Esquema Nacional de Seguridad (ENS)

Si necesita implantar el Esquema Nacional de Seguridad (ENS) en Grupo ACMS Consultores podemos asesorarle.

Índice de Contenidos

• 1. ¿Qué es el Esquema Nacional de Seguridad?
• 2. ¿Dónde se regula el Esquema Nacional de Seguridad?
• 3. ¿Cuáles son los tres objetivos que pretende alcanzar?
• 4. ¿Necesita asesoramiento para su implantación?

1. ¿Qué es el Esquema Nacional de Seguridad?

El Esquema Nacional de Seguridad (ENS) es un conjunto de medidas y políticas de seguridad de la información, establecidas por el Gobierno de España, con el fin de garantizar la protección de los sistemas, datos e información de las diferentes Administraciones Públicas Españolas.

2. ¿Dónde se regula el Esquema Nacional?

El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad sustituye al Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración Electrónica.

Existen diversas medidas de seguridad recogidas en el ENS, que se dividen en 3 grupos (Anexo II del Real Decreto 311/2022):

• Marco organizativo: las medidas son acerca de la política de seguridad, Los procedimientos y normas de seguridad, los procesos sobre autorizaciones, etc. 
• Dentro del marco operacional se aprecian medidas sobre la planificación, análisis de riesgos, control de accesos, la continuidad del servicio, la monitorización de los sistemas, etc…
• Las medidas para la protección son varias para proteger instalaciones e infraestructuras, gestión del personal, servicios, comunicaciones, soportes de información, etc

3. ¿Cuáles son los tres objetivos que pretende alcanzar?

De esta manera, se busca establecer un marco común de seguridad para todas las administraciones públicas españolas, que permita prevenir y mitigar los riesgos de seguridad asociados al uso de las tecnologías de la información.

El Esquema Nacional de Seguridad, actualizado en 2022, pretende cumplir tres objetivos:

1. Alinear el ENS con el marco normativo y el contexto estratégico existente para garantizar la seguridad en la administración digital. Se trata de reflejar con claridad el ámbito de aplicación del ENS en beneficio de la ciberseguridad y de los derechos de los ciudadanos.
   
   
2. Introducir la capacidad de ajustar los requisitos del ENS, para garantizar su adaptación a la realidad de ciertos colectivos o tipos de sistemas, atendiendo a la semejanza que presentan una multiplicidad de entidades o servicios en cuanto a los riesgos a los que están expuestos sus sistemas de información y sus servicios. 
   
   
3. Facilitar una mejor respuesta a las tendencias en ciberseguridad, reducir vulnerabilidades y promover la vigilancia continua mediante la revisión de los principios básicos, de los requisitos mínimos y de las medidas de seguridad.

El objeto último de la seguridad de la información, como se define en el Esquema de Seguridad Nacional es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información.

Por ello, en materia de seguridad de la información deberán tenerse en cuenta los siguientes principios básicos:

1. Seguridad como proceso integral.
2. Gestión de la seguridad basada en los riesgos.
3. Prevención, detección, respuesta y conservación.
4. Existencia de líneas de defensa.
5. Vigilancia continua.
6. Reevaluación periódica.
7. Diferenciación de responsabilidades.

4. ¿Necesita asesoramiento para implantar los procedimientos y requisitos que aplica el Esquema Nacional de Seguridad?

Si necesita asesoramiento para implantar los procedimientos y requisitos que aplica el Esquema Nacional de Seguridad, en Grupo ACMS Consultores podemos asesorarle.

Lo primero que se debe analizar y tener en cuenta a la hora de implantar el Esquema Nacional de Seguridad es la categorización de la seguridad de los sistemas de información, tal y como se describe en el Anexo I del Real Decreto 311/2022, de 3 de mayo.

Esto se realizará teniendo en cuenta las 5 dimensiones de la seguridad: Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad de la información. Así se definen 3 niveles de Seguridad: Bajo, Medio y Alto. Y a partir de aquí, se definen tres categorías de seguridad: BÁSICA, MEDIA y ALTA.

• Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad ALTO.
• Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad MEDIO, y ninguna alcanza un nivel de seguridad superior.
• Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos se aplicarán las medidas de seguridad indicadas en el Anexo II, en el cual se incluye una Tabla con la correspondencia de Medidas de Seguridad a aplicar por cada uno de los Marcos definidos (organizativo, operacional y medidas de protección) en función de las dimensiones de seguridad, la Categoría de seguridad del sistema.