Esquema Nacional de Seguridad (ENS)

¿Qué es el Esquema Nacional de Seguridad o ENS?

El Esquema Nacional de Seguridad (ENS) es una normativa diseñada para garantizar la seguridad de la información en medios electrónicos utilizados por las Administraciones Públicas (estatales, autonómicas y locales). Su objetivo es establecer principios y metodologías comunes para asegurar el acceso, integridad, disponibilidad y autenticidad de la información.

Creado bajo el Real Decreto 3/2010, el ENS busca generar las condiciones de confianza necesarias para que los ciudadanos utilicen medios electrónicos al interactuar con las Administraciones Públicas, cumpliendo y ejerciendo sus derechos y deberes. Su desarrollo fue coordinado por el Ministerio de la Presidencia y posteriormente por el Ministerio de Política Territorial y Administración Pública, con el apoyo del Centro Criptológico Nacional (CCN) y la participación de diversas entidades públicas.

Objetivos del ENS

El ENS tiene seis objetivos principales:

1. Generar confianza en el uso de medios electrónicos para los ciudadanos en su relación con las Administraciones Públicas.
2. Introducir elementos y metodologías comunes de seguridad en las tecnologías de la información para las Administraciones Públicas.
3. Facilitar la interacción entre diferentes Administraciones mediante un lenguaje común.
4. Promover la gestión continua de la seguridad.
5. Fomentar la prevención, detección y corrección de ciberamenazas.
6. Servir como modelo de buenas prácticas.

Principios del Esquema ENS

Para alcanzar sus objetivos, el ENS se basa en varios principios:

• Seguridad integral: La seguridad debe ser entendida como un proceso integral que involucra todos los elementos técnicos, humanos, materiales y organizativos del sistema.
• Gestión de riesgos: Es necesario realizar un análisis y gestión de riesgos de forma continua.
• Prevención, reacción y recuperación: Se deben implementar medidas para prevenir ataques, detectar amenazas y recuperar datos e información.
• Líneas de defensa: El sistema debe tener varias capas de seguridad para garantizar protección y minimizar el impacto de posibles ataques.
• Reevaluación periódica: Las medidas de seguridad deben ser evaluadas y actualizadas regularmente.
• Función diferenciada: Se deben diferenciar los roles de responsables de información, servicios y seguridad.

Real decreto 3/2010

Como decíamos, el Esquema Nacional de Seguridad está recogido en el Real Decreto 3/2010, que desarrolla lo previsto en el artículo 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos. El RD 3/2010 fue modificado a su vez por el Real Decreto 951/2015, hasta ofrecer el texto consolidado actual, que podemos leer en la publicación electrónica del BOE.

Requisitos del Esquema Nacional de Seguridad

El ENS establece requisitos mínimos que todo sistema de seguridad de la información debe cumplir, incluyendo:

• Organización en la implementación del proceso de seguridad.
• Análisis y gestión de riesgos.
• Gestión del personal.
• Autorización y control de accesos.
• Protección de instalaciones y sistemas.
• Seguridad por defecto.
• Protección de la información almacenada y en tránsito.
• Continuidad de la actividad y mejora continua del proceso de seguridad.

El ENS y la protección de datos

Aunque el ENS y el RGPD utilizan términos similares para clasificar los riesgos de datos e información, es decir, bajo, medio o alto, el significado de estos términos varía entre las dos normativas.

En el RGPD, los niveles de seguridad se definen según la categoría específica del dato en cuestión. Por otro lado, en el ENS, la clasificación se basa en el impacto que un incidente de seguridad podría tener en la capacidad de la organización para alcanzar sus objetivos, proteger sus activos, cumplir con sus obligaciones de servicio y respetar la legalidad y los derechos de los ciudadanos.

Por lo tanto, cumplir con las normativas del Esquema Nacional de Seguridad no libera a las Administraciones Públicas de la obligación de cumplir con la normativa de protección de datos, especialmente cuando manejan datos personales de los ciudadanos.

¿Qué organizaciones, públicas o privadas, están obligadas a cumplir con este Esquema?

Deben cumplir con el Esquema Nacional de Seguridad la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que forman parte de la Administración Local y las entidades de derecho público vinculadas o dependientes de ellas, como universidades, hospitales y órganos colegiados.

Asimismo, también están obligadas a cumplir con el ENS las empresas que contraten o subcontraten con las Administraciones Públicas para prestar servicios relacionados con el uso de medios electrónicos, ya sea para el ejercicio de los derechos y deberes de los ciudadanos o para el acceso a la información.

