En este post vamos a hablar en profundidad de todo lo que debes saber en relación con el Esquema Nacional de Seguridad (ENS), un marco normativo que establece una serie de medidas que tienen que ver con la seguridad de la información. Este esquema es de obligado cumplimiento para las administraciones públicas y para las entidades que presten servicios para dichas administraciones.
Si trabajas en una entidad pública o tu trabajo está relacionado con un organismo oficial, esto te interesa. ¿ENS, qué hay que saber? ¡Te lo contamos!
¿Qué es el Esquema Nacional de Seguridad?
El Esquema Nacional de Seguridad, también conocido como ENS, es un esquema establecido por el Centro Criptológico Nacional (CCN) para la protección adecuada de la información en el uso de medios electrónicos a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos de las administraciones públicas.
La nueva versión del ENS está regulada por el Real Decreto 311/2022, de 3 de mayo, donde incorpora una serie de actualizaciones en base a la evolución tecnológica.
Novedades implantación del ENS
Una de las novedades importantes del ENS es el ámbito de aplicación. Se detalla que el ámbito de aplicación del ENS es de todo sector público, independientemente de su tamaño, es decir, todas las administraciones y organismos públicos tienen que cumplir con el Esquema Nacional de Seguridad.
También es aplicable a todas las empresas que presten servicios relacionados con las Tecnologías de la Información y la Comunicación (TIC) a las administraciones públicas.
Como novedad destaca el nuevo sistema de codificación de medidas, es decir, ahora se establecen unos requisitos base para las medidas y luego a esos requisitos, se suman una serie de refuerzos incrementándose entre sí, pudiéndose, a veces, elegir entre qué refuerzos a aplicar.
¿Qué especificaciones establece el Esquema Nacional de Seguridad?
En cuanto a las dimensiones de la seguridad de la información las más comunes son:
- Confidencialidad: es la característica de la información en la que no se pone a disposición ni se revela a individuos o a personas no autorizadas.
- Integridad: propiedad que consiste en que la información no ha sido alterada de forma no autorizada.
- Disponibilidad: la información está cuando se necesita
Pero, además, el Esquema Nacional de Seguridad incorpora otras dos categorías:
- Autenticidad: propiedad que consiste en que la entidad es quien dice ser o bien se garantiza la fuente de la que proceden los datos.
- Trazabilidad: las actuaciones de una entidad pueden ser imputadas exclusivamente a esa entidad.
Conoce nuestra formación del ENS
¿Qué medidas de seguridad establece el ENS?
El Esquema Nacional de Seguridad fija las siguientes medidas de seguridad:
- En el Marco Organizativo existen 4 Este está constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. Aquí puedes encontrarte:
- Política de seguridad
- Normativa de seguridad
- Procedimiento de seguridad
- Proceso de autorización
- En el Marco Operacional hay 33 Está formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. En esta sección, conocerás:
- Planificación
- Control de acceso
- Explotación
- Recursos externos
- Servicios en la nube
- Continuidad del servicio
- Monitorización del sistema
- Se contabilizan 36 medidas de Protección. Estas se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
- Protección de las instalaciones e infraestructuras
- Gestión del personal
- Protección de los equipos
- Protección de las comunicaciones
- Protección de los soportes de información
- Protección de las aplicaciones informáticas
- Protección de la información
- Protección de los servicios
En conjunto, en este nuevo Esquema Nacional de Seguridad tenemos tres medidas: la básica con 52 medidas, la media con 68 medidas y la alta con 73 medidas.
¿Cómo se realiza la implantación del Esquema Nacional de Seguridad?
De seguido, te detallamos de manera minuciosa y precisa todos los pasos que tienes que conocer para implantar el ENS.
Determinar el alcance del ENS
Es decir, qué sistemas van a estar incluidos dentro del Esquema Nacional de Seguridad. Primero se identifican qué servicios se prestan, y luego todos los sistemas que hay vinculados a la estación de servicios; en este caso hablamos de servidores, aplicaciones, servicios en la nube, equipos de usuario final que se conectan al sistema, es decir, todos los que están dentro involucrados en el alcance del servicio que se está prestando.
Categorizar el sistema
Valorar las necesidades de seguridad de los servicios que se prestan y la información que se manejan. Aquí encontramos tres categorías en función de la sensibilidad de esa información:
- Categoría básica
- Categoría media
- Categoría alta
Declaración de Aplicabilidad
Identificar qué medidas de seguridad hay que aplicar e identificar los documentos necesarios en cada medida.
