En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015 en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.
Y ESTO, ¿CÓMO SE TRADUCE?
Simplemente, el Esquema Nacional de Seguridad (ENS) es una norma jurídica que defiende los derechos de privacidad de los ciudadanos: exige que el ciudadano tenga la misma seguridad para sus datos en los trámites electrónicos que la que tendría acudiendo físicamente a Administración. Por ello, el ENS nació con naturaleza de aplicación al sector público, estableciendo una lista de principios y requisitos, en materia de Seguridad de la Información, que deben implantar las Administraciones Públicas y que se extiende a las entidades privadas (empresas proveedoras) que mantengan relaciones con ellas.
¿MI EMPRESA DEBE CUMPLIR CON EL ENS?
Dado que el Esquema Nacional de Seguridad (ENS) es de forzoso cumplimiento por las administraciones públicas, esta obligatoriedad se extiende a todos los Sistemas de Información que estén operados tanto por personal propio en dependencias de las administraciones públicas como por aquellos sistemas que, estando gestionados por terceros afecten a funciones, misiones, cometidos o servicios para la gestión pública. Por lo tanto, las entidades privadas que manejen datos sensibles deben implantar este Esquema Nacional de Seguridad ya que el RGPD recoge la necesidad de determinar las medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados o tratamientos realizados de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc.
En conclusión: si tu empresa mantiene relaciones contractuales con alguna entidad pública está obligada a cumplir con el Esquema Nacional de Seguridad (ENS).
¿CÓMO PUEDO CUMPLIR CON EL ESQUEMA NACIONAL DE SEGURIDAD (ENS)?
El ESN prevé un total de 75 medidas de seguridad que afectan tanto al marco organizativo de la entidad –por ejemplo, la preparación de una política de seguridad-, al marco operacional –como puede ser la realización de análisis de riesgos o la adquisición de componentes debidamente certificados- y al marco de infraestructuras y activos de las entidades. A este respecto, no debemos obviar que el activo más importante de las organizaciones es su personal, al que deberá formar para que pueda cumplir debidamente con las medidas adoptadas y establecer un procedimiento de mejora continua del proceso de seguridad.
La Certificación del Esquema Nacional de Seguridad se consigue superando una auditoría de una entidad independiente y autorizada por el CCN (Centro Criptológico Nacional) donde se analiza y comprueba la correcta implantación de las medidas establecidas por el ENS.
Al tratarse de una norma, la certificación es obligatoria cuando la categoría del sistema de información es de nivel medio o alto. Para el nivel bajo, la certificación es voluntaria pero cada vez más demandada como elemento diferenciador en el mercado.
Una de las pocas entidades autorizadas por el CCN para auditar en España es Cámara Certifica que cuenta con experiencia tanto en la certificación de ENS como en los demás sistemas de Seguridad de la Información, como es la norma ISO 27001.
¿SON EQUIVALENTES EL ESQUEMA NACIONAL DE SEGURIDAD Y LA NORMA ISO 27000?
La norma UNE-ISO/IEC 27002:2009 es un conjunto de controles de seguridad para sistemas de información genéricos. Aunque muchas de las medidas de seguridad indicadas en el anexo II del ENS coinciden con controles de UNE-ISO/IEC 27002:2009, el ENS es más preciso y establece un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la implantación de medidas de seguridad y reducir la discrecionalidad.
Por otro lado, el Esquema Nacional de Seguridad es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad. Por lo tanto, no podemos olvidar que la norma UNE ISO/IEC 27001:2007 es de carácter voluntario mientras que ENS es una norma jurídica de obligado cumplimiento para las administraciones públicas y los organismos que operen con ellos. No obstante, es obvio que, si tu empresa ya cuenta con un certificado en ISO 27001, tiene buena parte del camino recorrido para lograr su conformidad con el ENS. Un ejemplo de ello es la empresa tecnológica Nunsys que acaba de ser homologada en la especialidad de ciberseguridad industrial por la multinacional Kaspersky, uno de los mayores desarrolladores de productos, soluciones y servicios de ciberseguridad a nivel mundial. Nunsys se convierte así en la primera y única compañía española en obtener dicha distinción, después de contar con la Certificación de Conformidad con el Esquema Nacional de Seguridad (ENS) en Categoría Alta para servicios ofrecidos a las Administraciones Públicas.
Artículo completo aquí: https://ticnegocios.camaradesevilla.com/servicios/tendencias/como-afecta-el-esquema-nacional-de-seguridad-ens-a-las-empresas/
Hace unos meses, en Angloben fuimos invitados a formar parte de la comisión de turismo inteligente de uno de estos parajes. Nuestra…
La generación Y – los nacidos después de 1981- es la primera generación inmersa por completo en la tecnología digital,…
Las facultades de informática e ingeniería no dan abasto a la demanda del mercado, ni son capaces de adaptar sus…
El smart shopping (en las llamadas smart shops) se refiere al mundo de las compras orientado al ámbito de lo digital. No se trata…
Es una realidad latente: el talento digital no espera a que lo encuentren. Es por ello que, para atraer a…
Esto está provocando que la demanda de expertos en seguridad aumente de tal manera que se quedan sin cubrir 3 millones de…
