Vamos a empezar diciendo qué es. Es una norma de ciberseguridad (actualmente a la espera de una revisión), es decir que se aplica para la protección de los servicios informáticos.
Están directamente obligados los entes públicos a que dispongan de sistemas de tramitación electrónica que proporcionen servicios al ciudadano. Estos servicios son del tipo:
Por el contrario, los servicios internos dedicados a otros fines, como por ejemplo la contabilidad o la nómina, no estarían sujetos al ENS por dar servicio a los propios funcionarios y contratados, y no al ciudadano en general.
Sí inicialmente, pero si tu entidad se encuadra en alguno de los siguientes supuestos, también le aplica:
Las categorías atienden al principio de proporcionalidad, así en función de la naturaleza de la información que se maneja, de los servicios que se prestan y de los riesgos a los que están expuestos en función del impacto que tendría un incidente que afectara a la seguridad de la información o los servicios, en alguna de las dimensiones de seguridad ENS: autenticación, integridad, confidencialidad, disponibilidad y trazabilidad (Anexo I del ENS).
Este impacto se mide atendiendo:
Y luego en función de la criticidad de los sistemas, se les exigirá una determinada categoría Así será baja si el perjuicio es limitado; será media si el perjuicio es grave y alta si el perjuicio es muy grave. Conllevan diferentes exigencias en los controles, siendo certificables estas dos últimas.
En este sentido no partimos de cero. Están a disposición pública la metodología de gestión de riesgos Magerit (1) y la herramienta Pilar para su gestión (incluimos los vínculos de acceso a los repositorios oficiales).
Según el documento Preguntas frecuentes (FAQ) de ENS serían:
Identificar la información y los servicios, lo que conlleva:
Son los activos de los que dependerán los servicios, que pueden ser entre otros:
Espero, en estas breves líneas, haber puesto un poco de luz en lo que implica y en qué se basa la norma Esquema Nacional de Seguridad, al que nos hemos referido por ENS.
Si has llegado hasta aquí, ya conoces los pasos a realizar. Pero para ser sincero, nos ha quedado uno en tintero: la medida de la eficacia de los controles. Te recomendamos que uses alguna herramienta para hacer un seguimiento continuo y detectar aquellos controles y riesgos en situación anómala y así poder corregirlos. Si no aún no usas ninguna, te recomendamos la nuestra: CiberCumplimiento. Y si lo quieres enfocar a través de la ISO 27001 o ISO 27701 también te podemos ayudar.
En Grupo Cibernos somos expertos en realizar la consultoría-implantación previa a la certificación. Puedes solicitar información a través de este formulario de contacto.
Nota 1. Una información más completa de las prácticas europeas habituales en Gestión de Riesgos para las AALL puede consultarse aquí.
Nota 2. Información de ayuda para definir la política de seguridad en el Anexo II del ENS.
Nota 3. Las categorías se aplican a sistemas y no a empresas,, así como el certificado correspondiente.