Evaluación de riesgos
Este paso consiste en realizar una serie de pasos:
- Identificar los activos esenciales
- Identificar los activos de soporte: hardware, software y otros
- Establecer medidas según la Declaración de Aplicabilidad
- Realizar la Evaluación de riesgos
Validar la Declaración de Aplicabilidad
Mediante la aceptación del Riesgo Residual, es decir, una vez que he implantado medidas de seguridad, el riesgo baja y al final puedes tener un riesgo residual que no vas a poder eliminar.
Política de Seguridad de la Información
Incluyendo la definición de roles, asignación de responsabilidades y los que van a formar el Comité de Seguridad de la Información.
Definir la Hoja de Ruta
En este caso, es importante realizar los siguientes puntos:
- Identificar los documentos a elaborar
- Identificar las medidas técnicas a implementar
- Establecer prioridades y orden de elaboración de documentos
- Elaborar la Hoja de Ruta para tener el plan de Adecuación
Elaborar Marco Normativo y las medidas
- Normas de uso de los sistemas
- Procedimiento de formación
- Control de acceso lógico
Implantación de Medidas Técnicas
- Bastionado de servidores
- Seguridad de los Endpoints
- Implantar la vigilancia de la red
Aprobación del SGSI
- Revisión del Marco Normativo y las medidas técnicas de seguridad implantadas.
- Reunión del Comité de Seguridad de la Información para la aprobación de las Normativas y procedimientos de seguridad
- Acta del Comité de Seguridad y Marco Normativo Firmado
- Publicación del Marco Normativo
Plazos de tiempo
Entre 3 y 6 meses, dependiendo del tamaño de la organización, situación de partida, agilidad para implantar las medidas de seguridad y la implicación.
Conoce nuestra formación del ENS
¿Qué hay que hacer para certificarse?
A continuación, te vamos a mencionar cuáles son los pasos para certificarse:
- Implantar el ENS
- Operarlo y recoger registros
- Realizar la auditoría interna
- Auditoría de certificación
- Elaborar el Paquete de Acciones Correctivas (PAC) y enviarlo al auditor
- Obtención del certificado
¿Qué implicaciones tiene el Esquema Nacional de Seguridad?
En las próximas líneas sabrás las implicaciones que tiene el ENS. ¡Sigue leyendo!
Entidades que deben implantar el ENS
Todas las empresas que prestan servicios TIC a las administraciones y organismos públicos deben tener el ENS implantado en la misma categoría superior a la AAPP a que prestan servicios.
Entidades que tienen implantado el ENS
Las entidades que tengan implantado y certificado el ENS deberán actualizar el mismo con los nuevos requisitos y en la posterior renovación. Certificarse contra el RD 311/2022.
Programa de formación de ENS
Desde el Instituto Superior de Ciberseguridad impartimos el curso Experto Implantador del ENS, actualizado al ENS de 2022, con el objetivo de enseñarte de forma práctica, y paso a paso, cómo se implanta el Esquema Nacional de Seguridad en una organización.
Conclusión
En la actualidad, la implantación del ENS es uno de los servicios que más nos demandan, entre todo el amplio abanico de prestaciones que ofrecemos.
Es conveniente recordar que el Esquema Nacional de Seguridad tiene por objetivo establecer y afianzar la confianza en los sistemas de información de los organismos públicos, con el fin de que esta información importante y valiosa esté custodiada y no pueda llegar a manos de cualquiera.
Llevar a cabo el ENS es una tarea ardua que requiere de personal experto y con una dilatada experiencia en el campo de la Ciberseguridad.
Desde Grupo CFI podemos ayudarte a en todo momento a implantar el Esquema Nacional de Seguridad, además, nuestro equipo de profesionales llevará a cabo un diagnóstico completo de cumplimiento de tu entidad.
Y eso no es todo, porque desde el Instituto Superior de Ciberseguridad, impartimos un curso de Experto Implantador del Esquema Nacional de Seguridad para que aprendas todo lo que debes saber para adecuar cualquier organización a los requisitos del ENS.
Si todavía tienes algún tipo de duda en relación con el Esquema Nacional de Seguridad, en Grupo CFI estamos encantados de resolver tus inquietudes y de apoyarte y asesorarte en todo momento. ¡Contáctanos! Es el momento de actuar.