La importancia del cumplimiento con el Esquema Nacional de Seguridad

¿Qué es el Esquema Nacional de Seguridad o ENS?

El Esquema Nacional de Seguridad (ENS) es una ley de obligado cumplimiento para el sector público. Nace con el fin de especificar las medidas de seguridad necesarias para salvaguardar los distintos ámbitos de la organización que son susceptibles de ser atacados. Para ello, se detallan una serie de medidas organizativas y operativas (técnicas), que, al ser integradas en la Administración, mejoran exponencialmente el nivel de seguridad.

El ENS establece un planteamiento común de seguridad para la protección de la información que manejan y los servicios que prestan las administraciones públicas, fundamentalmente. Impulsa la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto donde las ciberamenazas surgen en el día a día. Además, facilita la cooperación y proporciona un conjunto homogéneo de requisitos a la Industria, por lo cual también constituye un referente de buenas prácticas en el ámbito digital.

El principal objetivo de estas medidas de seguridad es proteger la información y los datos de la organización, de forma que no pueda ser interceptada por terceros, manipulada, inaccesible o eliminada, entre otras posibles amenazas.

Origen y marco normativo del ENS

Las bases del Esquema Nacional de Seguridad se establecen en el Real Decreto 3/2010, de 8 de enero, y fue publicado en el BOE del 29 de enero de 2010. Este Real Decreto regula el ENS en el ámbito de la administración electrónica, esquema que había sido previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, sobre el Acceso Electrónico de los Ciudadanos a los Servicios Públicos. En dicho artículo se reconoce la necesidad de generalizar la Sociedad de la Información, ya que es subsidiaria, en gran medida, de la confianza que debe generar en los ciudadanos el uso de los medios electrónicos. Por eso, el objetivo es crear las condiciones de confianza necesarias e imprescindibles en el uso de estos medios, estableciendo las políticas de seguridad en la utilización de los medios electrónicos. El ENS está constituido por principios básicos y por requisitos mínimos, destinados a permitir una efectiva protección de la información.

El mencionado Real Decreto fue elaborado mediante un proceso coordinado por el Ministerio de la Presidencia, con el apoyo del Centro Criptológico Nacional CCN, en el que participaron todas las Administraciones Públicas a través de los órganos colegiados con competencia en materia de administración electrónica. Dichos órganos son la Comisión Permanente del Consejo Superior de Administración Electrónica, la Conferencia Sectorial de Administración Pública y la Comisión Nacional de Administración Local. También se sometió al informe previo procedente de la Agencia Española de Protección de Datos y del Consejo de Estado. Asimismo, contó con las opiniones de numerosos expertos, a través de las asociaciones profesionales del sector de la industria de tecnologías de la información y las comunicaciones.

Ámbitos de aplicación del ENS

El área de aplicación del Esquema Nacional de Seguridad es el de las Administraciones Públicas, las relaciones entre las mismas y los ciudadanos en sus interacciones con ellas, según se establece en el artículo 2 de la Ley 11/2007. Quedan fuera de su ámbito de aplicación los sistemas que tratan información clasificada regulada por la Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo, de la Agencia Española de Protección de Datos y del Consejo de Estado.

La importancia del asesoramiento para el adecuado cumplimiento del ENS

Resulta esencial contar con profesionales eficientes para acompañar a las empresas y organismos en el proceso completo de auditoría, implantación y apoyo en el proceso de certificación:

Fase 1: Auditoría de cumplimiento

Es fundamental encauzar de una forma homogénea la realización de las auditorías, ordinarias o extraordinarias, según unas premisas mínimas en su ejecución, tal y como señala el artículo 34 del Real Decreto 3/2010. El CCN-CERT recuerda que este artículo establece que los sistemas de información a los que se refiere el RD serán objeto de una auditoría regular, al menos cada dos años, cuyo fin será verificar el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad. Asimismo, deberá realizarse dicha auditoría, con carácter extraordinario, siempre que se produzcan modificaciones sustanciales en el sistema de información, de tal grado que puedan repercutir en las medidas de seguridad requeridas.

Fase 2: Implantación de medidas

El Esquema Nacional de Seguridad establece una serie de medidas de seguridad, condicionadas a la valoración del nivel de seguridad en cada dimensión y a la categoría del sistema de información de que se trate. Estas medidas constituyen una base mínima y, de no implementarse o sustituirse por otras, se deben justificar los motivos. Resulta esencial valorar los niveles de madurez del sistema, el marco organizativo (políticas y normativas de seguridad, procedimientos operativos de seguridad, procesos de autorización) y el marco operacional (análisis de riesgos, arquitectura de seguridad, adquisición de nuevos componentes, evaluación de capacidades, componentes certificados, control de accesos, inventario de activos, servicios de contratación de externos, plan de continuidad, análisis de impacto o control del sistema). También es imprescindible atender la protección de las instalaciones e infraestructuras, la gestión del personal, la protección de los equipos y de las comunicaciones, la protección de los soportes de información y las aplicaciones informáticas, y la protección de la información y los servicios.

Fase 3: Apoyo en el proceso de certificación

El respaldo en el proceso de certificación y en el monitoreo de las auditorías y la implantación del ENS gira en torno al Corporate Compliance, un conjunto de procedimientos y buenas prácticas que deben adoptar las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y, paralelamente, establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos. Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) y adecuar la organización a normas como la ISO 27001 o el Esquema Nacional de Seguridad redunda en proporcionar confianza y seguridad a quienes trabajan y colaboran con tu organización.

¿Qué empresas deben cumplir el Esquema Nacional de Seguridad ENS?

En primera instancia, desde el 5 de noviembre de 2017 las Administraciones Públicas tienen la obligación de cumplir el Esquema Nacional de seguridad. En virtud de lo que dispone la normativa, el ENS será de aplicación obligatoria para la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local. Igualmente deben aplicarlo, entre otras, las siguientes entidades del sector público:

• Fundaciones del sector público.
• Universidades públicas.
• Hospitales públicos.
• Grupos políticos de las Cortes Generales y de Corporaciones Locales.
• Colegios profesionales en lo relativo a las tareas que realizan para la administración.
• Cámaras de comercio.
• Federaciones deportivas.
• Empresas públicas como, por ejemplo, gestoras de los servicios de aguas, transporte, radio y televisión, autopistas y otras.

¿Existen empresas privadas que deben cumplir el ENS?

Algunas corporaciones privadas sí que deben cumplir el ENS. Se trata de las empresas que prestan servicios a entidades públicas, en función del tipo de servicio e información que manejan. Generalmente, son empresas tecnológicas y de servicios como, por ejemplo, involucradas en el desarrollo de software, servicios cloud, mantenimiento de sistemas, servicios de nóminas o contabilidad, entre otros. En caso de duda, la recomendación del Centro Criptológico Nacional es realizar un análisis concreto para cada tipo de servicio e información.

Integración del ENS y los sistemas de protección de datos

Las entidades del sector público deben integrar la adaptación al ENS con el cumplimiento de las normativas de protección de datos, como son el RGPD y la nueva LOPDGDD. La Ley de Protección de Datos y Garantía de los Derechos Digitales también regula las medidas de seguridad en el ámbito del sector público. De hecho establece que, en caso de tratamiento de datos personales por parte de las administraciones públicas, estas deberán aplicar un grado de seguridad en base al ENS y el correspondiente análisis de riesgos.