Esquema Nacional de seguridad, ENS
Ja fa uns anys que la tecnologia va irrompre a les nostres vides de forma quotidiana. El gran ús que en fem, així com la imparable evolució de tecnologies innovadores, suposen un enorme desafiament per a la ciberseguretat. Aquesta creixent dependència de la societat per la tecnologia, ha incrementat els riscos i amenaces que comporta el seu ús, requerint respostes adaptades a les constantment renovades necessitats.
Desafiaments i amenaces
Els desafiaments que presenta la dependència tecnològica són el resultat d’una sèrie de factors interrelacionats, com ara l’evolució de les amenaces cibernètiques amb el desenvolupament de noves tècniques i eines per comprometre la seguretat de sistemes, xarxes i dades. Això inclou programari maliciós sofisticat, atacs d’enginyeria social i tècniques d’evasió avançades.A més, amb la proliferació de dispositius connectats a l’Internet de les Coses (IoT), el núvol i la virtualització, la superfície d’atac s’ha expandit significativament. Cada dispositiu connectat representa una possible porta d’entrada per als ciberdelinqüents.
L’acumulació massiva de dades provocada per la digitalització de la informació és una altra vulnerabilitat a què ens enfrontem com a societat. Protegir aquestes dades, moltes de les quals són sensibles i privades, és crucial per garantir la privadesa de les persones i evitar el robatori d’identitat o “phising”.
Amb vista a l’augment de les amenaces cibernètiques, els governs, tant en l’àmbit europeu com nacional, han fet un esforç per incrementar els nivells de ciberseguretat mitjançant l’evolució de regulacions i normatives que garanteixin la seguretat de les dades i la privadesa.
Aquest esforç ha donat com a resultat l’actualització de dues normes clau per a la ciberseguretat al nostre país: el Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat (ENS) i la norma ISO/IEC 27001 Information security, cybersecurity and privacy protection & Information security management systems.
Què és l'Esquema Nacional de Seguretat (ENS)?
L’Esquema Nacional de Seguretat (ENS) és un marc regulador i de referència, establert a Espanya sobre la base de la legislació espanyola i les regulacions europees relacionades amb la seguretat de la informació, amb l’objectiu de crear les condicions necessàries de confiança en l’ús mitjans electrònics, a través de mesures per garantir la seguretat dels sistemes, les dades, les comunicacions i els serveis electrònics, que permeti al ciutadà ia l’administració pública, l’exercici dels seus drets i el compliment dels seus deures a través d’aquests mitjans.
L’ENS neix el 2010 amb el Reial Decret 3/2010, de 8 de gener, el qual estableix els principis i requisits necessaris per protegir la confidencialitat, integritat, disponibilitat i autenticitat de la informació a les entitats i organismes públics.
Canvis Clau del nou Esquema Nacional de Seguretat (RO 311/2022)
El 2022 es deroga l’anterior decret i entra en vigor el Reial decret 311/2022, de 3 de maig. En aquest decret es recullen nous objectius com:
- La designació d’un punt o persona de contacte (POC) de seguretat de la informació designada pel prestador de serveis
- La protecció de la cadena de subministrament dins de la continuïtat del servei, de manera que el proveïdor garanteixi la prestació del servei en cas de patir una contingència, mesura exigible a la categoria ALTA
- El nou principi de vigilància continua per a l’avaluació permanent de l’estat de seguretat dels actius
- Notificació d’incidències de seguretat al CNN-CERT i a l’INCIBE-CER
- Professionalitat i capacitació exigible als responsables de la seguretat en una organització, a més de la mesura ja existent de formació i conscienciació en seguretat per als usuaris de l’organització, cosa que ha de garantir la capacitació adequada per als responsables de la seguretat i la sensibilització i existència d’una cultura de seguretat dins de l’organització. Cal esmentar que tant el CCN com l’INAP ofereixen programes de sensibilització i formació.
- S’estableixen noves mesures de seguretat, recollint mesures obligatòries i mesures opcionals o de reforç
- Serveis al núvol
- Interconnexió de sistemes
- Protecció de la cadena de subministrament
- Mesures de seguretat de reforç als controls
- Agrupació dels mitjans alternatius al control de continuïtat del servei.
- Vigilància
- Altres dispositius connectats a la xarxa
El termini d’adequació al nou ENS per a les entitats públiques i privades que prestin serveis o prestin solucions a les administracions públiques, és fins al 05 de maig de 2024.
Esbrina com les nostres solucions poden millorar la seguretat de la teva organització
Contacta'nsQuines aplicacions, serveis o sistemes estan compresos a l'àmbit d'aplicació de l'ENS?
L’ENS s’ha de complir en tots els serveis que l’Administració presta al ciutadà, entre ells serveis com:
- Seus electròniques.
