Actualmente está claro que hay un gran incremento en el uso de la tecnología de la información y las telecomunicaciones. Esto ha llevado a nuevos conflictos relacionados con la ciberseguridad. No solo a los usuarios normales o empresas, sino a organismos nacionales y públicos. Por este motivo, en el ENS (Esquema Nacional de Seguridad) se incluyen los principios fundamentales de la política de seguridad en las administraciones públicas y es necesario conocerlo si nos dedicamos al asesoramiento de empresas.

¿Qué es el Esquema de Seguridad Nacional?
El ENS se compone de unos principios básicos y requisitos para la protección de la información. Se debe utilizar en sistemas electrónicos relacionados con administraciones públicas, por ejemplo, webs de ayuntamientos.
Los principios básicos que se establecen en la ENS son:
– Dimensiones de seguridad;
– Tipos de dispositivos;
– Auditorías periódicas de seguridad.
Normativa y ámbito de aplicación
El Esquema Nacional de Seguridad se aplica a organismos del sector público.
Están exentas las estructuras que gestionan datos sensibles controlados por la Ley de Secretos Oficiales.
El ENS fue creado por la Ley 11/2007 de acceso electrónico de las personas a los servicios públicos y que posteriormente fue regulado por el Real Decreto 3/2010.
¿Qué elementos y valores se rigen por el esquema ENS?
Los elementos y valores que rigen el ENS son los siguientes:
- Defensa integral: La seguridad debe considerarse una operación integral, incorporando todos los componentes humanos, tecnológicos, organizativos y materiales vinculados al sistema.
- Control del riesgo: La identificación y gestión de los riesgos es una parte importante del proceso de protección y debe actualizarse continuamente.
- Evaluación periódica: Las medidas de seguridad se revisarán y examinarán periódicamente a fin de ajustar su eficacia a la evolución de los sistemas de riesgo y seguridad y, en algunas situaciones, puede ser conveniente reconsiderar la seguridad.
- Distinción de características: En los sistemas de información se distinguiría entre el gerente de servicio, el gerente de información y el gerente de seguridad.
- Prevención, reacción y rehabilitación: Las medidas de prevención eliminarán o al menos mitigarán la posibilidad de que se materialicen las amenazas que causan daños al sistema.
- Para responder rápidamente a los incidentes de seguridad, las medidas de identificación deben ir seguidas de medidas de reacción.
- Líneas de defensa: Las medidas de protección consistentes en múltiples capas de protección deben estar presentes en el sistema. Los pasos organizativos, físicos y lógicos implicarían las líneas de protección.
¿Qué instituciones tienen que cumplir con este Plan Nacional?
Anteriormente ya hemos mencionados que el ENS es de aplicación a instituciones del sector público, no solo en ámbito nacional, sino también en ámbito provincial y local. Estos organismos pueden ser:
– La Administración General del Estado
– Sociedades técnicas con respecto a las funciones de la administración pública
– La administración de las Comunidades Autónomas
– Entidades en el gobierno local
– Las federaciones deportivas
– Los partidos políticos con representación en el parlamento
– Las universidades públicas
– Empresas de recursos públicos, agua o transporte
– Hospitales Públicos
– Cámaras de Comercio
Objetivos del Esquema Nacional de Seguridad
– Se adoptarán una serie de medidas que garanticen la protección de la información y de los servicios electrónicos y permitan a las personas y a las administraciones públicas ejercer sus derechos y cumplir sus deberes por esos medios.
– Presentar un tratamiento estándar de seguridad que simplifique la cooperación en la prestación de servicios electrónicos en los que participen diversos actores.
– Promover un proceso continuo de tratamiento de la seguridad.
– Elaborar una política de seguridad en el uso de los medios electrónicos que incorpore los principios básicos y los requisitos mínimos que protejan adecuadamente la información.
– Añadir reglas básicas para orientar los actos de la Administración Pública en materia de seguridad de la información.
¿Las empresas privadas también están obligadas?
¿Entonces las empresas pueden estar obligadas a cumplir el Esquema nacional de seguridad? La respuesta es que depende del caso. Y es que, si la empresa va a dar servicios a una entidad pública, está obligada a cumplir las condiciones del ENS.
Por ejemplo, aquellas empresas que den servicio de carácter tecnológico a las entidades públicas, como por ejemplo la gestión de servidores o la creación de una web.
Cómo cumplir los requisitos del Esquema de Seguridad Nacional
La adaptación debe hacerse de forma gradual a las especificaciones del Plan de Seguridad Nacional.
¿Qué se necesita para adaptarse al ESN?
Para una adaptación ordenada al Esquema de Seguridad Nacional, se deben abordar los siguientes problemas:
Se formulará y aceptará la Política de Seguridad, incluyendo el concepto de funciones y la asignación de responsabilidades. Si el organismo tiene una política de seguridad, se incluirá en el plan de adecuación. La forma en que la política debe ser adaptada o establecida se definirá si tiene una política de seguridad pero no cumple los criterios, o no tiene tal política.
Clasificar los sistemas en función de la importancia de la información almacenada y de los servicios ofrecidos. Es necesario definir la información manejada y los servicios prestados.
Redactar y aceptar la Declaración de Aplicabilidad de las Medidas de Seguridad. Es importante mostrar la lista de medidas que se añadirán al sistema. En caso de que la medida buscada no se considere aceptable, debe explicarse esta inaplicabilidad. Cuando se utilicen medidas alternativas, se indicarán las medidas que se están reemplazando y por qué.
Llevar a cabo evaluaciones de cumplimiento de las aplicaciones. Debido al incumplimiento de las medidas de seguridad o a la existencia de peligros que no pueden ser atendidos por el organismo, se pueden localizar los defectos del sistema.

Luis Manuel Rodríguez
Profesional de Marketing digital. Muy curioso y aprendiendo constantemente sobre todo lo que me llama la atención.
- Web |
- More Posts(1)

