Ayuda Ley Protección Datos

Esquema Nacional de Seguridad (ENS) Definición y fases

En este artículo vamos a explicar en qué consiste el Esquema Nacional de Seguridad, una herramienta creada para garantizar la seguridad de la información en el sector público, peor que también puede afectar al privado cuando se trata de contrataciones o subcontrataciones con la Administración.

¿Qué es el esquema nacional de seguridad o ENS?

El Esquema Nacional de Seguridad o ENS es una normativa que tiene como objetivo establecer los principios que regulan y aseguran el acceso, integridad, disponibilidad y veracidad de la información empleada en medios electrónicos en o relacionados con las Administraciones Públicas (estatales, autonómicas y locales).

Recogido en el Real Decreto 3/2010, el ENS se crea con la necesidad de establecer aspectos y metodologías comunes relativas a la segurita en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, con el fin de crear las condiciones de confianza necesarias para que los ciudadanos usen estos medios en el cumplimiento y ejercicio de sus deberes y derechos.

El ENS surgió como el resultado del trabajo coordinado por Ministerio de la Presidencia y posteriormente por el Ministerio de Política Territorial y Administración Pública, contando con el apoyo del Centro Criptológico Nacional (CNN) y la participación de todas las Administraciones Públicas, incluidas universidades públicas y los órganos colegiados con competencias en materia de administración electrónica.

Objetivos del ENS

El Esquema Nacional de Seguridad de España tiene seis objetivos principales:

Principios del Esquema ENS

Para lograr los objetivos el Esquema ENS se basa en una serie de principios básicos que se deben de tener en cuenta a la hora de tomar decisiones relacionadas con la seguridad de la información. Estos principios básicos, que se recogen en el artículo 4 del RD 3/2010 y se desarrollan en los artículos del 5 al 10, son:

Real decreto 3/2010

Como decíamos, el Esquema Nacional de Seguridad está recogido en el Real Decreto 3/2010, que desarrolla lo previsto en el artículo 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos. El RD 3/2010 fue modificado a su vez por el Real Decreto 951/2015, hasta ofrecer el texto consolidado actual, que podemos leer en la publicación electrónica del BOE.

Requisitos del Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad establece unos requisitos mínimos que todo sistema de seguridad de la información debe cumplir y que el RD 3/2010 agrupa de la siguiente manera en su artículo 11 (para desarrollarlos posteriormente en los artículos 12 a 26):

El ENS y la protección de datos

Aunque el ENS y RGPD contemplan la misma denominación para los riesgos para los datos e información manejados, es decir, clasifican en bajo, medio o alto, no tienen el mismo significado para estas normativas.

Para el RGPD, los niveles de seguridad se determinan en función de a qué categoría concreta pertenezca un dato, mientras que para el ENS la clasificación se hace en base al impacto que un incidente de seguridad puede tener en relación con la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio y el respeto a la legalidad y a los derechos de los ciudadanos.

Así que, cumplir con la normativa recogida en el Esquema Nacional de Seguridad no exime de cumplir a la Administración Pública con la protección de datos, especialmente cuando trata datos personales de los ciudadanos.

¿Qué organizaciones, públicas o privadas, están obligadas a cumplir con este Esquema?

Están obligadas a cumplir con el Esquema Nacional de Seguridad la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y las entidades de derecho público vinculadas o dependientes de las mismas (universidades, hospitales, órganos colegiados…).

Así mismo, también deben contemplar el cumplimiento del ENS aquellas empresas que contraten o subcontraten con las AA.PP. para la prestación de servicios relacionados con el ámbito de aplicación de la normativa, es decir, todo lo relacionado con el ejercicio o cumplimiento de los derechos y deberes de los cuidadnos a través de medios electrónicos o el acceso a la información a través de ellos.

Fases para implantar un esquema nacional de seguridad

Implementar el ENS debe seguir una serie fases, que vemos a continuación:

Definir una política de seguridad

En una primera fase se debe definir la política de seguridad de la administración pública o empresa que con la que haya contratado o subcontratado un servicio. Esta política debe ser aprobada por el órgano superior correspondiente (los responsables directos de la ejecución de la acción del gobierno central, autonómico o local).

La política de seguridad debe cubrir los requisitos que vimos más arriba.

Definir el conjunto de recursos técnicos, organizativos, humanos y procedimentales sujetos al ENS

La política de seguridad también debe definir cuáles de sus recursos técnicos, organizativos, humanos y procedimentales estarán sujetos al ENS. Para ello se recogerá información sobre los recursos técnicos, la infraestructura y controles de seguridad existentes, las normas de seguridad ya implementadas, las responsabilidades asignadas, etc.

Catalogación de los tipos de información según tipos y niveles

La siguiente fase se dedicará a hacer una catalogación de información según tipos y niveles. Esta catalogación se debe basar en la valoración del impacto que tendría sobre la entidad un incidente sobre la seguridad de la información o de los sistemas, atendiendo a:

Además, para determinar el impacto en la seguridad de la información, los parámetros empleados deben tener en cuenta cada una de las dimensiones en la seguridad de la información:

Finalmente, el ENS establece tres niveles de impacto:

Definir y asignar responsables de velar por el cumplimiento de la política de seguridad de la organización

También contemplado en la política de seguridad, se asignarán a los responsables de seguridad que se encargarán de asegurar el cumplimiento de las medidas de seguridad que se implanten en la entidad.

Estos responsables, como el resto del personal relacionado con la información y los sistemas deben estar formados e informados de sus deberes y obligaciones en materia de seguridad.

Evaluar la eficacia de las medidas adoptadas

La siguiente fase se dedicará a realizar un análisis de riesgos, incluida una evaluación de las medidas de seguridad ya implementadas, teniendo en cuenta los niveles de impacto que vimos más arriba. Las medidas de seguridad afectarán a:

Mantener el sistema actualizado

Se debe elaborar una plan de adecuación para mejorar la seguridad, de manera que se realicen actualizaciones periódicas del sistema, que aseguren la minimización de riesgos y la respuesta ante amenazas y ataques.

Realización de una Auditoría bienal de Seguridad que revise la política de seguridad y el sistema de seguridad establecidos

El ENS establece que para los sistemas de información categorizados como medios o altos, será obligatorio realizar una auditoría cada dos años o cuando se produzcan modificaciones importantes en el sistema de información que puedan afectar a la seguridad, de manera similar a que exigía la auditoría LOPD en materia de protección de datos.

La auditoría puede llevarse a cabo tanto por personal interno como por un servicio externo. Aunque en el caso del personal interno, este debe ser independiente, es decir, no ser uno de los encargados o responsables del sistema de información.

El informe de la auditoria deberá contemplar estos elementos:

El informe de auditoría será revisado por el responsable de seguridad del sistema, que deberá:

Resumen

En resumen, el Esquema Nacional de Seguridad establece los principios básicos y los requisitos mínimos para que las Administraciones Públicas protejan de manera adecuada la información, las comunicaciones y los servicios electrónicos que emplean los ciudadanos para ejercer o cumplir con sus derechos y deberes. Además, el ENS también debe contemplarse por aquellas empresas privadas que contraten o subcontraten con las AA.PP. la prestación de sus servicios, cuando estos están relacionados con los sistemas de información.

Además, el ENS, que cumple 10 años en 2020, se ha convertido en una de las principales herramientas con las que mejorar la ciberseguridad de las AA.PP., gracias a la cual se han podido homogeneizar metodologías y medidas de seguridad en ellas.