Blog

Publicado 12 de abril de 2022

OptimumTIC, elevando la seguridad de la información a los máximos estándares con la certificación en el Esquema Nacional de Seguridad en Nivel II (ENS)

Este pasado mes de marzo en OptimumTIC, de forma proactiva y voluntaria, después de haber pasado por una exhaustiva auditoría desde finales de 2021, hemos recibido el certificado en el Esquema Nacional de Seguridad (ENS) en Nivel II.

El Esquema Nacional de Seguridad o ENS es una normativa que tiene como objetivo establecer los principios que regulan y aseguran el acceso, integridad, disponibilidad y veracidad de la información empleada en medios electrónicos relacionados con las Administraciones Públicas.

Se encuentra recogida en el Real Decreto 3/2010 y se creó con la necesidad de establecer aspectos y metodologías comunes relativas a la seguridad en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, con el fin de crear las condiciones de confianza necesarias para que los ciudadanos usen estos medios en el cumplimiento y ejercicio de sus deberes y derechos.

Por tanto, es una normativa de obligado cumplimiento para el sector público, es decir, todas las entidades y organismos pertenecientes a la Administración estatal, autonómica y local.

Para las entidades privadas como OptimumTIC, el Esquema Nacional de Seguridad es un mecanismo que supone ir un paso más allá en la seguridad de la información, obteniendo el máximo nivel de cumplimiento y asegurando todos los procesos, medidas, gestión organizativa interna y con los terceros en cumplimiento.

El ENS se estructura en base a 10 capítulos que contienen un total de 44 artículos y 5 anexos. En ellos se recogen aspectos tales como el marco de aplicación, los principios básicos de la seguridad de la información, los requisitos mínimos que se deben cumplir, cómo desplegar las comunicaciones electrónicas, cómo llevar a cabo las auditorias ENS, establece el funcionamiento CCN-CERT, las normas de conformidad, el procedimiento de actualización del propio ENS y el método de categorización de los sistemas. Todo ello para acabar cumpliendo con los principios básicos que recoge el ENS, los cuales serían; la Seguridad integral, la Gestión de riesgos, la Prevención, reacción y recuperación, las Líneas de defensa, la Evaluación periódica y la Función diferenciada.

Además de estos principios, el Esquema Nacional de Seguridad trata de cumplir con un seguido de objetivos:

Crear las condiciones necesarias de confianza para el uso de los medios electrónicos por parte de los ciudadanos en su relación con las Administraciones Públicas.
Introducir elementos y metodologías comunes en materia de seguridad de las tecnologías de la información para las Administraciones Públicas.
Aportar un lenguaje común para facilitar la interacción entre las diferentes Administraciones, así como la comunicación de los requisitos de seguridad de la información a la Industria.
Promover la gestión continua de la seguridad.
Promover la prevención, detección y corrección para mejorar la resiliencia ante ciber amenazas y ciberataques.
Servir como modelo de buenas prácticas.

ISO y ENS: El binomio perfecto para la ciberseguridad

Gracias al Esquema Nacional de Seguridad, desde OptimumTIC hemos afianzado nuestro compromiso con la seguridad de la información, ya dispuesto en nuestra certificación ISO 27001 de SGSI completo.

El ENS está inspirado en la familia de estándares de seguridad ISO 2700, concretamente en la ISO 27001 de Gestión de Seguridad de la Información (SGSI), de la que ya estamos certificados des del año 2019 y realizamos auditorias por terceros anuales de forma voluntaria con el objetivo de ser auditados y revisados para la mejora continua de todos nuestros procesos y asegurar la calidad y seguridad interna y para los terceros. La correlación que comprenden ambas certificaciones nos ha facilitado su integración y adecuación en la organización

La principal diferencia entre ambas es la aplicación de los controles estipulados, para el marco normativo ISO 27001 tiene un carácter voluntario en función de la necesidad y conveniencia, pero, en el Esquema Nacional de Seguridad, es obligatorio el cumplimiento de todas y cada una de las medidas de seguridad y controles en función de la categoría del sistema.

Aunque a documentación creada para la ISO27001 es de uso común con el ENS, la estructura de ambas normas es distinta, algunos aspectos de una están contemplados en varias secciones de la otra y además el ENS contiene algunos puntos exclusivos. Por lo tanto, durante nuestro proceso de adecuación ha sido crucial revisar cada uno de los puntos desde una visión holística, proceso que hemos realizado durante más de cinco meses con personal interno propio, recursos propios, la gerencia implicada desde el primer momento, y con auditores terceros del máximo rigor para la certificación.

La integración de los estándares ISO y el ENS es el binomio perfecto para la ciberseguridad. Asimismo, el Centro Criptológico Nacional ha elaborado la guía CCN-STIC 825, que recoge la relación del ENS con la ISO27001 y 27002, en la que ha determinado qué controles de la ISO son necesarios para cumplir las medidas de seguridad del ENS y, en su caso, los elementos adicionales requeridos.

Desde OptimumTIC estamos y seguiremos comprometidos con la seguridad de la información, cumpliendo así con nuestra filosofía corporativa, basada en la excelencia y rigurosidad de todos los procesos y servicios que realizamos a nivel interno, y que por tanto beneficia totalmente a nuestros clientes.

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com

OptimumTIC, elevando la seguridad de la información a los máximos estándares con la certificación en el Esquema Nacional de Seguridad en Nivel II (ENS)

Contacta con nosotros

Síguenos en

Certificados en el Esquema Nacional de Seguridad

Certificados en la ISO 27001

Certificados en protocolo contra el covid-19

Gestión Excelencia Empresarial

Empresa registrada en el INCIBE