Inforges, como entidad privada que colabora con el Sector Público en la prestación de servicios y en el suministro de tecnología, ha obtenido el Certificado del Esquema Nacional de Seguridad ENS. ¿Qué no sabes lo que es ENS? En este artículo, te contamos qué es el Esquema Nacional de Seguridad y sus beneficios, tanto para empresas como para el ciudadano.
En un mundo cada vez más complejo y globalizado, la protección contra las ciberamenazas cobra cada vez mayor importancia en la transformación digital del Sector Público. Por esta razón, esta debe ir acompañada de medidas técnicas y organizativas que protejan los servicios y los datos.
Estas medidas van enfocadas a proteger a la Administración Digital frente a los riesgos provocados por atacantes y/o amenazas, acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres.
Todos los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información vienen recogidos en el Esquema Nacional de Seguridad.
¿Qué es el Esquema Nacional de Seguridad ENS?
El Esquema Nacional de Seguridad ofrece un marco común de principios básicos, requisitos y medidas de seguridad para una protección adecuada de la información tratada y los servicios prestados por todo el Sector Público, así como a los proveedores que colaboran con la Administración, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
La adaptación al ENS de una organización, pública o privada, lleva consigo no solo la implantación de todas las medidas y disposiciones, sino su mantenimiento.
Es importante destacar que no se certifica la organización, se certifican su sistema de Información que soporta los servicios y la información que estos tratan.
¿Quién debe tener la certificación según el Esquema Nacional de Seguridad?
Los organismos que deben cumplir con el Esquema Nacional de Seguridad son:
Administraciones Públicas españolas
La administración General del Estado, Las Comunidades Autónomas y Las Administraciones Locales
Entidades vinculadas o dependientes de las Administraciones Públicas
Por ejemplo: Hospitales, Universidades, Entidades sin ánimo de lucro, etc., entidades que puedan manejar información personal y efectúen trámites electrónicos.
Proveedores de servicios y productos tecnológicos de las Administraciones Públicas.
Por ejemplo, empresas tecnológicas de desarrollo de software, servicios cloud, mantenimiento de sistemas, servicios de nóminas, contabilidad, etc.
Dimensiones de seguridad que establece el ENS
Si una organización quiere certificarse, cada uno de los servicios e información involucrada en la prestación de los mismos debe ser valorada en 5 dimensiones que establece el ENS:
- Confidencialidad
- Integridad
- Trazabilidad
- Autenticidad
- Disponibilidad
Niveles de seguridad: BAJO, MEDIO o ALTO
A cada dimensión de seguridad afectada se aplicarán niveles de seguridad: BAJO, MEDIO o ALTO dependiendo de si las consecuencias de un incidente de seguridad suponen un perjuicio limitado, grave o muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
| NIVEL ALTO | NIVEL MEDIO | NIVEL BAJO |
| MUY GRAVE | GRAVE | LIMITADO |
Categorías de sistemas en el ENS
El Esquema Nacional de Seguridad establece tres categorías de seguridad para los sistemas de información: BÁSICA, MEDIA y ALTA.
ENS Categoría ALTA
Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
ENS Categoría MEDIA
Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO y ninguna alcanza un nivel superior.
ENS Categoría BÁSICA
Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO y ninguna alcanza un nivel superior.
El proceso de determinación de niveles y categorías se establece en el Anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Beneficios del Esquema Nacional de Seguridad para las empresas
Obtener la certificación en el Esquema Nacional de Seguridad supone para las empresas:
Cumplimiento con los requisitos legales para las Administraciones Públicas.
El ENS es un requisito legal para los sistemas de información de las administraciones públicas en España, por lo tanto, cumplir con el ENS implica cumplir con obligaciones legales y evitar posibles sanciones.
Proporcionar confianza a las Administraciones Públicas, Empresas del Sector Privado y a los ciudadanos.
Disponer del certificado ENS puede ser un factor decisivo cuando un cliente decide contratar nuestros servicios o productos, ya que estamos avalando de que sus datos están siendo tratados de manera adecuada y segura. Además, proporciona confianza a los ciudadanos en el tratamiento de sus datos.
