Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad.
El Esquema Nacional de Seguridad (ENS) establece los principios y requisitos que deben cumplir las administraciones públicas y los proveedores del sector privado que manejan información o servicios digitales para dichas entidades, con el fin de garantizar la «seguridad de la información» en la administración electrónica.
El ENS se basa en una serie de «principios básicos», como la seguridad integral, la gestión de riesgos, la prevención, la detección, la corrección, y la mejora continua. A partir de estos principios, se definen una serie de «requisitos de seguridad», organizados en tres grandes bloques: **organizativos, operacionales y de protección**.
Entre los requisitos organizativos destacan la «política de seguridad», la **coordinación organizativa**, y la **gestión de personal**, que busca garantizar que los roles y responsabilidades estén claramente definidos y que los empleados estén debidamente formados y concienciados en materia de ciberseguridad.
En cuanto a los requisitos operacionales, el ENS exige la implementación de medidas como la **gestión de activos**, el **control de accesos**, la **protección frente al software malicioso**, y la **gestión de incidentes de seguridad**. Estos controles buscan proteger los sistemas y la información durante todo su ciclo de vida.
Por último, los requisitos de protección incluyen aspectos como la **protección de las comunicaciones**, la **copia de seguridad**, la **protección de la información almacenada**, y la **resiliencia de los sistemas**.
El cumplimiento del ENS no solo permite a las organizaciones minimizar riesgos y proteger sus activos digitales, sino que también constituye un **requisito legal** para operar con el sector público. La adopción del ENS se formaliza mediante una **declaración de conformidad** o una **certificación** emitida por un auditor acreditado.
Principios básicos del ENS
Los principios bássicos en que se basa el «Esquema Nacional de Seguridad» (ENS) son:
- Seguridad integral. La seguridad debe considerarse de forma global, teniendo en cuenta personas, procesos, tecnologías, infraestructuras y el entorno organizativo.
- Gestión de riesgos. Las medidas de seguridad deben basarse en una evaluación continua de los riesgos, para poder priorizar actuaciones según el impacto y la probabilidad de las amenazas.
- Prevención, detección y corrección. El sistema de seguridad debe estar orientado a prevenir incidentes, pero también a detectarlos de forma temprana y a corregirlos eficazmente.
4. **Línea de defensa**: se debe establecer un modelo de defensa en profundidad, aplicando medidas de seguridad en capas sucesivas para dificultar los ataques y minimizar su impacto.
5. **Reevaluación periódica**: los sistemas deben ser revisados regularmente para garantizar que las medidas de seguridad siguen siendo adecuadas frente a los riesgos y amenazas cambiantes.
6. **Función diferenciada**: debe existir una separación clara entre quienes usan los sistemas, quienes los gestionan y quienes auditan su funcionamiento, evitando conflictos de interés.
7. **Minimización**: solo deben implementarse los elementos necesarios en un sistema, y la información tratada debe limitarse a la estrictamente necesaria, aplicando los principios de minimización de superficie de ataque y de datos.
8. **Proporcionalidad**: las medidas deben ser proporcionales al nivel de riesgo y al valor de los activos que protegen.
9. **Responsabilidad**: cada actor (usuarios, responsables de servicio, etc.) debe ser consciente y responsable de la seguridad en su ámbito de actuación.
10. **Documentación**: las medidas, procedimientos y decisiones deben estar documentadas adecuadamente para asegurar la trazabilidad y facilitar auditorías.