguridad y la implicación.

 

¿Qué hay que hacer para certificarse?

A continuación, te vamos a mencionar cuáles son los pasos para certificarse:

  • Implantar el ENS
  • Operarlo y recoger registros
  • Realizar la auditoría interna
  • Auditoría de certificación
  • Elaborar el Paquete de Acciones Correctivas (PAC) y enviarlo al auditor
  • Obtención del certificado

¿Qué implicaciones tiene el Esquema Nacional de Seguridad?

En las próximas líneas sabrás las implicaciones que tiene el ENS. ¡Sigue leyendo!

Entidades que deben implantar el ENS

Todas las empresas que prestan servicios TIC a las administraciones y organismos públicos deben tener el ENS implantado en la misma categoría superior a la AAPP a que prestan servicios.

Entidades que tienen implantado el ENS

Las entidades que tengan implantado y certificado el ENS deberán actualizar el mismo con los nuevos requisitos y en la posterior renovación. Certificarse contra el RD 311/2022.

ENS_Todo lo que debes saber (3)

Implantación del ENS

Como sabrás, la implantación del Esquema Nacional de Seguridad es 100% exigible a las Administraciones públicas y a aquellas empresas que prestan servicios a dichas entidades estatales.

Realizar esta tarea supone un proceso complejo y requiere de profesionales, especialmente, experimentados en ese ámbito. En Grupo CFI, Ciberseguridad y Protección de Datos, disponemos de un equipo humano altamente cualificado que asegurará la perfecta adecuación del Esquema Nacional de Seguridad en la organización, manteniendo en todo momento la confidencialidad de la información de la administración.

Una vez implantado el ENS, dispondrá de un sistema de gestión de la seguridad de la información acorde con los requisitos establecidos que podrá certificar ante terceros.

Conclusión

En la actualidad, la implantación del ENS es uno de los servicios que más nos demandan, entre todo el amplio abanico de prestaciones que ofrecemos.

Es conveniente recordar que el Esquema Nacional de Seguridad tiene por objetivo establecer y afianzar la confianza en los sistemas de información de los organismos públicos, con el fin de que esta información importante y valiosa esté custodiada y no pueda llegar a manos de cualquiera.

Llevar a cabo el ENS es una tarea ardua que requiere de personal experto y con una dilatada experiencia en el campo de la Ciberseguridad.

Desde Grupo CFI podemos ayudarte a en todo momento a implantar el Esquema Nacional de Seguridad, además, nuestro equipo de profesionales llevará a cabo un diagnóstico completo de cumplimiento de tu entidad.

Y eso no es todo, porque desde el Instituto Superior de Ciberseguridad, impartimos el curso de Experto Implantador del Esquema Nacional de Seguridad para que aprendas todo lo que debes saber para adecuar cualquier organización a los requisitos del ENS.

 

Si todavía tienes algún tipo de duda en relación con el Esquema Nacional de Seguridad, en Grupo CFI estamos encantados de resolver tus inquietudes y de apoyarte y asesorarte en todo momento. ¡Contáctanos! Es el momento de actuar.

 

Julio César Miguel Pérez

Julio César Miguel Pérez

CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, ciberseguridad, protección de datos personales y comercio electrónico.

    Entradas recientes