ENS - Esquema Nacional de Seguridad
Garantizar la seguridad en la utilización de medios electrónicos en la Administración Pública.
Con el nuevo texto normativo se persigue garantizar la protección de los sistemas de información en las entidades de su ámbito de aplicación, reduciendo vulnerabilidades y promoviendo la vigilancia continua, estableciendo a su vez mecanismos de respuesta y medidas de seguridad óptimas, dentro del marco jurídico, tecnológico, estratégico y de ciberamenazas actuales.
El ENS pretende hacer evolucionar la política de seguridad de todas las entidades del sector público español, tomando en cuenta las regulaciones de la Unión Europea dirigidas a incrementar el nivel de ciberseguridad de los sistemas de información.
Qué es el Esquema Nacional de Seguridad o ENS
El Esquema Nacional de Seguridad, actualmente regulado por el RD 311/2022, establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para el sector público, así como los proveedores tecnológicos del sector privado que colaboran con la Administración.
El objeto del ENS es asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias:
- proporcionando al Sector Público en España un planteamiento común de seguridad para la protección de información que maneja y los servicios que presta, impulsa la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas.
- estableciendo un idioma común para la interacción entre las distintas administraciones y a la hora de establecer requisitos para la seguridad de los proveedores de la industria de la seguridad de la información.
Auditoría externa del Esquema Nacional de Seguridad
Los sistemas de información se categorizan en tres niveles para determinar la importancia de cada sistema:- Categoría ALTA: Cuando cualquiera de los riesgos en la seguridad de la información pueda causar un daño catastrófico.
- Categoría MEDIA: Cuando cualquiera de los riesgos en la seguridad de la información pueda causar un perjuicio grave no existiendo ninguno de nivel superior
- Categoría BAJA: Cuando los riesgos en la seguridad de la información no superan la causa de un perjuicio limitado no existiendo ninguno de nivel grave o superior. Para los sistemas de información de categoría BAJA o BÁSICA no es obligatorio realizar una auditoría, basta con un informe de autoevaluación.
ENS vs ISO 27001
Las empresas ya certificadas en ISO 27001 tienen una cultura de seguridad que les permite tener buena parte del camino recorrido para conseguir la certificación del ENS ya que los controles recogidos en el anexo ISO 27002 coinciden con muchas de las medidas de seguridad indicadas en el anexo II del ENS.
A pesar de eso, ENS es una norma jurídica enfocada en la protección con un concepto de requisitos de obligado cumplimento, e ISO 27001 es un Sistema de Gestión enfocado a la mejora continua y a la construcción de un sistema de gestión de la seguridad de la información.
Ambas normas tienen una buena integración y reducción de tiempos y conviven perfectamente en las organizaciones, aunque no es estrictamente necesario disponer de ISO 27001 para la obtención del ENS.