Esquema Nacional de Seguridad - ENS
En el año 2007, se aprobó la Ley 11/2007 por el Gobierno español, la cual estableció un marco legal para garantizar a los ciudadanos el acceso electrónico a los servicios de la administración pública. Esta ley es la base del Esquema Nacional de Seguridad, el cual se rige por el Real Decreto (RD) 3/2010. El objetivo principal del esquema es fomentar la confianza en la prestación de servicios electrónicos y asegurar la disponibilidad, integridad, autenticidad, confidencialidad, trazabilidad y preservación de datos, información y servicios.
El Esquema Nacional de Seguridad (ENS) tiene como propósito brindar al Sector Público en España un enfoque común de seguridad para proteger la información y los servicios que maneja y ofrece. Además, promueve la gestión continua de la seguridad, la cual es esencial en la era digital donde las ciberamenazas son cada vez más frecuentes. Al mismo tiempo, fomenta la cooperación y establece un conjunto uniforme de requisitos para la Industria, que sirve como modelo de buenas prácticas.
El objetivo principal del ENS es crear un entorno seguro en el uso de medios electrónicos, mediante la implementación de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, lo que permitirá a los usuarios ejercer sus derechos y cumplir con sus obligaciones a través de estos medios.
El Esquema Nacional de Seguridad se aplica a todas las organizaciones y organismos gubernamentales de España que adquieren servicios en la nube, así como a proveedores de tecnologías de la información y comunicaciones (TIC). Este esquema guía a estas agencias y empresas en la implementación de controles eficaces de seguridad tanto en la nube como local, asegurándose de cumplir con los estándares de seguridad y privacidad establecidos por la Unión Europea y España.
El esquema establece directrices fundamentales y requisitos obligatorios que deben cumplir tanto los organismos gubernamentales como sus proveedores de servicios. También define un conjunto específico de controles de seguridad (muchos de los cuales se alinean directamente con ISO/IEC 27001) en relación con la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. La confidencialidad de la información, clasificada en baja, intermedia o alta, determina las medidas de seguridad necesarias para protegerla.
Para garantizar la seguridad de los datos, cada agencia gubernamental debe adoptar un enfoque de gestión de riesgos en el que se identifiquen y evalúen los riesgos, y se apliquen los controles de seguridad adecuados a los mismos. Los proveedores de servicios también deben cumplir con los estrictos requisitos del Esquema Nacional de Seguridad para garantizar que los procedimientos, capacidades técnicas y operaciones sean seguros y permitan a las agencias cumplir con las disposiciones requeridas.
El Esquema Nacional de Seguridad prescribe un proceso de acreditación voluntario para los sistemas que manejan información de baja confidencialidad, pero obligatorio para los sistemas que manejan información de nivel intermedio o alto de confidencialidad. La auditoría la lleva a cabo un auditor independiente y el informe se revisa en un proceso de certificación antes de aceptar los controles de gestión de riesgos en el último paso de la acreditación.
75 Medidas de Seguridad recogidas en el ENS
Marco Organizativo
El marco organizativo está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad.
Marco Operacional
El marco operacional está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
Medidas de Protección
Las medidas de protección se centrarán en activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.
