Esquema Nacional de Seguridad (ENS) proporciona al Sector Público en España requisitos comunes de seguridad para el mantenimiento e intercambio de la información entre proveedores.
“El ENS se materializó mediante el «Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica», que se ocupa esencialmente de establecer la política de seguridad en la utilización de medios electrónicos a través de los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. Posteriormente, fue modificado por el Real Decreto 951/2015, a la luz de la experiencia obtenida de su implantación desde su publicación en enero de 2010, de los resultados del informe del estado de la seguridad previsto en su artículo 35; de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.”…
El enfoque de las Medidas del ENS, son las siguientes:
Marco Organizativo: Está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad.
Marco Operacional: está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
Medidas de Protección: se centrarán en activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.
Para certificar a una empresa que cumple con los requisitos ENS, se debe preparar un sistema de gestión de la seguridad de la información, se puede comenzar la implementación de la herramienta internacional Norma ISO 27001, que es la base del sistema de seguridad de la información.
La ley establece que los sistemas de información a los que se refiere el RD sean objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad. Se establecen dos niveles de auditoría:
Auditoría de categoría BÁSICA: Bastará una autoevaluación realizada por el mismo personal que administra el sistema de información. No requiere de auditoria de certificación externa. Su resultado es una Declaración de Conformidad.
La certificación de conformidad con el ENS deberá ser expedida por una entidad certificadora acreditada por la Entidad Nacional de Acreditación, conforme a la Norma UNE-EN ISO/IEC 17065:20121. Puedes encontrar certificadoras acreditadas aqui.
Auditoría de categoría MEDIA o ALTA: El informe de auditoría dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias, así como las recomendaciones que se consideren oportunas. La auditoria es obligatoria cada 2 años. Su resultado es un Certificado de Conformidad con el ENS.
Beneficios de la certificación ENS:
- Cumplir la legislación.
- Crear las condiciones necesarias de confianza en el uso de los medios electrónicos
- Garantizar la independencia sobre el cumplimiento y el nivel de seguridad implantado.
- Aportar un tratamiento homogéneo de la seguridad
- Sustentar la confianza que merece el sistema auditado a través de un tratamiento continuado de la seguridad
Necesitas información del procedimiento de implementación y certificación del ENS, contacta con nosotros.
