El Esquema Nacional de Seguridad (ENS) se basa en la Ley 11/2007 publicado en el BOE número 150, de 23/06/2007 y desarrollado posteriormente por el Real Decreto 3/2010, por el cual se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
Tiene como objetivo establecer una política de Seguridad en el uso de los medios electrónicos de la Administración pública y también garantizar la protección apropiada de la información mediante los requisitos básicos para la protección de la misma
Lo que persigue el ENS es fomentar y conseguir la confianza en el uso de los medios electrónicos de la administración por parte de los usuarios estableciendo medidas de seguridad adecuadas, así como juntar las medidas de seguridad utilizadas por las administraciones en materia de Seguridad de la Información y establecer un idioma común para relacionarse entre las distintas administraciones y establecer requisitos de seguridad para los proveedores que trabajen con sistemas de información
En el Real Decreto 3/2010 se especifica que los sistemas de las Administraciones deberán estar ajustados al Esquema en unos plazos no superiores a 48 meses desde la entrada en vigor del mismo. Además de esta obligación para los organismos públicos, es recomendable que las entidades privadas que utilicen datos de alto riesgo, también implanten este Esquema Nacional de Seguridad ya que el RGPD, aunque no establece unas medidas de seguridad determinadas, sí que recoge la necesidad de establecer las medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados, tratamientos realizados de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc.
Elementos del Esquema Nacional de Seguridad (ENS)
Los elementos principales del Esquema Nacional de Seguridad son:
- Los principios básicos a considerar en las decisiones en materia de seguridad
- Los requisitos mínimos que por consiguiente permitan una protección adecuada de la información
- El mecanismo para lograr el cumplimiento de los principios básicos y también de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger
- Las comunicaciones electrónicas
- La auditoría de la seguridad
- La respuesta ante incidentes de seguridad
- La certificación de la seguridad
- La conformidad
Medidas de Seguridad establecidas en el Esquema Nacional de Seguridad (ENS)
Estas medidas se clasifican en tres marcos:
Organizativo
El marco organizativo está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad:
- Política de seguridad
- Normativa de seguridad
- Procedimientos de seguridad
- Proceso de autorización
Operacional
El marco operacional está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin:
- Planificación
- Control de acceso
- Explotación
- Servicios externos
- Continuidad del servicio
- Monitorización del sistema
Medidas de Protección
Las medidas de protección, se centrarán en activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad:
- Instalación e infraestructuras
- Gestión del personal
- Protección de los equipos, de las comunicaciones, de los soportes de información, aplicaciones informáticas, de la información, de los servicios
