ENS Esquema Nacional de Seguridad

Seguridad en medios electrónicos de la Administración Pública

AUTOPRESUPUESTO ONLINE
NOSOTROS TE LLAMAMOS
CONTÁCTANOS
REFERENCIAS INGERTEC
DÓNDE ESTAMOS

¿Qué es ENS?

El Esquema Nacional de Seguridad (ENS) fue creado para definir los requisitos de seguridad de la información en el contexto de la Administración electrónica.

ENS define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de la información.

El objetivo del ENS no es otro que conseguir la confianza de los usuarios y de las organizaciones ante el uso de medios electrónicos. Para ello se establecen medidas específicas para la seguridad de:

  • Sistemas (Medios electrónicos)
  • Datos
  • Comunicaciones
  • Servicios Electrónicos

¿Quién debe cumplir con los requisitos del ENS?

  • La Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
  • Los ciudadanos en sus relaciones con las Administraciones Públicas.
  • Las relaciones entre las distintas Administraciones Públicas.
  • Sedes electrónicas.
  • Registros electrónicos.
  • Sistemas de Información accesibles electrónicamente por los ciudadanos.
  • Sistemas de Información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo.

El ENS es una norma de obligado cumplimiento para todos los Sistemas de Información de las Administraciones Públicas, independientemente de su ubicación.

Siguiendo este concepto, las actividades de los Sistemas de Información que tienen lugar fuera de las dependencias de la administración pública o están subcontratadas con empresas externas se debe tener en cuenta que se les exige el cumplimiento del ENS.

Lo anterior, es válido no sólo para los Sistemas de Información que estén operados por personal propio y/o en dependencias de las administraciones públicas, sino también a aquellos otros que, estando operados por terceros en dependencias propias o externas afecten a funciones, misiones, cometidos o servicios para las AA.PP.

  • Los controles sobre la seguridad recogidos en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS. Sin embargo, ENS es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad
  • Es por lo anterior, que las empresas certificadas en ISO 27001 tienen buena parte del camino recorrido para lograr su conformidad con el ENS.
  • Las organizaciones que se encuentren certificadas en  ISO 27001 tienen una buena parte del camino recorrido para lograr su conformidad con el ENS.
  • Por otro lado, el ENS esta enfocado en la “protección” de la información y los servicios exigiendo además la gestión continuada de la seguridad, para lo cual no descabellado pensar en implantar un sistema de gestión. En este sentido, podemos considerar que ISO 27001 puede ser un importante apoyo para todas las organizaciones ya sean públicas o privadas para entender y aplicar un proceso de mejora continua.
  • En el caso de sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, ENS impone la necesidad de pasar una auditoría bienal, realizada por personal cualificadoindependiente del servicio/sistema que esté auditando.
  • Además se aclara que las personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría.
  • Esta exigencia se rebaja cuando se están evaluando sistemas categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación.

Beneficios de Certificarse en ENS

La implantación de los requisitos del ENS a través de sus distintas herramientas ofrece distintas ventajas a las organizaciones que lo implanten

  • Cumplir con los requisitos obligatorios para las Administraciones públicas Nacionales o locales y de sus proveedores
  • Facilitar la contratación con organismos de la administración para empresas contratistas
  • Utilización de guías e instrumentos específicos para la seguridad de la información
  • Garantizar la Utilización de productos certificados
  • Mejorar la gestión de incidentes de su organización y los procesos de comunicación
  • Establecer un lenguaje común de peligrosidad y clasificación de incidentes
  • Implantar un sistema de trazabilidad y el seguimiento de los incidentes.
  • Posibilitar la integración entre plataformas digitales de la administración
¡NO SE QUEDE ATRÁS Y CERTIFÍQUESE!
De forma sencilla, rápida y económica

¿Como es el proceso de Certificación ENS?

Las condiciones para la conformidad con el ENS esquema Nacional de Seguridad se establecen en la guía Declaración y Certificación de Conformidad con el ENS y distintivos de cumplimiento

Según esta guía se establece:

Se definirá mediante una auditoria de conformidad

NOTA: Para los sistemas de categoría Básica bastaría con publicar una declaración de conformidad en el sitio web similar .

Las Entidades de Certificación deberán estar acreditados por ENAC “para la certificación de sistemas conforme a UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios, para la certificación de sistemas del ámbito de aplicación del ENS.”

Se puede plantar la cuestión si los proveedores de la Administración pública deben certificarse de forma independiente según los requisitos del ENS

Como respuesta podemos decir que el camino a seguir por las empresas es optar por la Certificación Independiente ya que aunque existe dentro de la guía de certificación, la posibilidad de realizar una auditoria conjunta de los sistemas de la Administración y sus proveedores también queda expresado que «los proveedores deben ser capaces de”estar en condiciones de exhibir los distintivos de conformidad»

En INGERTEC tenemos amplia experiencia en implantación de sistemas de Seguridad de la información y cumplimiento de requisitos del ENS y cuenta con la confianza de todas las entidades de Certificacion acreditadas por ENAC para el ENS
 
entidades-ens

Integración de la ENS con otras normas

El esquema Nacional de Seguridad ENS establece la necesaria elaboración de un análisis de riesgos en los siguientes escenarios:

  • Durante la especificación, desarrollo y operación de un nuevo sistema, para determinar los requisitos de seguridad que deben incorporarse a la solución.

El objetivo de realizar el análisis de riesgos entre otros es ajustar a nuevos activos, nuevas amenazas, nuevas vulnerabilidades y nuevas salvaguardas.

En este sentido la norma ISO 3100 «Risk Assessment» incluye las directrices para la identificación, análisis y evaluación de riesgos es una herramienta a utilizar.

En este campo también puede ser útil la utilización de normas que establecen – Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información tales como:

  • MAGERIT
  • UNE 71504

Para las organizaciones que tienen implantada la Norma ISO 27001 pueden utilizar sin duda esta norma como base para su conformidad con el ens adoptando las medidas de seguridad de la información que requiere el ENS y que son básicamente obligatorias

Más información en Sistemas ISO 27001 Adaptados al ENS

En organizaciones que tienen implantado los requisitos del ENS la integración dentro de un sistema de Seguridad de la Información les aportara una filosofía de mayor perspectiva al integrar además del cumplimiento de los requisitos una visión de Gestión de la Seguridad de la información aportando como valor fundamental la revisión y la mejora continua.

  • ISO 27001 Seguridad de la Información
  • ISO 31000 Directrices para la Gestión de Riesgos
  • ISO 20000 Gestión de Servicios TI
  • ISO 15504 Calidad del SW
  • RGPD Reglamento General de Protección de Datos

¿Qué obtengo al contratar a INGERTEC

valor1

+ de 20 años
de experiencia

valor2

100% de empresas
certificadas a la primera

valor3

9 de cada 10 clientes
vuelven a contratarnos

valor4
Rápidos y eficientes.
Cumplimos con los plazos.
Contamos con la confianza de
Colaboramos con