OneCyber

Menú
Menú
Menú

BLOG

La importancia del cumplimiento con el Esquema Nacional de Seguridad

Esquema Nacional de Seguridad

¿Qué es el Equema Nacional de Seguridad o ENS?

El Esquema Nacional de Seguridad (ENS), establecido por el Real Decreto 311/2022 es una ley de obligado cumplimiento para el sector público. Nace con el fin de especificar las medidas de seguridad necesarias para salvaguardar los distintos ámbitos de la organización que son susceptibles de ser atacados. Para ello, se detallan una serie de medidas organizativas y operativas (técnicas), que, al ser integradas en la Administración, mejoran exponencialmente el nivel de seguridad.

El ENS define un enfoque unificado de seguridad para proteger la información gestionada y los servicios proporcionados, principalmente, por las administraciones públicas. Promueve la administración constante de la seguridad, esencial para la transformación digital en un escenario donde las amenazas cibernéticas aparecen de forma cotidiana. Además, facilita la cooperación y proporciona un conjunto homogéneo de requisitos a la Industria, por lo cual también constituye un referente de buenas prácticas en el ámbito digital.

El principal objetivo de estas medidas de seguridad es proteger la información y los datos de la organización, de forma que no pueda ser interceptada por terceros, manipulada, dejar inaccesible o ser eliminada, entre otras posibles amenazas.

Origen y marco normativo del Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) se establece como un pilar fundamental para proteger la Administración Electrónica en España. Fue introducido inicialmente por el Real Decreto 3/2010, en cumplimiento de la Ley 11/2007, que garantizaba a los ciudadanos el acceso digital a servicios públicos. En 2022, el Real Decreto 311/2022 actualizó y fortaleció el ENS, adaptándolo a las nuevas amenazas cibernéticas y a un entorno digital en constante cambio.

Esta normativa, promovida por el Ministerio de la Presidencia y respaldada por el Centro Criptológico Nacional (CCN), refuerza la seguridad en los sistemas de información mediante principios clave como la confidencialidad, integridad, disponibilidad y trazabilidad. Además, promueve una colaboración estrecha entre entidades públicas y privadas, asegurando un cumplimiento homogéneo de las medidas de protección de la información.

Ámbito de aplicación del ENS

El Esquema Nacional de Seguridad (ENS) es de aplicación obligatoria para las Administraciones Públicas, así como para las relaciones de estas con los ciudadanos y las entidades que prestan servicios relacionados. 

Esto está regulado principalmente en el Real Decreto 311/2022, que actualiza y amplía lo establecido por el Real Decreto 3/2010. Asimismo, el artículo 2 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, define los límites de aplicación del ENS.

Dentro de su ámbito se incluyen la Administración General del Estado, Comunidades Autónomas, Entidades Locales, y otras entidades públicas, así como ciertas empresas privadas que manejan sistemas de información o prestan servicios relacionados con la administración pública.

La importancia del asesoramiento para el adecuado cumplimiento del ENS

Resulta esencial contar con profesionales eficientes para acompañar a las empresas y organismos en el proceso completo de auditoría, implantación y apoyo en el proceso de certificación conforme a la normativa vigente (Real Decreto 311/2022)

Fase 1: Auditoría de cumplimiento

La realización homogénea de auditorías, tanto ordinarias como extraordinarias, sigue siendo clave. Las auditorías regulares deben realizarse cada dos años para verificar el cumplimiento del ENS, mientras que auditorías extraordinarias son necesarias cuando hay cambios sustanciales en los sistemas de información. Este proceso, actualizado por el Real Decreto 311/2022, refuerza la necesidad de un enfoque basado en riesgos y la evolución continua del entorno de ciberseguridad.

Fase 2: Implantación de medidas

El Esquema Nacional de Seguridad (ENS) establece un conjunto mínimo de medidas de seguridad, que deben adaptarse a la categoría de cada sistema de información y a su nivel de madurez en cuanto a ciberseguridad. Este proceso de implantación se basa en la evaluación del nivel de madurez del sistema en tres dimensiones clave:

  • Marco organizativo: Incluye las políticas y normativas de seguridad específicas para cada organización, así como los procedimientos operativos que regulan la seguridad de la información y la autorización de los sistemas. Es importante identificar amenazas y vulnerabilidades en los procesos internos y en el cumplimiento de estas políticas, además de establecer claramente los roles de seguridad dentro de la organización.
  • Marco operacional: Implica una serie de controles técnicos y organizativos que aseguran la protección efectiva de los activos y los datos. Esto incluye:
    • Análisis de riesgos y arquitectura de seguridad: Identificar y evaluar los riesgos en el contexto específico de la organización, implementando arquitecturas de seguridad robustas para proteger los activos críticos.
    • Adquisición y evaluación de componentes: Integrar solo componentes evaluados y certificados para mitigar riesgos de vulnerabilidades en software y hardware.
    • Control de accesos: Asegurar que solo el personal autorizado acceda a los sistemas y datos, utilizando métodos de autenticación adecuados.
    • Inventario de activos y gestión de proveedores externos: Llevar un control actualizado de todos los activos digitales y coordinar con proveedores externos que cumplan también con los requisitos de seguridad.
  • Protección de infraestructuras e instalaciones: Considera la seguridad de las infraestructuras físicas y digitales, la gestión de accesos a los edificios, la protección del personal involucrado en procesos críticos, así como la gestión y monitoreo de equipos y comunicaciones para prevenir amenazas. Además, la protección de soportes de información y aplicaciones informáticas es fundamental para salvaguardar la integridad y confidencialidad de los datos en cualquier entorno.

Cada una de estas áreas debe ser evaluada periódicamente para identificar puntos de mejora y garantizar que las medidas de seguridad estén actualizadas y efectivas ante las amenazas actuales.

Fase 3: Apoyo en el proceso de certificación

El respaldo en el proceso de certificación y en la monitorización de las auditorías y la implantación del ENS gira en torno al Corporate Compliance, un conjunto de procedimientos y buenas prácticas que deben adoptar las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y, paralelamente, establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos. 

Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) y adecuar la organización a normas como la ISO 27001 o el Esquema Nacional de Seguridad redunda en proporcionar confianza y seguridad a quienes trabajan y colaboran con tu organización.

¿Qué empresas deben cumplir el Esquema Nacional de Seguridad ENS?

En un primer momento, a partir del 5 de noviembre de 2017, es obligatorio para las Administraciones Públicas acatar el Esquema Nacional de Seguridad. Según lo establecido en la normativa, el ENS será de cumplimiento obligatorio para la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que forman parte de la Administración Local. De igual manera, deben implementarlo, entre otras, las siguientes entidades del sector público:

  • Fundaciones del sector público.
  • Universidades públicas.
  • Hospitales públicos.
  • Grupos políticos de las Cortes Generales y de Corporaciones Locales.
  • Colegios profesionales en lo relativo a las tareas que realizan para la administración.
  • Cámaras de comercio.
  • Federaciones deportivas.
  • Empresas públicas como, por ejemplo, gestoras de los servicios de aguas, transporte, radio y televisión, autopistas y otras.

¿Existen empresas privadas que deben cumplir el ENS?

Algunas corporaciones privadas sí que deben cumplir el ENS. Se trata de las empresas que prestan servicios a entidades públicas, en función del tipo de servicio e información que manejan.Por lo general, se trata de empresas tecnológicas y de servicios, como aquellas dedicadas al desarrollo de software, servicios en la nube, mantenimiento de sistemas, gestión de nóminas o contabilidad, entre otros.En caso de incertidumbre, el Centro Criptológico Nacional aconseja llevar a cabo un análisis específico para cada clase de servicio e información.

Integración del ENS y los sistemas de protección de datos

Las organizaciones del sector público deben alinear su cumplimiento con el Esquema Nacional de Seguridad (ENS) y las normativas de protección de datos, como el RGPD y la LOPDGDD. Esta última establece medidas específicas para garantizar la seguridad de los datos personales en entornos públicos.

En particular, como hemos desarrollado cuando las administraciones públicas procesan datos personales, están obligadas a implementar un nivel de seguridad acorde al ENS, fundamentado en un análisis de riesgos. Este enfoque asegura la protección adecuada frente a amenazas digitales, fortaleciendo la confianza en los sistemas públicos.

¿Listo para cumplir con el Esquema Nacional de Seguridad y proteger tu organización? Contáctanos y te ayudamos a fortalecer tu ciberseguridad. ¡Empieza ahora!

¿Tu empresa está preparada si sufre un ciberataque?

Haz nuestro Test de Madurez y descubre los puntos de mejora de la seguridad de tu empresa

Hacer test