- Registres electrònics
- Sistemes d’informació accessibles electrònicament pels ciutadans
- Sistemes d’informació per a l’exercici de drets
- Sistemes d’informació per complir deures.
- Sistemes d’informació per demanar informació i estat del procediment administratiu
Quins beneficis aporta l'aplicació i el compliment de l'ENS?
En establir un marc comú de seguretat de la informació per al sector públic, així com als proveïdors que col·laboren amb l’Administració, l’ENS garanteix la coherència i uniformitat en la gestió de la seguretat a diferents entitats i organismes, establint estàndards.
Un dels objectius principals és abordar la seguretat de tots els actius que integren un sistema d’informació amb un enfocament global de la seguretat: seguretat de les instal·lacions, de les comunicacions, del SW, de l’operativa del sistema, dels usuaris, etc.
A l’ENS s’estableixen mesures i controls de seguretat, que ajuden a protegir la informació sensible, amb l’obligació de complir la normativa aplicable en matèria de protecció de dades personals, informació financera i altres actius importants. A més, promou la identificació, avaluació i gestió de riscos de seguretat de la informació, cosa que permet a les organitzacions públiques i privades a prendre decisions informades sobre com protegir els seus actius de manera efectiva.
Davant de possibles ciberatacs o altres problemes, l’ENS assegura que les organitzacions puguin mantenir la prestació de serveis essencials fins i tot en situacions de crisi, afavorint la continuïtat del negoci.
El seu compliment promou la conscienciació en seguretat de la informació i la capacitació dels empleats, cosa que ajuda a crear una cultura de seguretat. A més, es genera confiança en la gestió de la informació per part de les entitats i els organismes del sector públic. Els ciutadans i les empreses confien que les seves dades es manejaran de manera segura.
Els diferents nivells de seguretat contemplats a l'ENS
El Esquema Nacional de Seguridad (ENS) en España define tres categorías de seguridad: Básica, Media y Alta, esta categorización del sistema vendrá determinada por la valoración que se haya efectuado de la información y los servicios en sus diferentes dimensiones de seguridad, estableciendo la categoría del sistema, el valor más alto otorgado a una dimensión de seguridad.
El propio ENS define en su Anexo II las medidas de seguridad que deberán cumplirse, diferenciando, como ya venía haciendo el anterior real decreto, entre medidas del marco organizativo, medidas operaciones y medidas de protección específicas para cada tipo de activo, en total, 73 medidas cuya aplicación va a depender de la categoría del sistema, incrementándose su aplicación desde la categoría Básica a la categoría Alta, en la que deben aplicarse las 73 medidas establecidas en el anexo II de la norma.
Gestión de la Identidad Digital TODO-en-UNO con nebulaSUITE
Contacta'nsVíntegris se certifica amb l'ENS nivell ALT aplicant els 73 controls de seguretat exigits a la norma
El nivell alt de l’ENS ofereix més protecció i seguretat per a la informació crítica del sector públic i garanteix una resposta més efectiva davant d’amenaces avançades.
Entre els seus avantatges trobem:
- Major protecció d’informació sensible: El nivell alt de l’ENS s’aplica a informació d’alt nivell de classificació, cosa que significa que es brinda una protecció més rigorosa a la informació més crítica i sensible del sector públic, amb mesures de protecció quan està emmagatzemada i en trànsit amb el xifratge de la mateixa
- Millor resistència a amenaces avançades: Les mesures de seguretat al nivell alt estan dissenyades per fer front a amenaces cibernètiques més sofisticades i persistents, com atacs dirigits o avançats, exigint la vigilància contínua
- Major control d’accés: Al nivell alt, s’estableixen controls d’accés més estrictes, cosa que limita qui pot accedir a la informació crítica. Això redueix significativament el risc d’accés no autoritzat.
- Pla de continuïtat robust: Es requereixen plans més detallats de continuïtat del negoci i recuperació de desastres al nivell alt de l’ENS, cosa que garanteix la disponibilitat dels serveis crítics en situacions de crisi.
- Més èmfasi en l’auditoria i la supervisió: L’exigència de supervisió contínua i la realització d’auditories internes en el nivell alt, cosa que ajuda a detectar i respondre ràpidament a possibles amenaces o incidents de seguretat.
- Més confiança pública: El compliment del nivell alt de l’ENS demostra un compromís sòlid amb la seguretat de la informació i pot augmentar la confiança del públic en els serveis governamentals i la gestió de la informació.
- Preparació per a incidents avançada: Es requereix un pla de resposta a incidents més detallat i efectiu en el nivell alt, cosa que permet una acció més ràpida i eficient davant d’esdeveniments de seguretat.
Tot i que en posar en pràctica aquestes mesures implica un esforç i un cost addicional en termes d’implementació i manteniment, a Víntegris valorem els avantatges que aquest nivell de seguretat aporta als nostres clients.
