Requisitos del Esquema Nacional de Seguridad - ENS

El Real Decreto 311/2022, regula el Esquema Nacional de Seguridad y la forma de obtener el certificado ENS. El Esquema Nacional de Seguridad (ENS) establece los principios y requisitos que deben cumplir las administraciones públicas y los proveedores del sector privado que manejan información o servicios digitales para dichas entidades, con el fin de garantizar la «seguridad de la información» en la administración electrónica.

Principios básicos del ENS

Los principios básicos del certificado ENS (Esquema Nacional de Seguridad) son:

  1. Seguridad integral. La seguridad debe considerarse de forma global, teniendo en cuenta personas, procesos, tecnologías, infraestructuras y el entorno organizativo.
  2. Gestión de riesgos. Las medidas de seguridad deben basarse en una evaluación continua de los riesgos, para poder priorizar actuaciones según el impacto y la probabilidad de las amenazas.
  3. Prevención, detección y corrección. El sistema de seguridad debe estar orientado a prevenir incidentes, pero también a detectarlos de forma temprana y a corregirlos eficazmente.
  4. Línea de defensa. Debe establecer un modelo de defensa en profundidad, aplicando medidas de seguridad en capas sucesivas para dificultar los ataques y minimizar su impacto.
  5. Reevaluación periódica. Los sistemas deben ser revisados regularmente para garantizar que las medidas de seguridad siguen siendo adecuadas frente a los riesgos y amenazas cambiantes.
  6. Función diferenciada: Debe existir una separación clara entre quienes usan los sistemas, quienes los gestionan y quienes auditan su funcionamiento, evitando conflictos de interés.
  7. Minimización: solo deben implementarse los elementos necesarios en un sistema, y la información tratada debe limitarse a la estrictamente necesaria, aplicando los principios de minimización de superficie de ataque y de datos.
  8. Proporcionalidad: las medidas deben ser proporcionales al nivel de riesgo y al valor de los activos que protegen.
  9. Responsabilidad: cada actor (usuarios, responsables de servicio, etc.) debe ser consciente y responsable de la seguridad en su ámbito de actuación.
  10. Documentación: las medidas, procedimientos y decisiones deben estar documentadas adecuadamente para asegurar la trazabilidad y facilitar auditorías.

Entre los requisitos organizativos destacan la «política de seguridad», la «coordinación organizativa», y la «gestión de personal», que busca garantizar que los roles y responsabilidades estén claramente definidos y que los empleados estén debidamente formados y concienciados en materia de ciberseguridad y seguridad de la información.

En cuanto a los requisitos operacionales, el ENS exige la implementación de medidas como la «gestión de activos», el «control de accesos», la «protección frente al software malicioso», y la «gestión de incidentes de seguridad». Se puede integrar con la documentación de su certificado ISO.

Estos controles buscan proteger los sistemas y la información durante todo su ciclo de vida.

Los requisitos de protección del ENS incluyen aspectos como:

  • Protección de las comunicaciones para asegurar la confidencialidad, integridad y disponibilidad de la información, mediante cifrado, autenticación, control de acceso y vigilancia, evitando accesos no autorizados y manipulaciones maliciosas.,
  • Copias de seguridad. Garantizan la disponibilidad y recuperación de la información ante incidentes, mediante procedimientos planificados, almacenamiento seguro, pruebas periódicas y protección frente a accesos no autorizados o pérdidas.
  • Protección de la información almacenada. Asegura su confidencialidad, integridad y disponibilidad mediante cifrado, control de accesos, auditorías, y medidas físicas y lógicas contra accesos no autorizados o pérdidas.
  • Resiliencia de los sistemas. Garantiza su funcionamiento ante fallos o ataques, mediante redundancia, planes de continuidad, pruebas periódicas y capacidad de recuperación rápida para mantener los servicios esenciales.

El cumplimiento del ENS no solo permite minimizar riesgos y proteger sus activos digitales, sino que también constituye un «requisito legal» para operar con el sector público. La adopción del ENS se formaliza mediante una «declaración de conformidad» o una certificación emitida por una certificadora acreditada.

FAQs Esquema Nacional de Seguridad

¿Qué diferencia hay entre ENS e ISO 27001?

Las principales diferencias entre el Esquema Nacional de Seguridad (ENS) y la ISO/IEC 27001 son:

  • Referente al ámbito y objetivo. El ENS es un marco normativo español que regula la seguridad de los sistemas de información en el sector público y en proveedores que manejan datos o servicios para él. Garantizar la protección de la información en las Administraciones Públicas y sus proveedores, cumpliendo las leyes españolas (principalmente la Ley 40/2015 y el Real Decrteto 311/2022). Es obligatorio para AA.PP. y empresas que prestan servicios a ellas en España.
    La norma ISO 27001 establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). Gestionar los riesgos sobre la información en cualquier tipo de organización, de cualquier sector y país. Es voluntario, aplicable cuando quiera certificar su gestión de la seguridad de la información.
  • Certificación. Para lograr el certificado ENS hay una auditoría específica y una declaración de conformidad o certificado de conformidad emitido por entidades acreditadas según las categorías del sistema.
    Para lograr el certificado ISO 27001 la certificadora ISO debe estar acreditada por entidades como ENAC, UKAS, etc.
  • Complementarios: cumplir con ISO 27001 ayuda a cumplir con ENS (aunque no al 100%). Una estrategia es implantar ISO 27001 como base y después ajustan lo necesario para el ENS de categoría Básica, Media o Alta.

Principales factores de vulnerabilidad de la seguridad de la información:

  • Falta de actualización de sistemas: Los sistemas y aplicaciones desactualizados son un blanco fácil para los hackers, que explotan vulnerabilidades conocidas para acceder a redes y datos sensibles.
  • Contraseñas débiles: El uso de contraseñas simples o la reutilización de las mismas en múltiples cuentas puede comprometer la seguridad de tu empresa. Las contraseñas seguras y la autenticación multifactorial son esenciales.
  • Phishing y engaños: Los correos electrónicos de phishing siguen siendo una de las tácticas más efectivas para engañar a los empleados y obtener acceso no autorizado. La formación en ciberseguridad puede ayudar a identificar estos ataques.
  • Acceso no controlado: Permitir acceso indiscriminado a datos y sistemas críticos aumenta el riesgo de filtraciones. Es crucial implementar políticas de control de acceso y permisos basados en roles.
  • Falta de cultura de seguridad: La seguridad informática no es solo responsabilidad del departamento de TI; todos los empleados deben estar concienciados y formados para proteger los activos digitales de la empresa.

La Directiva NIS2, Directiva UE 2022/2555, surge como respuesta a la necesidad de revisar y actualizar la legislación europea vigente en materia de ciberseguridad y amplía el ámbito de aplicación, dotando de una mayor cobertura a los sectores y servicios de mayor relevancia social y económica, considerándolos como entidades esenciales o importantes, en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado.

Las empresas deben prepararse para cumplir con los requisitos de la directiva, adaptando sus políticas de ciberseguridad a los estándares que ya están definidos a nivel europeo.