Skip to main content
BlogCiberseguridadIdentidad DigitalLegalidadServicios de ConfianzaServicios Qualificados de ConfianzaSin categorizar

Esquema Nacional de seguridad, ENS

De 21 septiembre, 2023septiembre 27th, 2023Sin comentarios

Esquema Nacional de seguridad, ENS

Ya hace unos años que la tecnología irrumpió en nuestras vidas de forma cotidiana. El gran uso que hacemos de ella, así como la imparable evolución de tecnologías disruptivas, suponen un enorme desafío para la ciberseguridad. Esta creciente dependencia de la sociedad por de la tecnología ha incrementado los riesgos y amenazas que comporta su uso, requiriendo respuestas adaptadas a las constantemente renovadas necesidades.

Desafíos y amenazas

Los desafíos que presenta la dependencia tecnológica son el resultado de una serie de factores interrelacionados, como la evolución de las amenazas cibernéticas con el desarrollo de nuevas técnicas y herramientas para comprometer la seguridad de sistemas, redes y datos. Esto incluye malware sofisticado, ataques de ingeniería social y técnicas de evasión avanzadas. Además, con la proliferación de dispositivos conectados a Internet en el Internet de las Cosas (IoT), la nube y la virtualización, la superficie de ataque se ha expandido significativamente. Cada dispositivo conectado representa una posible puerta de entrada para los ciberdelincuentes.

La acumulación masiva de datos provocada por la digitalización de la información es otra vulnerabilidad a la que nos enfrentamos como sociedad. Proteger estos datos, muchos de los cuales son sensibles y privados, es crucial para garantizar la privacidad de las personas y evitar el robo de identidad o “phising”.

En vistas al aumento de las amenazas cibernéticas, los gobiernos, tanto en el ámbito europeo como en el nacional, han hecho un esfuerzo por incrementar los niveles de ciberseguridad mediante la evolución de regulaciones y normativas que garanticen la seguridad de los datos y la privacidad. 

Este esfuerzo ha dado como resultado la actualización de dos normas clave para la ciberseguridad en nuestro país: el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) y la norma ISO 27001  Information security, cybersecurity and privacy protection & Information security management systems. 

¿Qué es el Esquema Nacional de Seguridad (ENS)?

El Esquema Nacional de Seguridad (ENS) es un marco regulatorio y de referencia, establecido en España, en base en la legislación española y las regulaciones europeas relacionadas con la seguridad de la información, con el objetivo de crear las condiciones necesarias de confianza en el uso de medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita al ciudadano y a la administración pública, el ejercicio de sus derechos y el cumplimiento de sus deberes a través de estos medios. 

El ENS nace en 2010 con el Real Decreto 3/2010, de 8 de enero, el cual establece los principios y requisitos necesarios para proteger la confidencialidad, integridad, disponibilidad y autenticidad de la información en las entidades y organismos públicos. 

Cambios Clave del nuevo Esquema Nacional de Seguridad (RO 311/2022)

En 2022, se deroga el anterior decreto y entra en vigor el Real decreto 311/2022, de 3 de mayo. En este decreto se recogen nuevos objetivos como:

  • La designación de un punto o persona de contacto (POC) de seguridad de la información designada por el prestador de servicios
  • La protección de la cadena de suministro dentro de la continuidad del servicio , de manera que el proveedor garantice la prestación del servicio en caso de sufrir una contingencia, medida exigible en la categoría ALTA 
  • El nuevo principio de vigilancia continua para la evaluación permanente del estado de la seguridad de los activos
  • Notificación de incidencias de seguridad al CNN-CERT y al INCIBE-CER
  • Profesionalidad y capacitación exigible a los responsables de la seguridad en una organización, además de la medida ya existente de formación y concienciación en seguridad para los usuarios de la organización, lo que debe garantizar la capacitación adecuada para los responsables de la seguridad y la sensibilización y existencia de una cultura de seguridad dentro de la organización. Cabe mencionar que tanto el CCN como el INAP, ofrecen programas de sensibilización y formación.
  • Se establecen nuevas medidas de seguridad, recogiendo medidas obligatorias y medidas opcionales o de refuerzo
    • Servicios en la nube
    • Interconexión de sistemas
    • Protección de la cadena de suministro
    • Medidas de seguridad de refuerzo en los controles
    • Agrupación de los medios alternativos en el control de continuidad del servicio. 
    • Vigilancia
    • Otros dispositivos conectados a la red

El plazo de adecuación al nuevo ENS para las entidades públicas y privadas que presten servicios o presten soluciones a las administraciones públicas, es hasta el 05 de mayo de 2024.

Averigua como nuestras soluciones pueden mejorar la seguridad de tu organización
Contáctanos

¿Qué aplicaciones, servicios o sistemas están comprendidos en el ámbito de aplicación del ENS?

El ENS debe cumplirse en todos los servicios que la Administración presta al ciudadano, entre ellos, servicios como: 

  • Sedes electrónicas 
  • Registros electrónicos
  • Sistemas de Información accesibles electrónicamente por los ciudadanos
  • Sistemas de Información para el ejercicio de derechos
  • Sistemas de Información para el cumplimiento de deberes
  • Sistemas de Información para recabar información y estado del procedimiento administrativo

¿Qué beneficios aporta la aplicación y cumplimiento del ENS?

