Esquema Nacional de Seguridad

¿Qué es el Esquema Nacional de Seguridad?

El Esquema Nacional de Seguridad (ENS) fue establecido en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, Con los objetivos de asegurar el acceso, la integración, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionan en el ejercicio de sus competencias.

Además de la obligatoria aplicación para las Administraciones públicas, también las empresas del sector privado que prestan servicios a entidades del estado deberán ejecutar los requisitos del ENS. De este modo, esta norma amplía su rango de actuación, ya que añade el área privada en su nueva regulación y no solo se centra en la esfera pública.

Por ende, se hace indispensable contactar con consultores y auditores en protección de datos como Auditaris, que, con su honestidad y pasión como valores a la hora de abordar la privacidad de la información, ha logrado la confianza de muchas empresas que han apostado por sus servicios.

¿Cuáles son los objetivos del ENS?

Nacido para establecer aspectos y metodologías comunes relativas a la seguridad en la implantación y utilización de los medios electrónicos, el ENS tiene como objetivos principales crear condiciones de confianza en el uso del ámbito digital que permita a la ciudadanía y a las Administraciones públicas, el desempeño de los derechos y el cumplimiento de los deberes a través de estos formatos.

Además de incluir elementos y metodologías comunes que guíen la actuación de las entidades públicas en materia de seguridad de las tecnologías de la información y colaborar en fijar un lenguaje común para ayudar en la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.

¿Es obligatorio el ENS?

Asimismo, el cumplimiento del Esquema Nacional de Seguridad es una obligación legal que aporta a las empresas algunos beneficios como la mejoría en la seguridad de la información, aceptación dentro de las normas, aumento de la confianza por parte de los clientes y prolonga un marco común en el que se instaura un enfoque global sobre la seguridad de los datos.

Por otro lado, el salirse de estas directrices puede suponer sanciones económicas mediante multas, que la imagen de la organización se vea dañada y la no inclusión en concursos donde aparezca la Administración pública.

Para no caer en las posibles irregularidades legales, Auditaris, que cuenta con una trayectoria consolidada con clientes satisfechos durante décadas, permite a las empresas regirse dentro de la ley porque trabaja este aspecto de manera minuciosa y enseña las acciones pertinentes para adecuarse al ENS.

Fases del Esquema Nacional de Seguridad

Por tanto, las fases necesarias de este proceso son preparar y aprobar la Política de Seguridad de la Información (PSI) y la Normativa Interna, incluyendo la definición de roles y la asignación de responsabilidades a los mismos, atender a criterios adicionales de organización de seguridad si se trata de sistemas que manejan información clasificada y analizar y categorizar los sistemas de información, atendiendo a la valoración de los datos manejados, teniendo en cuenta si incluye información de carácter personal y la valoración de los servicios prestados.

Además de estos pasos, también se ha de preparar la Declaración de Aplicabilidad Inicial de las medidas del Anexo II del ENS atendiendo, si procede, a determinado Perfil de Cumplimiento al que pueda adscribirse los sistemas de información, desarrollar un Análisis de Riesgos.

A fin de verificar las medidas de seguridad derivadas de la Declaración de Aplicabilidad Inicial son adecuadas y suficientes y la obtención de la Declaración de Aplicabilidad definitiva e iniciar acciones tendentes a la implantación del resto de las medidas exigidas para el nivel de seguridad y la categoría de seguridad definidas.

Tanto la suma de estas medidas como su instauración, puede parecer un proceso complicado y arduo si no se cuenta en su cercanía con empresas que se dedican a facilitar el lenguaje de la protección de datos como Auditaris, que trabaja con entidades del ámbito privado y público.

El apoyarse en este tipo de instituciones es una gran opción porque simplifican un idioma que puede resultar técnico y permite a las organizaciones centrar sus esfuerzos en otros aspectos comerciales dentro de un mercado global que no perdona ni un minuto.

¿Cómo conseguir la Conformidad del ENS?

Por último, para obtener la Conformidad con el Esquema Nacional de Seguridad, es necesaria la Certificación de Conformidad, que es válida para todas las todas las categorías del sistema (básica, media y alta) y debe ser emitida por una organización independiente acreditada ante la Entidad Nacional de Acreditación después de un proceso de auditoría externa y si la empresa es de categoría básica además tendrá que validar la Declaración de Conformidad, basada en un proceso de autoevaluación o auditoría interna.

Desde su emisión, la Certificación de Conformidad con el ENS tiene una vigencia de dos años, aunque, por su parte, la Guía CCN-STIC 809 insta la conveniencia de realizar auditorías internas con una periodicidad anual. Este proceso de autoevaluación para la Declaración de Conformidad se realiza, al menos, cada dos años con carácter ordinario y con carácter extraordinario cada una de las veces que se produzcan cambios sustanciales en los sistemas de información que puedan repercutir en las medidas de seguridad requeridas.

Esperamos que este artículo sobre el Esquema Nacional de Seguridad te haya sido de utilidad. Recuerda que Auditaris aporta un valor añadido a cada parte del proceso de adaptación de los protocolos de protección de datos personales. Podrás contratar y disfrutar de todos los servicios que ofrecemos. Contacta con nosotros.

Compártelo:

Facebook
Twitter
Pinterest
LinkedIn

Deja un comentario

cinco + 1 =

AUDITARIS

Noticias relacionadas

phishing

¿Qué es el phishing?

El phishing es una técnica que se basa en el envío de correos electrónicos o mensajes en los que se suplantan las identidades de empresas

Volver
Llamar
WhatsApp
Ubicación
Formulario