Las bases del Esquema Nacional de Seguridad se establecieron en el Real Decreto 3/2010 y fueron elaboradas por el Centro Criptológico Nacional y diversos organismos oficiales, en colaboración con la AEPD y el Consejo de Estado. Dichas bases sirven para fijar los principios y requisitos necesarios para la adecuada protección de la información en las entidades del sector público español. 

El ENS es un conjunto normativo que posibilita crear y mantener las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas que garanticen la seguridad de los sistemas, los datos y las comunicaciones, para facilitar el ejercicio de derechos y cumplimiento de deberes a través de estos medios. Su finalidad es crear confianza en el uso de medios electrónicos tanto para las Administraciones Públicas como los ciudadanos. 

Aunque el ámbito del ENS se aplica a las Administraciones Públicas y a sus proveedores, los cuales deben evidenciar su cumplimiento legal, las empresas del sector privado también pueden certificarse voluntariamente para mejorar la gestión de su seguridad. 

El ENS está constituido por principios básicos y requisitos mínimos, así como por 75 medidas de seguridad, divididas en tres marcos: organizativo, operacional y de protección. 

La adecuación de una organización al cumplimiento del ENS incluye varias acciones: 

• Identificar el alcance del sistema según los sistemas y servicios prestados. 

• Categorizar el sistema según la valoración de las cinco dimensiones de seguridad (disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad). 

• Preparar la Declaración de Aplicabilidad con las 75 medidas de seguridad y cómo cumplimos con ellas. 

• Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. 

• Preparar y aprobar la Política de Seguridad, incluyendo la definición de roles y la asignación de responsabilidades. 

• Elaborar una hoja de ruta, con los documentos y medidas a implementar, incluyendo plazos estimados de ejecución y establecimiento de prioridades. 

• Elaborar un marco normativo, que incluya normas y procedimientos, y la implantación de medidas técnicas de seguridad. 

Una vez gestionados estos pasos, podemos pasar a la fase de aprobación y certificación a través de una entidad autorizada, quién realizará un proceso de auditoría formal, que deberá repetirse cada 2 años o cuando se produzcan modificaciones significativas en el sistema, para verificar el cumplimiento de los requerimientos. 

Tras la certificación, la organización deberá implementar un proceso de revisión y mejora continua de la seguridad, para poder gestionar de la manera más adecuada la seguridad de sus sistemas. 

La seguridad es una actividad integral, en la que no caben actuaciones puntuales, ya que la debilidad de un sistema la determina su punto más frágil. Disponer de los servicios de una consultoría especializada en seguridad es una gran ayuda, tanto para el proceso de adaptación al ENS, como para la posterior gestión y mejora de su sistema.  

En Optimum TIC estamos certificados en ISO27001 y actualmente preparamos nuestra certificación al ENS, por lo que tenemos la experiencia y los conocimientos para evaluar y aplicar la mejor estrategia de seguridad adaptada a su organización.  

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com