Al establecer un marco común de seguridad de la información para el sector público, así como a los proveedores que colaboran con la Administración, el ENS garantiza la coherencia y uniformidad en la gestión de la seguridad en diferentes entidades y organismos, estableciendo estándares.

Uno de sus objetivos principales es abordar la seguridad de todos los activos que integran un sistema de información con un enfoque global de la seguridad: seguridad de las instalaciones, de las comunicaciones, del SW, de la operativa del sistema, de los usuarios, etc.

En el ENS se establecen medidas y controles de seguridad, que ayudan a proteger la información sensible, con la obligación de cumplir con la normativa aplicable en materia de protección de datos personales, información financiera y otros activos importantes.  Además, promueve la identificación, evaluación y gestión de riesgos de seguridad de la información, lo que permite a las organizaciones públicas y privadas a tomar decisiones informadas sobre cómo proteger sus activos de manera efectiva.

Frente a posibles ciberataques u otros problemas, el ENS asegura que las organizaciones puedan mantener la prestación de servicios esenciales incluso en situaciones de crisis, favoreciendo la continuidad del negocio.

Su cumplimiento promueve la concienciación en seguridad de la información y la capacitación de los empleados, lo que ayuda a crear una cultura de seguridad. Además, se genera confianza en la gestión de la información por parte de las entidades y organismos del sector público. Los ciudadanos y las empresas confían en que sus datos se manejarán de manera segura.

Los diferentes niveles de seguridad contemplados en el ENS

El Esquema Nacional de Seguridad (ENS) en España define tres categorías de seguridad: Básica, Media y Alta, esta categorización del sistema vendrá determinada por la valoración que se haya efectuado de la información y los servicios en sus diferentes dimensiones de seguridad, estableciendo la categoría del sistema, el valor más alto otorgado a una dimensión de seguridad. 

El propio ENS define en su Anexo II las medidas de seguridad que deberán cumplirse, diferenciando, como ya venía haciendo el anterior real decreto, entre medidas del marco organizativo, medidas operaciones y medidas de protección específicas para cada tipo de activo, en total, 73 medidas cuya aplicación va a depender de la categoría del sistema, incrementándose su aplicación desde la categoría Básica a la categoría Alta, en la que deben aplicarse las 73 medidas establecidas en el anexo II de la norma.

Gestión de la Identidad Digital TODO-en-UNO con nebulaSUITE

Contáctanos

Víntegris se certifica con el ENS nivel ALTO aplicando los 73 controles de seguridad exigidos en la norma

El nivel alto del ENS ofrece una mayor protección y seguridad para la información crítica del sector público y garantiza una respuesta más efectiva ante amenazas avanzadas. 

Entre sus ventajas encontramos:

  • Mayor protección de información sensible: El nivel alto del ENS se aplica a información de alto nivel de clasificación, lo que significa que se brinda una protección más rigurosa a la información más crítica y sensible del sector público, con medidas de protección cuando está almacenada y en tránsito con el cifrado de la misma
  • Mejor resistencia a amenazas avanzadas: Las medidas de seguridad en el nivel alto están diseñadas para hacer frente a amenazas cibernéticas más sofisticadas y persistentes, como ataques dirigidos o avanzados, exigiendo la vigilancia continua 
  • Mayor control de acceso: En el nivel alto, se establecen controles de acceso más estrictos, lo que limita quién puede acceder a la información crítica. Esto reduce significativamente el riesgo de acceso no autorizado.
  • Plan de continuidad robusto: Se requieren planes más detallados de continuidad del negocio y recuperación de desastres en el nivel alto del ENS, lo que garantiza la disponibilidad de los servicios críticos en situaciones de crisis.
  • Mayor énfasis en la auditoría y supervisión: La exigencia de supervisión continua y la realización de auditorías internas en el nivel alto, lo que ayuda a detectar y responder rápidamente a posibles amenazas o incidentes de seguridad.
  • Mayor confianza pública: El cumplimiento del nivel alto del ENS demuestra un compromiso sólido con la seguridad de la información y puede aumentar la confianza del público en los servicios gubernamentales y la gestión de la información.
  • Preparación para incidentes avanzada: Se requiere un plan de respuesta a incidentes más detallado y efectivo en el nivel alto, lo que permite una acción más rápida y eficiente ante eventos de seguridad.

Aunque en poner en práctica estas medidas implica un esfuerzo y coste adicional en términos de implementación y mantenimiento, en Víntegris valoramos las ventajas que este nivel de seguridad aporta a nuestros clientes.

También te puede interesar

Víntegris Certifies with ISO 27701 Sin categorizar
7 diciembre, 2023

Víntegris Certifies with ISO 27701

Vintegris 0
ISO 27701 LegalidadNEWSNotas de PrensaVíntegrisVíntegris Certificaciones
7 diciembre, 2023

Víntegris se certifica con la ISO 27701

Vintegris 0
Artículo opinión de Victoria Hernández - eIDAS2 Digital IdentityNotas de PrensaServicios de ConfianzaTrusted ServicesVíntegris
12 septiembre, 2023

Identidad Digital Europea (eIDAS 2): deja tu cartera en casa

Vintegris 0

Deja un comentario