El Esquema Nacional de Seguridad (ENS) y las Administraciones Públicas

El Esquema Nacional de Seguridad (ENS) y las Administraciones Públicas

¿Qué es el Esquema Nacional de Seguridad (ENS)?

El Esquema Nacional de Seguridad (ENS) es una normativa cuya intención es establecer una serie de reglas y de principios que aseguren el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos, que gestionen en el ejercicio de las competencias de las Administraciones Públicas.

¿Qué normativa regula el ENS?

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, establecía un mandato de creación de un Esquema Nacional de Seguridad (ENS) con la participación de todas las Administraciones Públicas, que debía ser aprobado mediante Real Decreto por el Gobierno de España. Este trabajo dio como resultado el Real Decreto 3/2010, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración Electrónica.

¿A quién aplica el ENS?

El Esquema Nacional de Seguridad es de aplicación a:

  • Las Administraciones Públicas, incluyendo:
    • Administración General del Estado
    • Administraciones de las Comunidades Autónomas
    • Entidades que integran la Administración Local
    • Entidades de derecho público vinculadas o dependientes de las mismas
  • Los ciudadanos, en el caso de sus relaciones con las Administraciones Públicas
  • Las relaciones entre las distintas Administraciones Públicas

Excluyéndose, en todo caso, para aquellos sistemas que tratan información catalogada como clasificada.

¿En qué consiste el ENS?

Para implantar un Esquema Nacional de Seguridad los órganos directores de cada una de las Administraciones Públicas afectadas deberán:

    • Elaborar una Política de Seguridad, por la que se establezca:

    • El marco organizativo del Esquema identificando los roles del Responsable de la Información, del Servicio, de la Seguridad y de los Sistemas
    • Un proceso de análisis y gestión de riesgos
    • Un sistema de autorización y control de accesos
    • Directrices para la protección de las instalaciones
    • Procesos para la adquisición de productos
    • Registros de Actividad
    • Sistema de Gestión de Incidencias
  • Realizar de un análisis previo de la criticidad de los servicios públicos y tipología de información afectada que ayude a determinar la Categoría del Sistema.
  • Realizar un Análisis de Riesgos en base a una metodología reconocida internacionalmente y en función de la categoría del sistema.
  • Elaboración de una Declaración de Aplicabilidad que determine que medidas, de los recogidos en el Anexo 2 del Real Decreto, son los idóneos para reducir el riesgo del sistema y garantizar la integridad, confidencialidad y disponibilidad de los servicios públicos afectados.
  • Implantación de las medidas adoptadas.

Por último, es necesario dejar claro que el Esquema Nacional de Seguridad es un sistema de gestión de la seguridad de la información, basado en el ciclo de mejora continua de Deming. Por este motivo, requiere que las Administraciones Públicas afectadas, una vez realizados los pasos descritos anteriormente, lleven a cabo verificaciones periódicas que aseguren que el sistema funciona adecuadamente, identifiquen no conformidades o puntos de mejora y apliquen las medidas necesarias.

En Secure&IT ayudamos a las Administraciones Públicas a implantar el Esquema Nacional de Seguridad y auditamos su cumplimiento. ¿Necesitas más información? ¡Contacta con nosotros!

Comments

Comentarios desactivados