Skip to content

El Esquema Nacional de Seguridad, qué es y cómo te afecta

adecua tu seguimiento del compliance según el ens

El desarrollo vertiginoso devenido de las nuevas Tecnologías de la Información y Comunicación, ha provocado que el actual escenario de la seguridad se haya transformado por completo durante el último siglo.

La imparable y veloz evolución de dichas tecnologías, ha incrementado también los riesgos a los cuales estamos expuestos todos los actores del ciberespacio.

Esta nueva realidad ha forzado al Sector Público a intervenir para garantizar el uso adecuado de las herramientas tecnológicas para satisfacer los principios de eficacia, eficiencia y seguridad que los servicios públicos demandan, en beneficio último de los ciudadanos y de los intereses nacionales.

Sin embargo no es solo el Sector Público, sino también otras organizaciones, como veremos más adelante, quienes deberán proteger a través de este Esquema Nacional de Seguridad sus sistemas de información.

 

¿QUÉ ES EL ESQUEMA NACIONAL DE SEGURIDAD?

El Esquema Nacional de Seguridad se trata de una Ley interna española actualmente regulado a través del Real Decreto 3/2010, de 8 de enero, por el que se establece el Esquema Nacional de Seguridad en el ámbito de la administración electrónica; regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

El Esquema Nacional de Seguridad persigue garantizar que las administraciones públicas y las organizaciones que estén obligadas a implantarlo, custodien la información que gestionan a través de sus sistemas de información, en el ejercicio de sus funciones, sin incidentes, interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.

De la implantación del Esquema Nacional de Seguridad destaca la visión integral de la seguridad, así como el énfasis en todas aquellas actividades que se pueden realizar para mejorar la seguridad de la información.

 

¿DÓNDE SE ENCUENTRA REGULADO?

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos fue la primera en establecer el Esquema Nacional de Seguridad en su artículo 42.

Con posterioridad se aprobó el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.  Después, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.

En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Tal y como describe Luis Jiménez, subdirector del Centro Criptológico Nacional, en estas actividades reguladas en la norma se destacan: “el acceso ilegal a un sistema de información, la interferencia ilegal en los sistemas de información, la interferencia ilegal en los datos, la interceptación ilegal de datos informáticos o el abuso de los dispositivos mediante la producción, distribución, obtención para su utilización, importación u otra forma de puesta a disposición o posesión de dispositivos para el uso indebido de los sistemas informáticos”. (TICBeat, (19/01/2018), Business Insider, https://www.businessinsider.es/esquema-nacional-seguridad-como-protege-185880)

 

¿QUIÉN ESTÁ OBLIGADO A TENERLO?

Están obligadas a cumplir con el Esquema Nacional de Seguridad la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y las entidades de derecho público vinculadas o dependientes de las mismas (universidades, hospitales, órganos colegiados…).

Así mismo, también deben contemplar el cumplimiento del Esquema Nacional de Seguridad aquellas empresas en quienes las Administraciones Públicas tercericen la prestación de servicios que se presten a través de la utilización de medios electrónicos.

 

CARACTERÍSTICAS Y ESTRUCTURA

El Esquema Nacional de Seguridad se encuentra conformado por 10 capítulos, 4 disposiciones adicionales, 1 disposición transitoria, 1 disposición derogatoria, 3 disposiciones finales y 5 anexos.

Entre los elementos principales del Esquema Nacional de Seguridad se destacan los siguientes:

  • Los principios básicos a considerar en las decisiones en materia de seguridad.
  • Los requisitos mínimos que permitan una protección adecuada de la información.
  • El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.
  • Las comunicaciones electrónicas.
  • La auditoría de la seguridad.
  • La respuesta ante incidentes de seguridad.
  • La categorización de los sistemas.
  • La certificación de la seguridad.
  • La conformidad.

Por otro lado, las 75 medidas que se contemplan dentro del Esquema tienen la función de orientar el cumplimiento respecto a los principios básicos y requisitos mínimos. Estas se engloban dentro de tres principales marcos: organizativo, operacional y de protección.

El organizativo, donde se distinguen cuatro pilares fundamentales: política, normativa y procedimientos de seguridad, así como los procesos de autorización necesarios para garantizar la protección de la información.

Es en el marco operacional, donde se plantean 31 medidas para la planificación, el control de acceso, la monitorización de los sistemas o aquellas herramientas necesarias para garantizar la continuidad de todos los servicios públicos, pase lo que pase en caso de ataque.

Por último, dentro del marco de protección se recogen 40 medidas, que se centran en proteger activos concretos con planteamientos específicos que van desde las aplicaciones hasta las infraestructuras e instalaciones, pasando por la gestión del personal o las comunicaciones.

La implantación y adaptación del Esquema Nacional de Seguridad en una organización no es tarea fácil, se necesita de un proceso organizado y planificado por fases, guiado por profesionales con conocimiento especializado en materia de ciberseguridad para que se complete de una forma efectiva.

Por ello, si desea más información, presupuesto o asesoramiento a cerca de la implantación del Esquema Nacional de Seguridad en su organización, no dude en ponerse en contacto con nosotros sin ningún compromiso.

Sobre el autor: Leticia Díaz

Leticia Díaz

Delegada de Protección de Datos

¡Contáctanos y te ayudamos!