// ENS

Esquema Nacional de Seguridad

Es la normativa que establece la política de seguridad que se debe aplicar sobre los medios electrónicos utilizados por la Administración Pública, y establece aquellas medidas de seguridad necesarias para garantizar la seguridad de la información.

Índice de contenidos

¿Qué es el ENS?

El Esquema Nacional de Seguridad (ENS), regulado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, es una norma de obligado cumplimiento para los sistemas de información de las Administraciones Públicas. Se sustenta en principios internacionales de seguridad de la información y trata la protección de la información, los sistemas y los servicios.

El ENS persigue fundamentar la confianza en que los sistemas de información presten sus servicios y custodien la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.

Para ello se debe desarrollar y perfeccionar en paralelo a la evolución de los servicios y, a medida que vayan consolidándose, los requisitos de los mismos y de las infraestructuras que lo apoyan.

El ENS es necesario para establecer aspectos y metodologías comunes, relativos a la seguridad, en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, al objeto de crear las condiciones necesarias para la confianza en el uso de los citados medios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Principios del ENS

El ENS está constituido por unos principios básicos y requisitos mínimos requeridos, para una protección adecuada de la información, al objeto de asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos, que gestionen en el ejercicio de sus competencias.

La proporcionalidad es uno de los principios esenciales del ENS, puesto que es necesario categorizar los sistemas de información para determinar las medidas de seguridad, que deben ser proporcionadas a la naturaleza de la información que se maneja, de los servicios que se prestan, y de los riesgos a los que están expuestos.

Los principios básicos del ENS establecen unos puntos de referencia para la toma de decisiones, orientados a asegurar la información y los servicios. El objeto último de la seguridad de la información es asegurar que una organización administrativa pueda cumplir sus objetivos utilizando sistemas de información.

En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:

  • Seguridad integral.
  • Gestión de riesgos.
  • Prevención, reacción y recuperación.
  • Líneas de defensa.
  • Reevaluación periódica.
  • Función diferenciada.
Esquema Nacional de Seguridad

Requisitos para cumplir con el ENS

Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente. 

Esta política de seguridad, se establecerá de acuerdo con los principios básicos indicados y se desarrollará aplicando los siguientes requisitos mínimos:

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos.
  • Seguridad por defecto.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de actividad.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

Para dar cumplimiento a los requisitos mínimos establecidos en el ENS se deberán aplicarán las medidas de seguridad indicadas en su Anexo II, teniendo en cuenta:

  • Los activos que constituyen el sistema.
  • La categoría del sistema, según lo previsto en el artículo 43 del mismo.
  • Las decisiones que se adopten para gestionar los riesgos identificados.

¿Cuál es su objetivo?

Beneficios de cumplirlo

El ENS tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

La finalidad del mismo es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Los objetivos principales del ENS son los siguientes:

  • Crear las condiciones necesarias de confianza en el uso de los medios electrónicos que permitan a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

  • Introducir los elementos y metodologías comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.

  • Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.

El ENS es una norma jurídica que trata la protección de la información y los servicios, por lo que contempla y exige la gestión continuada de la seguridad mediante un sistema de gestión que proporciona beneficios relacionados con: 

  • Mejora del grado de confianza de los ciudadanos en el uso de los servicios prestados por la entidad a través de medios electrónicos.
  • Favorece el cumplimiento normativo en materia de seguridad de la información y protección de datos.
  • Cumplimiento de requerimiento legal si se prestan servicios a la Administración Pública.
  • Proporciona una ventaja competitiva y diferencial respecto a otros proveedores.

El ENS se considera la normativa de seguridad de referencia para las Administraciones Públicas. Es por ello que diversas normativas están contemplando su aplicación para fortalecer su propia regulación. Es el caso de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que en su Disposición Adicional Primera establece que el ENS incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el Reglamento (UE) 2016/679 (RGPD).

Las Administraciones Públicas y entidades del sector público deben aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el ENS, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a las mismas sujetas al derecho privado. Además, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al ENS.

Quién debe cumplir esta Normativa

El ENS se aplica al sector público que comprende:

  • La Administración General del Estado.
  • Las Administraciones de las Comunidades Autónomas.
  • Las Entidades que integran la Administración Local.
  • El sector público institucional.

El sector público institucional se integra por:

  • Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas.
  • Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas.
  • Las Universidades públicas que se regirán por su normativa específica y supletoriamente por las previsiones de la presente Ley.

Tienen la consideración de Administraciones Públicas: la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, así como los organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas. 

Además, las organizaciones, públicas o privadas, cuando provean servicios o presten soluciones a las entidades públicas, que estén sujetos al cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el ENS, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el ENS, cuando se trate de sistemas de categorías MEDIA o ALTA, de acuerdo con la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, utilizando los mismos procedimientos que los exigidos para las entidades públicas y siempre que la categoría del sistema de información haya sido determinada por la entidad pública contratante.

Cumple con el ENS gracias a nuestra solución OSV

Nuestra propuesta de solución de cumplimiento normativo del ENS define los controles necesarios para garantizar la seguridad de la información bajo el enfoque de este marco regulatorio. Esta solución da respuesta a los requerimientos establecidos por el ENS con el propósito de generar el mayor nivel de confianza en el uso de medios electrónicos establecidos por las Administraciones Públicas. 

Es por ello por lo que se adoptarán medidas de responsabilidad activa que garanticen la seguridad integral de los datos. La privacidad y seguridad de la información deben contemplar los aspectos de prevención, reacción y resiliencia para conseguir que las amenazas sobre los mismos no se materialicen, ni afecten gravemente a la información que manejan, o los servicios que se prestan. En este sentido, el acceso a los sistemas de información estará identificado, controlado y limitado, se prestará especial atención a la información almacenada o en tránsito y se aplicarán las medidas de seguridad que correspondan a la naturaleza del soporte en que se encuentren. Además, se protegerán adecuadamente tanto las comunicaciones entre los sistemas de información y otros sistemas externos como los puntos de interconexión entre las redes que soporten dichas comunicaciones.