¿Qué es el Esquema Nacional de Seguridad?

Publicado el marzo 27 por juliocesarmiguel

El marco normativo del Esquema Nacional de Seguridad (ENS) aparece comprendido en el Real Decreto 3/2010 de 8 de abril, por el que se regula el ENS en el ámbito de la administración electrónica.

Tiene por finalidad el asegurar la confianza en el uso de medios electrónicos, mediante una serie de garantías en la seguridad de los datos, las comunicaciones y los servicios electrónicos. Su objeto consiste, en establecer una política de seguridad en el uso de medios electrónicos en las Administraciones públicas y se constituye mediante unos requisitos que permitan la protección de la información.

Las administraciones públicas, para garantizar los principios básicos de acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, servicios e información en los medios electrónicos, aplican el ENS.

Esquema Nacional de Seguridad

Por tanto, el ENS será de aplicación a los ciudadanos en sus relaciones con las Administraciones Públicas, a las Administraciones públicas y a las relaciones entre distintas Administraciones públicas.

Las decisiones de seguridad, en el ENS, tiene como principios básicos:

  • La seguridad integral que consiste en un proceso constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema, dando la máxima atención a la concienciación de las personas intervinientes en el proceso.
  • El análisis y gestión de los riesgos es la parte esencial del proceso de seguridad y deberá estar permanentemente actualizado, lo cual permitirá un mantenimiento del entorno, minimizando los riesgos hasta unos niveles aceptables mediante medidas de seguridad.
  • La prevención, reacción y recuperación son parte esencial ya que nos permiten impedir que la amenaza se materialice y no afecte gravemente a la información.
  • Las medidas de defensa del ENS, sirven para establecer una estrategia de protección mediante capas, de manera que, en caso de fallo de una capa, esto nos permita ya sea ganar tiempo de reacción ante el incidente, reducir la posibilidad de comprometer el sistema en su conjunto y minimizar el impacto final, siendo estas medidas de defensa de naturaleza tanto física, organizativa como lógica.
  • Estas medidas de seguridad han de reevaluarse periódicamente para adaptarlas a la evolución de los riesgos y sistemas de protección.
  • En último término, en los sistemas de información, hemos de diferenciar al responsable de la información, del responsable del servicio, del responsable de seguridad. En las políticas de seguridad se detallarán las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

​Dentro del ENS, hemos de establecer ciertas dimensiones de seguridad (disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad), las cuales sirven para determinar el impacto que tendría un incidente y así poder establecer los niveles de seguridad, ya sea bajo, medio o alto. Ahora bien, tanto las dimensiones de seguridad como los niveles de seguridad, nos sirven para establecer una categorización de los sistemas de información en tres categorías: Básica, Media o Alta.

  • Un sistema de información será de categoría Alta, cuando algunas de sus dimensiones de seguridad, alcanzan un nivel alto.
  • Un sistema de información será de categoría Media, cuando algunas de sus dimensiones de seguridad, alcanzan un nivel medio y ninguna alcanza un nivel superior.
  • Un sistema de información será de categoría Básica, cuando algunas de sus dimensiones de seguridad, alcanzan un nivel bajo y ninguna alcanza un nivel superior.

Por otra parte, para dar cumplimiento a los principios y requisitos mínimos del ENS se aplicarán las medidas de seguridad comprendidas en su Anexo II, teniendo en consideración: los activos, la categoría del sistema y las decisiones para gestionar los riesgos.

Estas medidas comprendidas en el Anexo II del ENS, a su vez se dividen en marco organizativo o global de toda la organización, operacional o para proteger la operación como conjunto y de protección o para proteger activos concretos. Determinadas estas medidas se formalizarán mediante la declaración de aplicabilidad, que será firmada por el responsable de seguridad.

Es conveniente efectuar auditorías cada dos años para comprobar el cumplimiento de los requisitos del ENS.

Julio César Miguel Pérez
CEO en Grupo CFI

 

Esta entrada fue publicada en Asesoramiento y etiquetada , , , . Guarda el enlace permanente.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.