¿Cuáles son los requisitos para certificarse en ENS?

El Esquema Nacional de Seguridad surge para dar respuesta a la transformación digital del Sector público, creando las condiciones de seguridad necesarias en la prestación de los servicios electrónicos proporcionados a la ciudadanía.

Aunque la seguridad pueda parecer una preocupación reciente, se han cumplido 10 años desde que se aprobara el Real Decreto 3/2010 por el que se regulaba el ENS en el ámbito de la Administración Electrónica.

La creciente complejidad en la prestación de estos servicios hace necesaria la definición de un sistema de información que permita satisfacer las necesidades utilizando los distintos componentes de la organización que nos ayudarán a procesar la información y distribuirla de manera adecuada (personas, datos, actividades o recursos materiales en general).

El Esquema Nacional de Seguridad está estructurado en tres bloques: Los principios básicos (artículos del 4 al 10 del RD), requisitos mínimos (artículos del 11 al 26) y un conjunto de 75 medidas categorizadas en tres marcos: el marco organizativo, el operacional y las medidas de protección.

El marco organizativo comprende un conjunto de medidas relacionadas con la organización global de la seguridad (políticas, normativas, procedimientos, etc.)

El marco operacional propone una serie de procesos del sistema a implementar dentro del sistema de información: Análisis de Riesgos, Gestión de la capacidad, control de cambios, etc.

Las medidas de protección se centran en proteger los activos con medidas muy concretas; Etiquetado, criptografía, cifrado, etc.

Sin embargo, no hay que olvidar que al contrario que sucede con otros estándares como ISO 27001, el ENS propone un modelo basado en tres niveles de madurez (básico, medio o alto) según el servicio que estemos evaluando y la importancia de la información involucrada en la prestación del servicio.

Pero ¿qué determina la categoría de mi sistema de información? La respuesta rápida es la información y los servicios involucrados. Sin embargo, es necesario desarrollarla.

Cada uno de los servicios e información involucrada en la prestación de los mismos debe ser valorada en las cinco dimensiones que establece el ENS (Confidencialidad, Integridad, disponibilidad, trazabilidad y autenticidad) en tres niveles distintos (Alto, medio y bajo).

La categoría del sistema será el máximo nivel que tomen las dimensiones de seguridad de los servicios y los activos de información necesarios para su prestación. Es decir, tendremos una categoría media si el máximo nivel de cualquiera de las cinco dimensiones de los servicios o activos de información es medio.

Por tanto, la respuesta a la pregunta inicial no es atómica, sino que los controles aplicables dependerán de nuestros servicios e información y de la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas. Por poner un ejemplo, no se nos exigirá un análisis de riesgos con la misma profundidad en una categoría básica que en una categoría alta.

En consecuencia, también la auditoría o revisión del sistema podrá cambiar sustancialmente. Si para una categoría baja basta con una autoevaluación para identificar el cumplimiento de los diferentes requisitos aplicables, para las categorías media y alta es necesario una auditoría independiente realizada de manera bienal y por personal cualificado e independiente en el que se verificará que el sistema implantado cumple con los requerimientos del RD 3/2010, teniendo en cuenta las modificaciones realizadas sobre el esquema en el RD 951/2015.

Si bien en el propio decreto se describen los diferentes controles a implementar por la organización y en qué consiste cada uno de ellos, en la mayoría de las ocasiones la complejidad hace necesarias disposiciones adicionales que orienten en la implantación de las medidas concretas. Para ello disponemos de las conocidas guías CCN-STIC de seguridad consistentes en un conjunto de normas, instrucciones y recomendaciones desarrolladas por el Centro Criptológico Nacional para ayudarnos con esta labor.

La adaptación de una organización, pública o privada, lleva consigo no solo la implantación de todas las medidas y disposiciones, sino su mantenimiento. Es por eso que en la mayoría de las situaciones se hace necesaria la implantación de un Sistema de Gestión que establezca el marco para gestionar todas las acciones a llevar a cabo.

Desde GlobalSUITE Solutions le ofrecemos la ayuda necesaria para la adecuación al Esquema Nacional de Seguridad y la obtención de la certificación, pudiendo gestionar los requisitos a través de nuestro Software GlobalSUITE® de manera centralizada y eficiente.