Tecnología para los negocios - Cómo afecta el Esquema Nacional de Seguridad (ENS) a las empresas


Cómo afecta el Esquema Nacional de Seguridad (ENS) a las empresas

Las empresas españolas llevan años familiarizadas con las certificaciones en materia de calidad, medio ambiente, riesgos laborales… Pero, ¿cómo se están adaptando las empresas y organismos a las certificaciones en el uso y gestión de las nuevas tecnologías?

La Ley 11/2007 sobre el acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad, que tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación. Posteriormente, la Ley 40/2015, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.

En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015 en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Y esto, ¿cómo se traduce?

Simplemente, el Esquema Nacional de Seguridad (ENS) es una norma jurídica que defiende los derechos de privacidad de los ciudadanos: exige que el ciudadano tenga la misma seguridad para sus datos en los trámites electrónicos que la que tendría acudiendo físicamente a Administración. Por ello, el ENS nació con naturaleza de aplicación al sector público, estableciendo una lista de principios y requisitos, en materia de Seguridad de la Información, que deben implantar las Administraciones Públicas y que se extiende a las entidades privadas (empresas proveedoras) que mantengan relaciones con ellas.

¿Mi empresa debe cumplir con el ENS?

Dado que el Esquema Nacional de Seguridad (ENS) es de forzoso cumplimiento por las administraciones públicas, esta obligatoriedad se extiende a todos los Sistemas de Información que estén operados tanto por personal propio en dependencias de las administraciones públicas como por aquellos sistemas que, estando gestionados por terceros afecten a funciones, misiones, cometidos o servicios para la gestión pública. Por lo tanto, las entidades privadas que manejen datos sensibles deben implantar este Esquema Nacional de Seguridad ya que el RGPD recoge la necesidad de determinar las medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados o tratamientos realizados de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc.

En conclusión: si tu empresa mantiene relaciones contractuales con alguna entidad pública está obligada a cumplir con el Esquema Nacional de Seguridad (ENS).

¿Cómo puedo cumplir con el Esquema Nacional de Seguridad (ENS)?

El ESN prevé un total de 75 medidas de seguridad que afectan tanto al marco organizativo de la entidad –por ejemplo, la preparación de una política de seguridad-, al marco operacional –como puede ser la realización de análisis de riesgos o la adquisición de componentes debidamente certificados- y al marco de infraestructuras y activos de las entidades. A este respecto, no debemos obviar que el activo más importante de las organizaciones es su personal, al que deberá formar para que pueda cumplir debidamente con las medidas adoptadas y establecer un procedimiento de mejora continua del proceso de seguridad.

grafico medidas

La Certificación del Esquema Nacional de Seguridad se consigue superando una auditoría de una entidad independiente y autorizada por el CCN (Centro Criptológico Nacional) donde se analiza y comprueba la correcta implantación de las medidas establecidas por el ENS.

Al tratarse de una norma, la certificación es obligatoria cuando la categoría del sistema de información es de nivel medio o alto. Para el nivel bajo, la certificación es voluntaria pero cada vez más demandada como elemento diferenciador en el mercado.

Una de las pocas entidades autorizadas por el CCN para auditar en España es Cámara Certifica que cuenta con experiencia tanto en la certificación de ENS como en los demás sistemas de Seguridad de la Información, como es la norma ISO 27001.

¿Son equivalentes el Esquema Nacional de Seguridad y la norma ISO 27000?

La norma UNE-ISO/IEC 27002:2009 es un conjunto de controles de seguridad para sistemas de información genéricos. Aunque muchas de las medidas de seguridad indicadas en el anexo II del ENS coinciden con controles de UNE-ISO/IEC 27002:2009, el ENS es más preciso y establece un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la implantación de medidas de seguridad y reducir la discrecionalidad. 

Por otro lado, el Esquema Nacional de Seguridad es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad. Por lo tanto, no podemos olvidar que la norma UNE ISO/IEC 27001:2007 es de carácter voluntario mientras que ENS es una norma jurídica de obligado cumplimiento para las administraciones públicas y los organismos que operen con ellos. No obstante, es obvio que, si tu empresa ya cuenta con un certificado en ISO 27001, tiene buena parte del camino recorrido para lograr su conformidad con el ENS. Un ejemplo de ello es la empresa tecnológica Nunsys que acaba de ser homologada en la especialidad de ciberseguridad industrial por la multinacional Kaspersky, uno de los mayores desarrolladores de productos, soluciones y servicios de ciberseguridad a nivel mundial. Nunsys se convierte así en la primera y única compañía española en obtener dicha distinción, después de contar  con la Certificación de Conformidad con el Esquema Nacional de Seguridad (ENS) en Categoría Alta para servicios ofrecidos a las Administraciones Públicas.

Danos tu opinión

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (No hay valoraciones)
Cargando...

SUSCRÍBETE A NUESTRO BOLETÍN

Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.

Antes de enviar el presente formulario debe leer nuestra Política de Protección de Datos
que se encuentra disponible pulsando aquí

SOLUCIONES EMPRESAS CLUB CÁMARA TIC

PYMES
MAGNOLIA
AGENCIA USM
BETELING
AVIVA PUBLICIDAD
WOLTERS KLUWER
VODAFONE ESPAÑA
I-TRES TS
BUSINESS GO

EMPRESAS CLUB CÁMARA TIC

PKF Attest
GRUPO SOLUTIA
ALTEN
ROSSELLIMAC
INDEXA GEODATA
SOFTCOM
SOLTEL
HOMETEACHER
ECOTERRAE
GRUPO MPE
TEKNOSERVICE
TEAM2GO
GAMCO
FUJITSU
GRUPO STUDIUM
10CODE
T-SYSTEMS
TEKNEI
QVISION TECHNOLOGIES EUROPE
STARENLARED
ADAMO Business
NUNSYS
ARSYS
SPECIALIST COMPUTER CENTRES (SCC)
XTRARED
MONTERO ARAMBURU ABOGADOS
LAMAIGNERE
DELOITTE
COANDA/KYOCERA
GENERAL MACHINES TECHNOLOGY-GMT
DANTIA TECNOLOGÍA
SEIDOR
VS SISTEMAS
GRUPO A3SATEL
oga
SIGNATURIT
BE BEYOND
BOXPMO PROJECTS
AYESA
BABEL