[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/19\/esquema-nacional-de-seguridad-ens\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/19\/esquema-nacional-de-seguridad-ens\/","headline":"Esquema Nacional de Seguridad (ENS) Definici\u00f3n y fases","name":"Esquema Nacional de Seguridad (ENS) Definici\u00f3n y fases","description":"Descubre qu\u00e9 es el Esquema Nacional de Seguridad, su \u00e1mbito de aplicaci\u00f3n, objetivos, requisitos y fases para implementarlo en este art\u00edculo \u2705","datePublished":"2020-11-19","dateModified":"2020-11-19","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/#Person","name":"Helena","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/11\/esquema-nacional-de-seguridad-00.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/11\/esquema-nacional-de-seguridad-00.jpg","height":843,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/19\/esquema-nacional-de-seguridad-ens\/","about":["ADMINISTRACI\u00d3N P\u00daBLICA","CIBERSEGURIDAD","LOPDGDD & RGPD"],"wordCount":2676,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } En este art\u00edculo vamos a explicar en qu\u00e9 consiste el Esquema Nacional de Seguridad, una herramienta creada para garantizar la seguridad de la informaci\u00f3n en el sector p\u00fablico, peor que tambi\u00e9n puede afectar al privado cuando se trata de contrataciones o subcontrataciones con la Administraci\u00f3n.\u00bfQu\u00e9 es el esquema nacional de seguridad o ENS?Objetivos del ENSPrincipios del Esquema ENSReal decreto 3\/2010Requisitos del Esquema Nacional de SeguridadEl ENS y la protecci\u00f3n de datos\u00bfQu\u00e9 organizaciones, p\u00fablicas o privadas, est\u00e1n obligadas a cumplir con este Esquema?Fases para implantar un esquema nacional de seguridadDefinir una pol\u00edtica de seguridadDefinir el conjunto de recursos t\u00e9cnicos, organizativos, humanos y procedimentales sujetos al ENSCatalogaci\u00f3n de los tipos de informaci\u00f3n seg\u00fan tipos y nivelesDefinir y asignar responsables de velar por el cumplimiento de la pol\u00edtica de seguridad de la organizaci\u00f3nEvaluar la eficacia de las medidas adoptadasMantener el sistema actualizadoRealizaci\u00f3n de una Auditor\u00eda bienal de Seguridad que revise la pol\u00edtica de seguridad y el sistema de seguridad establecidosResumen\u00bfQu\u00e9 es el esquema nacional de seguridad o ENS?El Esquema Nacional de Seguridad o ENS es una normativa que tiene como objetivo establecer los principios que regulan y aseguran el acceso, integridad, disponibilidad y veracidad de la informaci\u00f3n empleada en medios electr\u00f3nicos en o relacionados con las Administraciones P\u00fablicas (estatales, auton\u00f3micas y locales).Recogido en el Real Decreto 3\/2010, el ENS se crea con la necesidad de establecer aspectos y metodolog\u00edas comunes relativas a la segurita en la implantaci\u00f3n y utilizaci\u00f3n de los medios electr\u00f3nicos por las Administraciones P\u00fablicas, con el fin de crear las condiciones de confianza necesarias para que los ciudadanos usen estos medios en el cumplimiento y ejercicio de sus deberes y derechos.El ENS surgi\u00f3 como el resultado del trabajo coordinado por Ministerio de la Presidencia y posteriormente por el Ministerio de Pol\u00edtica Territorial y Administraci\u00f3n P\u00fablica, contando con el apoyo del Centro Criptol\u00f3gico Nacional (CNN) y la participaci\u00f3n de todas las Administraciones P\u00fablicas, incluidas universidades p\u00fablicas y los \u00f3rganos colegiados con competencias en materia de administraci\u00f3n electr\u00f3nica.Objetivos del ENSEl Esquema Nacional de Seguridad de Espa\u00f1a tiene seis objetivos principales:Crear las condiciones necesarias de confianza para el uso de los medios electr\u00f3nicos por parte de los ciudadanos en su relaci\u00f3n con las Administraciones P\u00fablicas.Introducir elementos y metodolog\u00edas comunes en materia de seguridad de las tecnolog\u00edas de la informaci\u00f3n para las Administraciones P\u00fablicas.Aportar un lenguaje com\u00fan para facilitar la interacci\u00f3n entre las diferentes Administraciones, as\u00ed como la comunicaci\u00f3n de los requisitos de seguridad de la informaci\u00f3n a la Industria.Promover la gesti\u00f3n