Requisits de l'ENS

El Real Decreto 311/2022 regula l’Esquema Nacional de Seguretat i la forma d’obtenir el certificat ENS. L’Esquema Nacional de Seguretat (ENS) estableix els principis i requisits que han de complir les administracions públiques i els proveïdors del sector privat que manegen informació o serveis digitals per a aquestes entitats, a fi de garantir la “seguretat de la informació” a l’administració electrònica.

Principis bàsics de l'ENS

Els principis bàsics del certificat ENS (Esquema Nacional de Seguretat) són:

  1. Seguretat integral. La seguretat s’ha de considerar globalment, tenint en compte persones, processos, tecnologies, infraestructures i l’entorn organitzatiu.
  2. Gestió de riscs. Les mesures de seguretat s’han de basar en una avaluació continuada dels riscos, per poder prioritzar actuacions segons l’impacte i la probabilitat de les amenaces.
  3. Prevenció, detecció i correcció. El sistema de seguretat ha d’estar orientat a prevenir incidents, però també a detectar-los de forma primerenca i corregir-los eficaçment.
  4. Línia de defensa. Ha d’establir un model de defensa en profunditat, aplicant mesures de seguretat en capes successives per dificultar els atacs i minimitzar-ne l’impacte.
  5. Reavaluació periòdica. Els sistemes han de ser revisats regularment per garantir que les mesures de seguretat continuen sent adequades davant dels riscos i amenaces canviants.
  6. Funció diferenciada: Hi ha d’haver una separació clara entre els qui usen els sistemes, els qui els gestionen i els que en auditen el funcionament, evitant conflictes d’interès.
  7. Minimització: només cal implementar els elements necessaris en un sistema, i la informació tractada s’ha de limitar a l’estrictament necessària, aplicant els principis de minimització de superfície d’atac i de dades.
  8. Proporcionalitat: les mesures han de ser proporcionals al nivell de risc i al valor dels actius que protegeixen.
  9. Responsabilitat: cada actor (usuaris, responsables de servei, etc.) ha de ser conscient i responsable de la seguretat en el seu àmbit dactuació.
  10. Documentació: les mesures, els procediments i les decisions han d’estar documentades adequadament per assegurar la traçabilitat i facilitar auditories.

Entre els requisits organitzatius destaquen la “política de seguretat”, la “coordinació organitzativa”, i la “gestió de personal”, que cerca garantir que els rols i responsabilitats estiguin clarament definits i que els empleats estiguin degudament formats i conscienciats en matèria de ciberseguretat i seguretat de la informació.

Pel que fa als requisits operacionals, l’ENS exigeix ​​la implementació de mesures com ara la “gestió d’actius”, el “control d’accessos”, la “protecció davant del programari maliciós”, i la “gestió d’incidents de seguretat”. Es pot integrar amb la documentació del vostre certificat ISO.

Aquests controls busquen protegir els sistemes i la informació durant tot el cicle de vida.

Els requisits de protecció de l’ENS inclouen aspectes com ara:

  • Protecció de les comunicacions per assegurar la confidencialitat, integritat i disponibilitat de la informació, mitjançant xifratge, autenticació, control d’accés i vigilància, evitant accessos no autoritzats i manipulacions malicioses.
  • Còpies de seguretat. Garanteixen la disponibilitat i recuperació de la informació davant d’incidents, mitjançant procediments planificats, emmagatzematge segur, proves periòdiques i protecció davant d’accessos no autoritzats o pèrdues.
  • Protecció de la informació emmagatzemada. Assegura la seva confidencialitat, integritat i disponibilitat mitjançant xifratge, control d’accessos, auditories i mesures físiques i lògiques contra accessos no autoritzats o pèrdues.
  • Resiliència dels sistemes. Garanteix el seu funcionament davant de fallades o atacs, mitjançant redundància, plans de continuïtat, proves periòdiques i capacitat de recuperació ràpida per mantenir els serveis essencials.

El compliment de l’ENS no només permet minimitzar riscos i protegir els seus actius digitals, sinó que també constitueix un “requisit legal” per operar amb el sector públic. L’adopció de l’ENS es formalitza mitjançant una “declaració de conformitat” o una certificació emesa per una certificadora acreditada.

FAQs Esquema Nacional de Seguretat

Quina diferència hi ha entre ENS i ISO 27001?

Les diferències principals entre l’Esquema Nacional de Seguretat (ENS) i la ISO/IEC 27001 són:

  • Referent a l’àmbit i objectiu. L’ENS és un marc normatiu espanyol que regula la seguretat dels sistemes d’informació al sector públic i als proveïdors que manegen dades o serveis per a ell. Garantir la protecció de la informació en les administracions públiques i els seus proveïdors, complint les lleis espanyoles (principalment la Llei 40/2015 i el Reial decret 311/2022). És obligatori per a AA.PP. i empreses que hi presten serveis a Espanya.
    La norma ISO 27001 estableix els requisits per a un sistema de gestió de la seguretat de la informació (SGSI). Gestionar els riscos sobre la informació a qualsevol tipus d’organització, de qualsevol sector i país. És voluntari, aplicable quan vulgui certificar-ne la gestió de la seguretat de la informació.
  • Certificació. Per assolir el certificat ENS hi ha una auditoria específica i una declaració de conformitat o certificat de conformitat emès per entitats acreditades segons les categories del sistema.
    Per assolir el certificat ISO 27001 la certificadora ISO ha d’estar acreditada per entitats com ENAC, UKAS, etc.
  • Complementaris: complir amb ISO 27001 ajuda a complir amb ENS (tot i que no al 100%). Una estratègia és implantar ISO 27001 com a base i després ajusten allò necessari per a l’ENS de categoria Bàsica, Mitjana o Alta.

Principals factors de vulnerabilitat de la seguretat de la informació:

  • Manca d’actualització de sistemes: Els sistemes i aplicacions desactualitzats són un blanc fàcil per als hackers, que exploten vulnerabilitats conegudes per accedir a xarxes i dades sensibles.
  • Contrasenyes febles: L’ús de contrasenyes simples o la reutilització de les mateixes en múltiples comptes pot comprometre la seguretat de la teva empresa. Les contrasenyes segures i l’autenticació multifactorial són essencials.
  • Phishing i enganys: Els correus electrònics de phishing segueixen sent una de les tàctiques més efectives per enganyar els empleats i obtenir accés no autoritzat. La formació en ciberseguretat pot ajudar a identificar aquests atacs.
  • Accés no controlat: Permetre accés indiscriminat a dades i sistemes crítics augmenta el risc de filtracions. És crucial implementar polítiques de control daccés i permisos basats en rols.
  • Manca de cultura de seguretat: La seguretat informàtica no és només responsabilitat del departament de TI; tots els empleats han d’estar conscienciats i formats per protegir els actius digitals de l’empresa.

La Directiva NIS2, Directiva UE 2022/2555, sorgeix com a resposta a la necessitat de revisar i actualitzar la legislació europea vigent en matèria de ciberseguretat i amplia l’àmbit d’aplicació, dotant d’una major cobertura als sectors i serveis de major rellevància social i econòmica, considerant-los com a entitats essencials o importants, en funció del prestat.

Les empreses han de preparar-se per complir els requisits de la directiva, adaptant les seves polítiques de ciberseguretat als estàndards que ja estan definits a nivell europeu.