Esquema Nacional de Seguridad: Un valor diferencial en normativa de seguridad

Cuando una organización se enfrenta a la tarea de gestionar los riesgos vinculados a sus sistemas de información, se encuentra ante la disyuntiva de qué marco de referencia emplear para esta labor. Normativas, como la ISO 27001, son mundialmente reconocidos y ampliamente utilizados por organizaciones de todos los sectores y tamaños, pero desde su aparición en 2010, el Esquema Nacional de Seguridad se está conformando en España como el marco de referencia para el control de la seguridad tanto para entidades públicas como privadas.



El Real Decreto 3/2010 de 8 de enero regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica previsto en la Ley 11/2007 de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, con objeto de crear las condiciones de confianza necesarias para los ciudadanos en el uso de medios electrónicos. Está constituido por principios básicos y requisitos mínimos que permitan una adecuada protección de la información.

Según el art. 2 de esta ley, el ámbito de aplicación del ENS es el de los organismos públicos (Administración General del Estado, Banco de España, Universidades Públicas, etc.), los ciudadanos en sus relaciones con los mismos y el de las relaciones entre ellos. Además, el Real Decreto 3/2010 estableció que las Administraciones Públicas tuvieran que adecuarse al ENS en un plazo no superior a 48 meses desde su entrada en vigor, es decir, antes del 30 de enero de 2014.

Posteriormente, el Real Decreto 3/2010 fue modificado por el Real Decreto 951/2015 para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

ENS, un estándar de referencia en el ámbito español

Es por ello que el ENS haya tenido tanto calado desde entonces. El motivo principal es el requerimiento legal de obligado cumplimiento tanto por parte de las AAPP como de aquellas entidades vinculadas o dependientes de éstas (terceros que presten un servicio en régimen de concesión, encomienda de gestión o contrato).

Las empresas prestadoras de servicios que accedan a los datos de un organismo público deben implantar igualmente las medidas de seguridad exigidas a estos organismos por el ENS. Desde una pequeña pyme que desarrolla una solución específica de seguridad, hasta gigantes mundiales que prestan servicios Cloud, todos están obligados a cumplir con el ENS si trabajan para un organismo público. De hecho, este requisito de Certificado de Conformidad ya se encuentra en el pliego de condiciones de cualquier concurso público como requisito ineludible para la contratación.

Por otra parte, al ser considerado como el marco de seguridad de referencia dentro del ámbito público, su aplicación se está promocionando desde otras regulaciones de seguridad para todos los sectores. La Agencia Española de Protección de Datos considera pertinente aplicar el ENS para el tratamiento de los datos de carácter personal. No obliga a aplicar este marco, pero sí le otorga una legitimidad ineludible. Pero además, conseguir esta certificación aporta un valor diferencial en la prestación de servicios, ya que es un reflejo del compromiso con la calidad.

Beneficios para organismos del sector privado

Los beneficios que la Certificación de Conformidad con el ENS aporta a una entidad privada, podemos enumerarlos en los siguientes:

• Cumplir con la normativa vigente y requisitos legales si se ofrecen servicios a los organismos públicos que estén relacionados con sus sistemas de información.
• Ofrecer un plus de confianza a las AAPP y a las entidades privadas de que los servicios prestados son seguros.
• Cumplir con los requisitos de conformidad exigidos para los concursos públicos.
• Ventaja competitiva y valor diferencial respecto de otras empresas en el mercado.

Para obtener la certificación ENS, una organización tanto pública como privada necesita cumplir unas exhaustivas especificaciones que marca el CCN (Centro Criptológico Nacional) y que podemos agrupar en tres niveles:

1. Requisitos organizativos: Políticas, normativas, procedimientos y procesos.
2. Requisitos operacionales: Planificación, controles, continuidad y monitorización de seguridad.
3. Requisitos activos: Infraestructuras, equipos, comunicaciones, aplicaciones, soportes, servicios y datos.

La certificación se realiza mediante un procedimiento de auditoría formal que verifica el cumplimiento de todos los requerimientos contemplados en el Esquema Nacional de Seguridad. Esta auditoría debe ser realizada, al menos cada dos años, por una empresa de certificación acreditada como AENOR.

En resumidas cuentas, aunque inicialmente el ENS surgió ante la necesidad de establecer un marco regulatorio para la seguridad de la información en las Administraciones Públicas, su área de influencia se ha extendido para conformarse como una base de referencia para cualquier organización, independientemente del tamaño o sector. El Esquema Nacional de Seguridad es el estándar de seguridad de los organismos públicos y un estándar de referencia para el sector privado en España, así como un estándar de ciberseguridad muy valorado más allá de nuestras fronteras.

Algunas claves del ENS

Objetivos principales:

• Crear las condiciones necesarias de confianza en el uso de los medios electrónicos que permitan a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
• Introducir los elementos y metodologías comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
• Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.

Elementos:

• Los principios básicos a considerar en las decisiones en materia de seguridad.
• Los requisitos mínimos que permitan una protección adecuada de la información.
• El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.
• Las comunicaciones electrónicas.
• La auditoría de la seguridad.
• La respuesta ante incidentes de seguridad.
• La certificación de la seguridad.
• La conformidad.

Categorización de los sistemas:

Se definen tres categorías: Básica, Media y Alta y cinco dimensiones de seguridad: Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad.

• Un sistema de información será de categoría Alta si alguna de sus dimensiones de seguridad alcanza el nivel Alto.
• Un sistema de información será de categoría Media si alguna de sus dimensiones de seguridad alcanza el nivel Medio, y ninguna alcanza un nivel superior.
• Un sistema de información será de categoría Básica si alguna de sus dimensiones de seguridad alcanza el nivel Bajo, y ninguna alcanza un nivel superior.