Incrementar las oportunidades de acceso a la venta de servicios a la Administración Pública.
Al cumplir con los requerimientos de las licitaciones de las administraciones públicas en los que se exija el cumplimiento con el Esquema Nacional de Seguridad (ENS).
Mejorar la reputación.
Ya que demuestra nuestro compromiso con la seguridad y la calidad en la gestión de la información. Contar con el ENS es garantía de productos certificados y de calidad.
Beneficios del del Esquema Nacional de Seguridad para los ciudadanos
Para los ciudadanos, destinatarios últimos del servicio público, supone la garantía de que las entidades públicas con las que se relacionan reúnen las condiciones de seguridad necesarias para salvaguardar su información y sus derechos.
INFORGES obtiene el Certificado del Esquema Nacional de Seguridad (ENS) en la categoría MEDIA
Cuando un operador privado quiera prestar servicios o proveer de soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberá estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.
Por ello, INFORGES, como empresa dedicada a la prestación de servicios tecnológicos, asumiendo su compromiso con la seguridad de la información y con el fin de ofrecer a todos sus grupos de interés las mayores garantías en torno a la seguridad de la información utilizada, ha obtenido el Certificado del Esquema Nacional de Seguridad (ENS), categoría MEDIA.
Con la nueva certificación del Esquema Nacional de Seguridad (ENS), INFORGES está en disposición de participar en aquellas licitaciones de servicios con las Administraciones Públicas en los que se exija el cumplimiento con el Esquema Nacional de Seguridad (ENS) y la evidencia de tal conformidad.
ISO 27001 y ENS, la combinación perfecta para la ciberseguridad
Este año, además, Inforges se ha certificado en la ISO 27001, el principal referente en todo el mundo para garantizar las buenas prácticas en la seguridad de la información en las empresas. Al certificarnos en la ISO 27001, ya teníamos parte del camino recorrido para lograr su conformidad con el ENS.
Estas certificaciones, se suman a las ya obtenidas anteriormente ISO 9001:2015, de Sistema de Gestión de Calidad, e ISO 14.001, de Gestión Medioambiental.
En la era de la transformación digital, elegir un proveedor de servicios certificado con la ISO 27001 y que cumpla con el Esquema Nacional de Seguridad es mucho más que una elección, es vital para garantizar la seguridad de los datos. Ambas certificaciones son la combinación perfecta para tener una mejor gestión de la ciberseguridad, sin perder nunca el foco en la mejora continua del control de riesgos y amenazas.
La importancia de estas certificaciones para el sector tecnológico es incuestionable, podríamos resumirla en seguridad y prestigio en el mercado ante competidores, proveedores, clientes y futuros clientes.
Preguntas Frecuentes sobre ENS Esquema Nacional de Seguridad
Como empresa proveedora de entidades públicas, ¿qué me aporta certificar mis sistemas en el ENS?
Tu empresa estará en disposición de participar en licitaciones de servicios con las Administraciones Públicas en los que se exija el cumplimiento con el ENS y la evidencia de tal conformidad.
¿Qué son los roles del ENS?
Los roles del ENS son los asumidos por las personas responsables de velar por su cumplimiento. Concretamente, se diferenciará:
- Responsable del servicio: determinará los requisitos de los servicios prestados.
- Responsable de la información: determinará los requisitos de la información tratada.
- Responsable de la seguridad: determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos, y reportará sobre estas cuestiones al Comité de Seguridad de la Información.
- Responsable del sistema: se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo.
¿Cuál es la normativa que regula el ENS?
El Esquema Nacional de seguridad está regulado específicamente por la siguiente normativa:
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
- Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
- Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción de Seguridad de conformidad con el Esquema Nacional de Seguridad.
- Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
- Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
La relación de otra normativa relacionada con la ciberseguridad en España puede consultarse en el Código de Derecho de la Ciberseguridad editado por el BOE.
