¿Qué es el Esquema Nacional de Seguridad (ENS)?
Contents
QUÉ ES EL ESQUEMA NACIONAL DE SEGURIDAD
El Esquema Nacional de Seguridad, conocido por sus siglas ENS, es un conjunto de reglas y medidas que establecen los principios que aseguran y regulan el acceso, integridad y uso de la información en medios electrónicos de las administraciones públicas. Ya sean estatales, autonómicas o locales, y las organizaciones privadas.
El objetivo del ENS es garantizar la seguridad de esta información y la privacidad de las personas que pueden verse afectadas por su utilización, especialmente si ésta es sensible o confidencial.
Para ello, establece medidas comunes en la implantación y uso de los medios electrónicos por las entidades públicas y las empresas que prestan servicios a las mismas. Con las que prevenir, detectar y responder a incidentes de ciberseguridad y generar las condiciones de confianza necesarias para que los ciudadanos usen estos medios.
PORQUÉ SURGE EL ENS
En los últimos años, la rápida transformación digital y el uso de las nuevas tecnologías por parte de los usuarios ha derivado en nuevas necesidades de seguridad. Tanto las entidades públicas como las organizaciones privadas que desarrollan proyectos con la administración, gestionan un gran volumen de información de los ciudadanos, que cada vez se ven más vulnerables con los ataques en línea. Ante este contexto, es fundamental ser capaz de ofrecer seguridad y disponibilidad a los usuarios para que accedan a sus datos de manera segura y transparente.
Con el fin de mantener la protección ante los riesgos internos y externos, existen cuatro principios para la seguridad de la tecnología de la información que deben ser abordados:
- La confidencialidad: este principio garantiza la disponibilidad de determinada información, fuente o sistema tan solo a las personas previamente autorizadas.
- La integridad: es el deber de mantener intacta la información de forma que se preserve su originalidad y confiabilidad, evitando incurrir en errores o modificaciones con su interpretación.
- La disponibilidad: hace referencia a la disponibilidad de los datos y sistemas para atender a las necesidades del usuario.
- La autenticidad: este principio es la garantía de la veracidad de autoría de la información.
Teniendo estas premisas nace el ENS, que está recogido en el Real Decreto 311/2022. Como resultado de una colaboración entre el Ministerio de la Presidencia, el Ministerio de Política Territorial y Administración Pública, el Centro Criptológico Nacional (CNN) y la participación de los organismos públicos.
PRINCIPALES OBJETIVOS DEL ESQUEMA NACIONAL DE SEGURIDAD
En línea con estos principios el Esquema Nacional de Seguridad en España ha fijado una serie de objetivos principales:
- Generar las condiciones necesarias de confianza para el uso de los medios electrónicos por parte de los ciudadanos en su relación con las Administraciones Públicas.
- Introducir elementos y metodologías comunes en materia de seguridad de las TI para las Administraciones Públicas.
- Ofrecer un lenguaje común para favorecer la interacción y los requerimientos en materia de seguridad para las diferentes Administraciones y la industria en su conjunto.
- Fomentar la gestión continua de la seguridad.
- Promover la prevención, detección y corrección para mejorar la resiliencia ante ciberamenazas y ciberataques.
- Servir como modelo de buenas prácticas.
PRINCIPIOS BÁSICOS DEL ESQUEMA ENS
Para poder alcanzar los objetivos marcados por el Esquema Nacional de Seguridad, este debe tener en cuenta un conjunto de principios básicos. Favoreciendo la correcta toma de decisiones en materia de seguridad de la información electrónica. Estos son:
Seguridad integral: abordar la seguridad de todo el sistema de la información. Es decir, los elementos técnicos, humanos, materiales y organizacionales que entran en juego en el manejo de los datos así como concienciar a las personas que intervienen de la importancia de garantizar dicha información.
Gestión de riesgos: es necesario realizar un análisis y gestión de riesgos continuo y actualizado, como parte de este proceso de seguridad.
Prevención, reacción y recuperación: la seguridad del sistema reside en conservar los datos en el medio electrónico, minimizar las posibles amenazas y que estas no afecten a la información que la entidad gestiona, a los servicios que presta. Para ello es necesario implantar medidas de prevención, de detección y de recuperación a los ciberataques.
Líneas de defensa: el sistema debe integrar varias capas de seguridad que permitan reaccionar ante un ataque ya materializado, reducir la posibilidad de que se comprometa el sistema en su conjunto y minimizar el impacto final.
Revaluación periódica: para asegurar la eficacia de estas medidas, es imprescindible evaluarlas y actualizarlas de forma periódica. De este modo, estas dan respuesta a la evolución o aparición de nuevos riesgos.
Función diferenciada: del mismo modo, es requisito fundamental la clara diferenciación entre los responsables y sus principales funciones. Tanto responsables de la información, como del servicio y de la seguridad.
De esta forma, el ENS da respuesta a una necesidad creciente e imprescindible en el entorno digital actual: garantizar la seguridad de la información y preservarla ante potenciales ataques cibernéticos.