continua de la seguridad.Promover la prevenci\u00f3n, detecci\u00f3n y correcci\u00f3n para mejorar la resiliencia ante ciberamenazas y ciberataques.Servir como modelo de buenas pr\u00e1cticas.Principios del Esquema ENSPara lograr los objetivos el Esquema ENS se basa en una serie de principios b\u00e1sicos que se deben de tener en cuenta a la hora de tomar decisiones relacionadas con la seguridad de la informaci\u00f3n. Estos principios b\u00e1sicos, que se recogen en el art\u00edculo 4 del RD 3\/2010 y se desarrollan en los art\u00edculos del 5 al 10, son:Seguridad integral: La seguridad debe entenderse como un proceso integral constituido por todos los elementos t\u00e9cnicos, humanos, materiales y organizativos, relacionados con el sistema. Adem\u00e1s, se debe poner especial inter\u00e9s a la concienciaci\u00f3n de las personas que intervienen en el proceso y a sus responsables jer\u00e1rquicos, para que no se conviertan ellos en un riesgo para la seguridad.Gesti\u00f3n de riesgos: Se debe llevar a cabo un an\u00e1lisis y gesti\u00f3n de riesgos como parte del proceso de seguridad y mantenerlo permanentemente actualizado. Esta gesti\u00f3n de los riesgos debe permitir una reducci\u00f3n de los mismos hasta un nivel aceptable.Prevenci\u00f3n, reacci\u00f3n y recuperaci\u00f3n: La seguridad del sistema debe tener como objetivo que las amenazas no se materialicen, no afecten a la informaci\u00f3n que manejan o los servicios que prestan. Adem\u00e1s, el sistema debe garantizar la conservaci\u00f3n de los datos e informaci\u00f3n en soporte electr\u00f3nico y el mantenimiento de los servicios durante todo el ciclo vital de la informaci\u00f3n digital.Las medidas de prevenci\u00f3n deben eliminar o reducir la posibilidad de recibir un ataque. Deben contemplar la disuasi\u00f3n y la reducci\u00f3n de la exposici\u00f3n.Las medidas de detecci\u00f3n deben permitir detectar los ataques a tiempo.Las medidas de recuperaci\u00f3n deben permitir la restauraci\u00f3n de la informaci\u00f3n y los servicios.L\u00edneas de defensa: El sistema debe contar con varias capas de seguridad que garanticen la protecci\u00f3n del mismo y permitan:Ganar tiempo para reaccionar ante un ataque que no se ha evitado.Reducir la posibilidad de que se comprometa el sistema en su conjunto.Minimizar el impacto final.Revaluaci\u00f3n peri\u00f3dica: Se debe llevar a cabo una evaluaci\u00f3n y actualizaci\u00f3n peri\u00f3dica de las medidas de seguridad para comprobar su eficacia y adecuarlas a la evoluci\u00f3n o aparici\u00f3n de nuevos riesgos. Para ello se puede recurrir a la auditor\u00eda de seguridad.Funci\u00f3n diferenciada: Se debe diferenciar entre el responsables de la informaci\u00f3n, el responsable del servicio y el responsable de la seguridad.Real decreto 3\/2010Como dec\u00edamos, el Esquema Nacional de Seguridad est\u00e1 recogido en el Real Decreto 3\/2010, que desarrolla lo previsto en el art\u00edculo 42 de la Ley 11\/2007, de acceso electr\u00f3nico de los ciudadanos a los Servicios P\u00fablicos. El RD 3\/2010 fue modificado a su vez por el Real Decreto 951\/2015, hasta ofrecer el texto consolidado actual, que podemos leer en la publicaci\u00f3n electr\u00f3nica del BOE.Requisitos del Esquema Nacional de SeguridadEl Esquema Nacional de Seguridad establece unos requisitos m\u00ednimos que todo sistema de seguridad de la informaci\u00f3n debe cumplir y que el RD 3\/2010 agrupa de la siguiente manera en su art\u00edculo 11 (para desarrollarlos posteriormente en los art\u00edculos 12 a 26):Organizaci\u00f3n en implantaci\u00f3n del proceso de seguridad.An\u00e1lisis y gesti\u00f3n de los riesgos.Gesti\u00f3n de personal.Profesionalidad.Autorizaci\u00f3n y control de accesos.Protecci\u00f3n de las instalaciones.Adquisici\u00f3n de productos.Seguridad por defecto.Integridad y actualizaci\u00f3n del sistema.Protecci\u00f3n de la informaci\u00f3n almacenada y en tr\u00e1nsito.Prevenci\u00f3n ante otros sistemas de informaci\u00f3n interconectados.Registro de actividad.Incidentes de seguridad.Continuidad de la actividad.Mejora continua del proceso de seguridad.El ENS y la protecci\u00f3n de datosAunque el ENS y RGPD contemplan la misma denominaci\u00f3n para los riesgos para los datos e informaci\u00f3n