Fases para implantar un esquema nacional de seguridad

Implementar el ENS debe seguir una serie fases, que vemos a continuación:

Definir una política de seguridad

En la fase inicial, es necesario definir la política de seguridad de la administración pública o de la empresa que haya contratado o subcontratado un servicio. Esta política debe ser aprobada por la autoridad superior correspondiente (los responsables directos de la ejecución de las acciones del gobierno central, autonómico o local).

La política de seguridad debe incluir los requisitos previamente mencionados.

Definir el conjunto de recursos técnicos, organizativos, humanos y procedimentales sujetos al ENS

La política de seguridad debe identificar cuáles de sus recursos técnicos, organizativos, humanos y procedimentales estarán bajo el ENS. Esto implica recopilar información sobre los recursos técnicos disponibles, la infraestructura y los controles de seguridad existentes, las normas de seguridad ya implementadas y las responsabilidades asignadas, entre otros aspectos.

Catalogación de los tipos de información según tipos y niveles

La siguiente etapa consistirá en clasificar la información según tipos y niveles. Esta clasificación debe basarse en la evaluación del impacto que tendría un incidente de seguridad en la entidad, considerando:

• Los objetivos del servicio o sistema de información.
• La protección de los activos involucrados.
• El cumplimiento de las obligaciones del servicio.
• El cumplimiento de la legislación vigente.
• El respeto a los derechos de las personas afectadas.

Además, para determinar el impacto en la seguridad de la información, se deben tener en cuenta las siguientes dimensiones:

• Disponibilidad.
• Integridad.
• Confidencialidad.
• Autenticidad.
• Trazabilidad.

Finalmente, el ENS establece tres niveles de impacto:

• Nivel Bajo: Los daños y perjuicios sobre las funciones de la entidad, sus activos o las personas afectadas son limitados.
• Nivel Medio: Los daños y perjuicios son graves para las funciones de la entidad, sus activos o las personas afectadas.
• Nivel Alto: Los daños o perjuicios que sufrirán las funciones, activos de la entidad o personas afectadas son muy graves. Hablamos aquí de un daño catastrófico.

Definir y asignar responsables de velar por el cumplimiento de la política de seguridad de la organización

La política de seguridad también deberá designar a los responsables que se encargarán de garantizar el cumplimiento de las medidas de seguridad implementadas en la entidad.

Estos responsables, junto con el resto del personal que maneja la información y los sistemas, deben recibir formación y ser informados sobre sus deberes y obligaciones en materia de seguridad.

Evaluar la eficacia de las medidas adoptadas

La siguiente fase se centrará en realizar un análisis de riesgos, incluyendo una evaluación de las medidas de seguridad ya implementadas, teniendo en cuenta los niveles de impacto mencionados anteriormente. Las medidas de seguridad abarcarán:

Medidas a nivel organizativo del sistema de seguridad:

• Política de seguridad
• Normativa de seguridad
• Procedimientos de seguridad
• Procesos de autorización

Medidas de protección a nivel operacional del sistema de información:

• Planificación
• Control de acceso
• Servicios externos
• Continuidad del servicio
• Monitorización del sistema

Medidas para proteger activos específicos de información:

• Protección de las instalaciones e infraestructuras
• Gestión del personal
• Protección de los equipos
• Protección de las comunicaciones
• Protección de los soportes de información
• Protección de las aplicaciones informáticas
• Protección de la información
• Protección de los servicios

Mantener el sistema actualizado

Es necesario crear un plan de mejora de la seguridad que garantice la minimización de riesgos y la capacidad de respuesta frente a amenazas y ataques. Este plan debe incluir actualizaciones regulares del sistema para mejorar la seguridad de manera continua.

Realización de una Auditoría bienal de Seguridad que revise la política de seguridad y el sistema de seguridad establecidos

El ENS establece que, para los sistemas de información considerados de nivel medio o alto, se requiere realizar una auditoría cada dos años o cuando ocurran cambios significativos en el sistema que puedan afectar la seguridad, similar a lo que exigía la auditoría LOPD en términos de protección de datos.

Esta auditoría puede ser llevada a cabo por personal interno o por un servicio externo. Sin embargo, si se elige personal interno, este debe ser independiente, es decir, no debe ser uno de los responsables del sistema de información.

El informe de auditoría debe incluir los siguientes elementos:

• Alcance y objetivos de la auditoría.
• Metodología utilizada.
• Datos, hechos y observaciones que respalden las conclusiones del informe.
• Identificación de deficiencias en el sistema.
• Grado de cumplimiento del ENS.
• Sugerencias de medidas correctivas o complementarias para abordar las deficiencias.
• Recomendaciones.

El informe de auditoría será revisado por el responsable de seguridad del sistema, quien deberá:

• Implementar las medidas de seguridad necesarias.
• Informar al responsable de la entidad.
• Enviar el informe al Centro Criptológico Nacional.
• Determinar si se requiere la adopción de medidas de seguridad adicionales.