El Esquema Nacional de Seguridad (ENS) establece una política de seguridad en el uso de medios electrónicos en las Administraciones públicas y se constituye mediante unos requisitos que permiten la protección de la información.
El marco normativo por el que se rige el ENS aparece comprendido en el Real Decreto 3/2010 de 8 de abril, por el que se regula el ENS en el ámbito de la administración electrónica.
Tiene por finalidad el asegurar la confianza en el uso de medios electrónicos, mediante una serie de garantías en la seguridad de los datos, las comunicaciones y los servicios electrónicos.
Las Administraciones públicas, para garantizar los principios básicos de acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, servicios e información en los medios electrónicos, aplican el ENS.
Por tanto, el ENS también será de aplicación a los ciudadanos en sus relaciones con las Administraciones públicas, se aplicarán también a las propias Administraciones públicas, y a las relaciones entre distintas Administraciones públicas.
Las decisiones de seguridad, en el ENS, tiene como principios básicos:
- La seguridad integral que consiste en un proceso constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema, dando la máxima atención a la concienciación de las personas intervinientes en el proceso.
- El análisis y gestión de los riesgos es la parte esencial del proceso de seguridad y deberá estar permanentemente actualizado, lo cual permitirá un mantenimiento del entorno, minimizando los riesgos hasta unos niveles aceptables mediante medidas de seguridad.
- La prevención reacción y recuperación son parte esencial ya que nos permiten impedir que la amenaza se materialice y no afecte gravemente a la información.
- Las medidas de defensa del ENS, sirven para establecer una estrategia de protección mediante capas, de manera que, en caso de fallo de una capa, esto nos permita ya sea ganar tiempo de reacción ante el incidente, reducir la posibilidad de comprometer el sistema en su conjunto y minimizar el impacto final, siendo estas medidas de defensa de naturaleza tanto física, organizativa como lógica.
- Estas medidas de seguridad han de reevaluarse periódicamente para adaptarlas a la evolución de los riesgos y sistemas de protección.
- En los sistemas de información, hemos de diferenciar al responsable de la información, del responsable del servicio, del responsable de seguridad.
En las políticas de seguridad se detallarán las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
Dentro del ENS, hemos de establecer ciertas dimensiones de seguridad (disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad), las cuales sirven para determinar el impacto que tendría un incidente y así poder establecer los niveles de seguridad, ya sea bajo, medio o alto.
Tanto las dimensiones de seguridad como los niveles de seguridad, nos sirven para establecer una categorización de los sistemas de información en tres categorías: Básica, Media o Alta.
Por otra parte, para dar cumplimiento a los principios y requisitos mínimos del ENS se deben aplicar las medidas de seguridad comprendidas en su Anexo II, teniendo en consideración: los activos, la categoría del sistema y las decisiones para gestionar los riesgos.
Es conveniente efectuar auditorías cada dos años para comprobar el cumplimiento de los requisitos del ENS.