manejados, es decir, clasifican en bajo, medio o alto, no tienen el mismo significado para estas normativas.Para el RGPD, los niveles de seguridad se determinan en funci\u00f3n de a qu\u00e9 categor\u00eda concreta pertenezca un dato, mientras que para el ENS la clasificaci\u00f3n se hace en base al impacto que un incidente de seguridad puede tener en relaci\u00f3n con la capacidad de la organizaci\u00f3n para el logro de sus objetivos, la protecci\u00f3n de sus activos, el cumplimiento de sus obligaciones de servicio y el respeto a la legalidad y a los derechos de los ciudadanos.As\u00ed que, cumplir con la normativa recogida en el Esquema Nacional de Seguridad no exime de cumplir a la Administraci\u00f3n P\u00fablica con la protecci\u00f3n de datos, especialmente cuando trata datos personales de los ciudadanos.\u00bfQu\u00e9 organizaciones, p\u00fablicas o privadas, est\u00e1n obligadas a cumplir con este Esquema?Est\u00e1n obligadas a cumplir con el Esquema Nacional de Seguridad la Administraci\u00f3n General del Estado, las Administraciones de las Comunidades Aut\u00f3nomas, las Entidades que integran la Administraci\u00f3n Local y las entidades de derecho p\u00fablico vinculadas o dependientes de las mismas (universidades, hospitales, \u00f3rganos colegiados\u2026).As\u00ed mismo, tambi\u00e9n deben contemplar el cumplimiento del ENS aquellas empresas que contraten o subcontraten con las AA.PP. para la prestaci\u00f3n de servicios relacionados con el \u00e1mbito de aplicaci\u00f3n de la normativa, es decir, todo lo relacionado con el ejercicio o cumplimiento de los derechos y deberes de los cuidadnos a trav\u00e9s de medios electr\u00f3nicos o el acceso a la informaci\u00f3n a trav\u00e9s de ellos.Fases para implantar un esquema nacional de seguridadImplementar el ENS debe seguir una serie fases, que vemos a continuaci\u00f3n:Definir una pol\u00edtica de seguridadEn una primera fase se debe definir la pol\u00edtica de seguridad de la administraci\u00f3n p\u00fablica o empresa que con la que haya contratado o subcontratado un servicio. Esta pol\u00edtica debe ser aprobada por el \u00f3rgano superior correspondiente (los responsables directos de la ejecuci\u00f3n de la acci\u00f3n del gobierno central, auton\u00f3mico o local).La pol\u00edtica de seguridad debe cubrir los requisitos que vimos m\u00e1s arriba.Definir el conjunto de recursos t\u00e9cnicos, organizativos, humanos y procedimentales sujetos al ENSLa pol\u00edtica de seguridad tambi\u00e9n debe definir cu\u00e1les de sus recursos t\u00e9cnicos, organizativos, humanos y procedimentales estar\u00e1n sujetos al ENS. Para ello se recoger\u00e1 informaci\u00f3n sobre los recursos t\u00e9cnicos, la infraestructura y controles de seguridad existentes, las normas de seguridad ya implementadas, las responsabilidades asignadas, etc.Catalogaci\u00f3n de los tipos de informaci\u00f3n seg\u00fan tipos y nivelesLa siguiente fase se dedicar\u00e1 a hacer una catalogaci\u00f3n de informaci\u00f3n seg\u00fan tipos y niveles. Esta catalogaci\u00f3n se debe basar en la valoraci\u00f3n del impacto que tendr\u00eda sobre la entidad un incidente sobre la seguridad de la informaci\u00f3n o de los sistemas, atendiendo a:Los objetivos del servicio o sistema de informaci\u00f3n.La protecci\u00f3n de los activos implicados.El cumplimiento de las obligaciones del servicio.El cumplimiento de la legalidad vigente.El respeto a los derechos de las personas implicadas.Adem\u00e1s, para determinar el impacto en la seguridad de la informaci\u00f3n, los par\u00e1metros empleados deben tener en cuenta cada una de las dimensiones en la seguridad de la informaci\u00f3n:Disponibilidad.Integridad.Confidencialidad.Autenticidad.Trazabilidad.Finalmente, el ENS establece tres niveles de impacto:Nivel Bajo: Los da\u00f1os y perjuicios sobre las funciones de la entidad, sus activos o las personas afectadas son limitados.Nivel Medio: Los da\u00f1os y perjuicios son graves para las funciones de la entidad, sus activos o las personas afectadas.Nivel Alto: Los da\u00f1os o perjuicios que sufrir\u00e1n las funciones, activos de la entidad o personas afectadas son muy graves. Hablamos aqu\u00ed de un da\u00f1o catastr\u00f3fico.Definir y asignar responsables de velar por el cumplimiento