Asegúrese de que su organización cumple la normativa relativa al Esquema Nacional de Seguridad.
Las medidas que introduce el ENS
El ENS establece la necesidad de que las organizaciones consideren y apliquen un total de 75 medidas de seguridad, con mayor o menor profundidad en función de la criticidad de la información y de los sistemas (categorías BÁSICA, MEDIA o ALTA), y que se distribuyen en los siguientes marcos de actuación:
Marco organizativo
Medidas relacionadas con la organización global de la seguridad.
Marco operacional
Proteger la operación del sistema como conjunto integral.
Medidas de protección
Proteger activos, según su naturaleza y calidad exigida por nivel de seguridad.
El Esquema Nacional de Seguridad (ENS) es una normativa de obligado cumplimiento para las Administraciones Públicas, así como para aquellas entidades privadas que les presten servicios en el ámbito de la Administración Electrónica. Aprobado mediante el Real Decreto 3/2010, el ENS tiene su origen en la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos, y en la necesidad de que existan medios electrónicos seguros para interactuar con la Administración.
Desde LIDER IT ofrecemos servicios de adecuación y auditoría de esta normativa, que tiene por objeto determinar la política de seguridad en la utilización de estos medios electrónicos por parte de los ciudadanos, y la protección de la información intercambiada en estos procesos.
Para ello, el ENS establece unos requisitos mínimos, basados en los siguientes principios orientados a garantizar la protección de la Autenticidad, Confidencialidad, Disponibilidad, Integridad y Trazabilidad de la información y de los sistemas utilizados para su tratamiento:
LA SEGURIDAD COMO UN PROCESO INTEGRAL
GESTIÓN DE SEGURIDAD BASADA EN RIESGOS
PREVENCIÓN, REACCIÓN Y RECUPERACIÓN
LÍNEAS DE DEFENSA
REEVALUACIÓN PERIÓDICA
LA SEGURIDAD COMO FUNCIÓN DIFERENCIADORA
- Desarrollo de políticas de seguridad
- Definición de roles y asignación de responsabilidades según requisitos del ENS
- Categorización de los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados (categoría Básica, Media o Alta)
- Desarrollo del proceso de análisis de riesgos según metodologías adecuadas, incluyendo la metodología MAGERIT y las herramientas que la desarrollan (PILAR)
- Desarrollo de la Declaración de aplicabilidad de las medidas del Anexo II del ENS
- Elaboración de planes de adecuación, mejora, o tratamiento de riesgos
- Implantación y monitorización de las medidas adecuadas
- Desarrollo de los procedimientos e instrucciones necesarias para la definición de las medidas de protección y seguridad
- Interpretación de las medidas definidas por el ENS y de las guías publicadas al respecto (CCN)
- Desarrollo de acciones de formación y sensibilización
- Interacción con organismos reguladores (Centro Criptológico Nacional) y otras partes interesadas
- Generación de información sobre el estado de la seguridad