La urgente necesidad de implantar el ENS

En esta nueva entrada de nuestro blog vamos a comenzar una nueva andadura formativa sobre el Esquema Nacional de Seguridad. Para todos aquellos que desconozcáis lo que es el ENS o Esquema Nacional de Seguridad, es una normativa española que se centra en proveer de confianza a los mecanismos electrónicos de la Administración Pública del estado español.

Con la obligatoriedad de las AAPP de ofrecer los servicios de manera electrónica se puede generar una desconfianza por parte de la ciudadanía sobre esos nuevos medios para interactuar con la administración y esto ha motivado la creación del ENS.

Las entidades obligadas a cumplir el ENS son todas las administraciones públicas, sin excepción, y todas las empresas que ofrezcan algún servicio relacionado con la información, o que necesiten o utilicen datos de la administración. Para empresas del sector privado que no estén obligadas a cumplir con el esquema, el certificarse es una buena publicidad, y ayudará en futuras licitaciones.

Por lo tanto, el ENS se encarga determinar una serie de principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

En la captura se pueden ver los 3 grandes bloques que se plantean para proteger los sistemas de las AAPP según su categoría:

  • Marco organizativo: Son un conjunto de medidas relacionadas con la organización de la seguridad. Se definen las políticas de seguridad, las normativas de seguridad, los procedimientos de seguridad y los procesos de autorización.
  • Marco operacional: Está constituido por las medidas a tomar para proteger la operación del sistema como conjunto de componentes para llevar a cabo un fin. En función de la categoría que tenga el sistema, se deben tomar unas medidas más profundas o más superficiales.
  • Medidas de protección: Este apartado se encarga de proteger los activos concretos, según el nivel de seguridad que aplique se deben aplicar unas medidas u otras.

Mas adelante, en nuevos posts explicaremos el sistema de categorización que se debe seguir para conocer qué medidas tomar concretamente.

El Centro Criptológico Nacional (CCN) es el organismo encargado de proveer de información sobre qué hay que hacer y cómo hay que hacerlo, para este fin pone a nuestra disposición una serie de guías que van a hacer de este proceso algo mucho más sencillo y estructurado. De entre todas las guías que ofrece el CCN la serie CCN-STIC 800 son las encargadas de definir los procesos del ENS, estas guías se pueden encontrar aquí.

Dentro de la web del CCN también puedes encontrar guías para “securizar” cualquier tecnología que se pueda tener en una empresa u organismo público, desde dispositivos móviles, redes wifi, infraestructuras virtuales, sistemas operativos privativos y abiertos, etc. Todas estas guías pueden sernos de mucha utilidad para crear un entorno seguro y confiable dentro nuestra infraestructura TI.

En futuras entradas describiremos algunos de los procesos que se tienen que llevar a cabo para cumplir lo exigido en el ENS.