de la pol\u00edtica de seguridad de la organizaci\u00f3nTambi\u00e9n contemplado en la pol\u00edtica de seguridad, se asignar\u00e1n a los responsables de seguridad que se encargar\u00e1n de asegurar el cumplimiento de las medidas de seguridad que se implanten en la entidad.Estos responsables, como el resto del personal relacionado con la informaci\u00f3n y los sistemas deben estar formados e informados de sus deberes y obligaciones en materia de seguridad.Evaluar la eficacia de las medidas adoptadasLa siguiente fase se dedicar\u00e1 a realizar un an\u00e1lisis de riesgos, incluida una evaluaci\u00f3n de las medidas de seguridad ya implementadas, teniendo en cuenta los niveles de impacto que vimos m\u00e1s arriba. Las medidas de seguridad afectar\u00e1n a:Medidas en el nivel de la organizaci\u00f3n del sistema de seguridad:Pol\u00edtica de seguridadNormativa de seguridadProcedimientos de seguridadProcesos de autorizaci\u00f3nMedidas de protecci\u00f3n a nivel operacional del sistema de informaci\u00f3n:Planificaci\u00f3nControl de accesoServicios externosContinuidad del servicioMonitorizaci\u00f3n del sistemaMedidas para proteger activos concretos de informaci\u00f3n:Protecci\u00f3n de las instalaciones e infraestructurasGesti\u00f3n del personalProtecci\u00f3n de los equiposProtecci\u00f3n de las comunicacionesProtecci\u00f3n de los soportes de la informaci\u00f3nProtecci\u00f3n de las aplicaciones inform\u00e1ticasProtecci\u00f3n de la informaci\u00f3nProtecci\u00f3n de los serviciosMantener el sistema actualizadoSe debe elaborar una plan de adecuaci\u00f3n para mejorar la seguridad, de manera que se realicen actualizaciones peri\u00f3dicas del sistema, que aseguren la minimizaci\u00f3n de riesgos y la respuesta ante amenazas y ataques.Realizaci\u00f3n de una Auditor\u00eda bienal de Seguridad que revise la pol\u00edtica de seguridad y el sistema de seguridad establecidosEl ENS establece que para los sistemas de informaci\u00f3n categorizados como medios o altos, ser\u00e1 obligatorio realizar una auditor\u00eda cada dos a\u00f1os o cuando se produzcan modificaciones importantes en el sistema de informaci\u00f3n que puedan afectar a la seguridad, de manera similar a que exig\u00eda la auditor\u00eda LOPD en materia de protecci\u00f3n de datos.La auditor\u00eda puede llevarse a cabo tanto por personal interno como por un servicio externo. Aunque en el caso del personal interno, este debe ser independiente, es decir, no ser uno de los encargados o responsables del sistema de informaci\u00f3n.El informe de la auditoria deber\u00e1 contemplar estos elementos:Alcance y objetivo de la auditor\u00eda.Criterios metodol\u00f3gicos empleados.Datos, hechos y observaciones en los que se basen las conclusiones del informe.Identificar las deficiencias del sistema.Grado de cumplimiento del ENS.Sugerir medidas correctoras o complementarias para subsanar las deficiencias.Recomendaciones.El informe de auditor\u00eda ser\u00e1 revisado por el responsable de seguridad del sistema, que deber\u00e1:Adoptar las medidas de seguridad necesarias.Comunicarlo al responsable de la entidad.Facilit\u00e1rselo al Centro Criptol\u00f3gico Nacional.Determinar si es necesario adoptar medidas de seguridad extraordinarias.ResumenEn resumen, el Esquema Nacional de Seguridad establece los principios b\u00e1sicos y los requisitos m\u00ednimos para que las Administraciones P\u00fablicas protejan de manera adecuada la informaci\u00f3n, las comunicaciones y los servicios electr\u00f3nicos que emplean los ciudadanos para ejercer o cumplir con sus derechos y deberes. Adem\u00e1s, el ENS tambi\u00e9n debe contemplarse por aquellas empresas privadas que contraten o subcontraten con las AA.PP. la prestaci\u00f3n de sus servicios, cuando estos est\u00e1n relacionados con los sistemas de informaci\u00f3n.Adem\u00e1s, el ENS, que cumple 10 a\u00f1os en 2020, se ha convertido en una de las principales herramientas con las que mejorar la ciberseguridad de las AA.PP., gracias a la cual se han podido homogeneizar metodolog\u00edas y medidas de seguridad en ellas."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/11\/19\/esquema-nacional-de-seguridad-ens\/#breadcrumbitem","name":"Esquema Nacional de Seguridad (ENS) Definici\u00f3n y fases"}}]}]