Esquema Nacional de Seguridad

¿Qué es el Esquema Nacional de Seguridad (ENS)? 

El Esquema Nacional de Seguridad es un Sistema de Gestión de la Seguridad de la Información que requiere que las administraciones públicas lleven a cabo verificaciones periódicas para asegurar que el sistema implantado funciona correctamente y cumple las medidas para garantizar la información.  

Este Esquema Nacional de Seguridad tiene como objetivo la creación de una política de privacidad, cuando de medios electrónicos se trata. Éste esquema Nacional de Seguridad se forma por principios básicos de requisitos de seguridad, así como unos requisitos mínimos que crean, en su conjunto, una protección debidamente correcta de dicha información y hacen por cumplir con una protección adecuada de datos. 

Esquema Nacional de Información

¿Qué tipos de certificación del Esquema Nacional de Seguridad están disponibles? 

Cuando las organizaciones del sector privado presten servicios o provean soluciones a las entidades públicas, a las que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir:  

  • La correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad (cuando se trate de sistemas de categoría BÁSICA). 
  • La Certificación de Conformidad con el Esquema Nacional de Seguridad (obligatoriamente, cuando se trate de sistemas de categorías MEDIA o ALTA, y de aplicación voluntaria en el caso de sistemas de categoría BÁSICA) 

¿Qué es la Declaración de Conformidad con el Esquema Nacional de Seguridad?  

Únicamente válido para sistemas de categoría Básica, AUDERTIS puede emitir y firmar, tras superar la oportuna evaluación,  la  Declaración de Conformidad, conforme a la estructura detallada en el Anexo A de la guía técnica CCN-STIC- 809, en caso de delegación.  

También se le proporcionará el Distintivo de Declaración de Conformidad, incluyendo un enlace a la Declaración de Conformidad visible en su página web y otro enlace de validación a la web de la Entidad de Certificación para verificar su vigencia. 

¿Cómo es el proceso de Certificación acreditada?

En primer lugar se solicita una oferta en la que se le requerirán datos relacionados con su Sistema de Gestión de Seguridad de la Información, algunos aspectos importantes para poder estimar el tiempo de auditoría son:  

  • Dispone de un Sistema de Gestión de la seguridad de la información de acuerdo con ISO 27001
  • Centralización de su Sistema de Gestión de la información
  • Número de empleados de la organización

En función de estos datos, se emite una oferta en la que se explica el proceso de certificación que normalmente se realiza en una única fase y en la que un auditor especialista en seguridad de la información y específicamente en su sector, verificará que todas las medidas de seguridad del Anexo II están implantadas en su organización.  

En el caso de que se detecten “No Conformidades” se presentarán las acciones correctivas adecuadas para su corrección y tratamiento. Todo ello se reflejará en un informe en el que se realizará la recomendación de la certificación.

¿Cada cuánto se realizan las auditorias? 

A priori son bienales. 

El Esquema Nacional de Seguridad recoge 75 medidas de seguridad 

  1. En el marco organizativo, relacionado con las medidas establecidas para la organización global de la seguridad encontramos 4 medidas: 
  • Política de seguridad
  • Procedimientos de seguridad
  • Normativas de seguridad
  • Proceso de autorización
     2. En el marco operacional, formado por las medidas que se han de tomar para proteger las operaciones del sistema, el Esquema Nacional de Seguridad aplica 30 medidas de las cuales cabe destacar:
  • Planificación
  • Control de acceso
  • Explotación
  • Servicios externos
  • Continuidad del Servicio
  • Monitorización del sistema
     3.Según la naturaleza de los activos, se tomarán las siguientes medidas de protección atendiendo a cada dimensión de seguridad requerido. Aplican en este punto 40 medidas,           de las cuales destacamos: 
  • Instalaciones e infraestructuras
  • Gestión del personal
  • Protección de los equipos
  • Protección de comunicaciones
  • Protección de soportes de información
  • Protección de aplicaciones informáticas
  • Protección de la información
  • Protección de los servicios

¿A quién afecta el Esquema Nacional de Seguridad? 

El Esquema Nacional de Seguridad es de obligado cumplimiento para las entidades públicas que tengan relación con el ciudadano en diferente grado según la criticidad de los datos manejados. Pero también, a todas las empresas que gestionan información y sean contratistas de la Administración Publica. 

Ejemplos de empresas que han de cumplir con el Esquema Nacional de Seguridad: Administración General del Estado, administraciones de las Comunidades Autónomas, entidades que integran la Administración local y entidades de derecho público.  

¿Cuándo debe aplicarse el Esquema Nacional de Seguridad?

El Real Decreto 3/2010, del 8 de enero,  con el cual se aprobó la Ley 11/2007, del 22 de junio, - en la que se da acceso electrónico de los ciudadanos a las empresas de los Servicios Públicos -articula un mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad de manera que los sistemas de las administraciones deberán estar adecuados a este Esquema Nacional de Seguridad en unos plazos en ningún caso superiores a 48 meses desde la entrada en vigor del mismo.

El plazo de adecuación ha vencido el 30 de enero de 2014.  El Real Decreto 951/2015, del 23 de octubre, de modificación del anterior RD establece que los sistemas deberán adecuarse a lo dispuesto en un plazo de veinticuatro meses (5 de noviembre de 2017).

¿Por qué certificar el Esquema Nacional de Seguridad con Lloyd´s Register? 

Lloyd's Register es el proveedor líder mundial de servicios de auditoría independiente, incluyendo la certificación, validación, verificación y formación a través de una amplia gama de normas y esquemas, con el reconocimiento de más de 50 organismos de acreditación.  

Lloyd´s Register forma parte de Lloyd's Register Group Limited, una organización global con la misión de proteger la vida y la propiedad, la educación e investigación avanzada en el transporte e ingeniería.  

Lloyd´s Register trabaja en más de 120 países, y es capaz de proporcionar servicios coordinados en todo el mundo para clientes multinacionales.  Para más información sobre nuestros productos y servicios, envíe un correo electrónico a consultas@lrqa.com o visite www.lrqa.es.