Servicios Tecnológicos sector empresarial

Como enfrentarse con el ENS

Escrito por Eliseo Martín | 15-dic-2021 6:30:00

Vamos a empezar diciendo qué es. Es una norma de ciberseguridad (actualmente a la espera de una revisión), es decir que se aplica para la protección de los servicios informáticos. 

A quién afecta directamente (sujetos obligados)

Están directamente obligados los entes públicos a que dispongan de sistemas de tramitación electrónica que proporcionen servicios al ciudadano. Estos servicios son del tipo:

  • Sedes electrónicas.
  • Registros electrónicos.
  • Sistemas de Información accesibles electrónicamente por los ciudadanos.
  • Sistemas de Información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo.

Por el contrario, los servicios internos dedicados a otros fines, como por ejemplo la contabilidad o la nómina, no estarían sujetos al ENS por dar servicio a los propios funcionarios y contratados, y no al ciudadano en general.

 

¿Y solo afecta al sector público?

Sí inicialmente, pero si tu entidad se encuadra en alguno de los siguientes supuestos, también le aplica:

  • Eres un proveedor que presta servicios de administración electrónica (según la lista anterior) a algún ente público.
  • Eres un operador de servicios críticos o esenciales (por aplicación del RD 43/21 se exige ENS categoría alta).

 

Cuáles son las categorías ENS

Las categorías atienden al principio de proporcionalidad, así en función de la naturaleza de la información que se maneja, de los servicios que se prestan y de los riesgos a los que están expuestos en función del impacto que tendría un incidente que afectara a la seguridad de la información o los servicios, en alguna de las dimensiones de seguridad ENS: autenticación, integridad, confidencialidad, disponibilidad y trazabilidad (Anexo I del ENS).

Este impacto se mide atendiendo:

  • a la repercusión que tendría el incidente respecto al logro de los objetivos,
  • a la protección de los activos,
  • al cumplimiento de las obligaciones de servicio por parte del departamento correspondiente,
  • y al respeto a la legalidad y a los derechos del ciudadano.

Y luego en función de la criticidad de los sistemas, se les exigirá una determinada categoría Así será baja si el perjuicio es limitado; será media si el perjuicio es grave y alta si el perjuicio es muy grave. Conllevan diferentes exigencias en los controles, siendo certificables estas dos últimas. 

 

De qué herramientas disponemos para el análisis de riesgos

En este sentido no partimos de cero. Están a disposición pública la metodología de gestión de riesgos Magerit  (1) y la herramienta Pilar para su gestión (incluimos los vínculos de acceso a los repositorios oficiales).

 

A qué obliga y cuáles son los pasos a seguir para implantar ENS

Según el documento Preguntas frecuentes (FAQ) de ENS serían:

  • Establecer una Política de Seguridad (2), lo que conlleva: -Establecer roles, funciones y procedimiento de designación.
  • Particularizar los criterios del Anexo I, relativos a la categorización de los sistemas.

Identificar la información y los servicios, lo que conlleva:

  • Identificar a los responsables.
  • Valorar la información y los servicios.
  • Realizar el análisis de riesgos y revisar el cumplimiento del Anexo II.
  • Desarrollar un plan para alcanzar el pleno cumplimiento del ENS.

 

Qué activos son aquellos que hay de identificar

Son los activos de los que dependerán los servicios, que pueden ser entre otros:

  • Servicios auxiliares que se necesitan para poder organizar el sistema.
  • Las aplicaciones informáticas (software) que permiten manejar los datos.
  • Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios.
  • Los soportes de información que son dispositivos de almacenamiento de datos.
  • El equipamiento auxiliar que complementa el material informático.
  • Las redes de comunicaciones que permiten intercambiar datos.
  • Las instalaciones que acogen equipos informáticos y de comunicaciones.
  • Las personas que explotan/operan los elementos anteriormente citados.

Espero, en estas breves líneas, haber puesto un poco de luz en lo que implica y en qué se basa la norma Esquema Nacional de Seguridad, al que nos hemos referido por ENS.

Si has llegado hasta aquí, ya conoces los pasos a realizar. Pero para ser sincero, nos ha quedado uno en tintero: la medida de la eficacia de los controles. Te recomendamos que uses alguna herramienta para hacer un seguimiento continuo y detectar aquellos controles y riesgos en situación anómala y así poder corregirlos. Si no aún no usas ninguna, te recomendamos la nuestra: CiberCumplimiento. Y si lo quieres enfocar a través de la ISO 27001 o ISO 27701 también te podemos ayudar.

En Grupo Cibernos somos expertos en realizar la consultoría-implantación previa a la certificación. Puedes solicitar información a través de este formulario de contacto.

 

Nota 1. Una información más completa de las prácticas europeas habituales en Gestión de Riesgos para las AALL puede consultarse aquí.

Nota 2. Información de ayuda para definir la política de seguridad en el Anexo II del ENS.

Nota 3. Las categorías se aplican a sistemas y no a empresas,, así como el certificado correspondiente.