Desde Aixa Corpore, traemos la tercera parte de los aspectos básicos del Esquema Nacional de Seguridad. La evolución de las amenazas, las nuevas vías de ataque, el desarrollo de mecanismos de respuesta y la necesidad de mantener la conformidad y el alineamiento con las regulaciones europeas y nacionales exigen adaptar las medidas de seguridad a esta nueva realidad. Por ello, surge el Esquema Nacional de Seguridad (ENS). Configurándose cómo un marco normativo de obligado cumplimiento para todo el sector público. Incluye aspectos técnicos y organizativos que tiene por objeto asegurar la disponibilidad, integridad, autenticidad, confidencialidad y trazabilidad de la información.
En la segunda parte de los aspectos básicos del Esquema Nacional de Seguridad abordamos algunas de las cuestiones más relevantes de la aplicación del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Aquí abordaremos aspectos prácticos para la certificación de su organización en el ENS.
¿Cuál es el procedimiento de certificación del ENS?
El artículo 38 del ENS regula el procedimiento para obtener la conformidad con el Esquema Nacional de Seguridad. En la resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad se regula dicho procedimiento.
Como resumen, existen dos vías diferenciadas:
- La Certificación de Conformidad, válida para todas las categorías del sistema (BÁSICA, MEDIA y ALTA).
- La Declaración de Conformidad, únicamente válida para sistemas de categoría BÁSICA
Ahora mismo mi organización está muy lejos de cumplir con los requisitos del ENS, ¿podemos empezar por adecuarnos a la categoría BASICA, aunque algunos de mis sistemas sean de categoría superior?
La diferencia de requisitos de cumplimiento entre un sistema de categoría BÁSICA y uno de categoría MEDIA o ALTA, en los los aspectos básicos del Esquema Nacional de Seguridad. La mayor parte de ellos son de tipo técnico o de gestión, siendo comunes a todos los referidos a la organización de la seguridad. Si se decide acometer la adecuación de los sistemas de información al ENS de una forma gradual, la opción de abordar primero la conformidad con la categoría BÁSICA para luego seguir evolucionando hasta cumplir con los requisitos de la categoría MEDIA o ALTA es una buena opción. Siempre que se acuerde en el Comité de Seguridad, y así se establezca en un acta, como una hoja de ruta y no como un fin.
Sería un error pensar que al alcanzar la conformidad con los requisitos de la categoría BÁSICA ya se está cumpliendo con lo requerido por el ENS, pues dichos requisitos vienen determinados por la categoría del sistema, y al ser esta superior a la categoría de la conformidad alcanzada, no se estaría cumpliendo con todos los requisitos exigidos.
¿Qué tengo que hacer para cumplir con el ENS si tengo servicios externalizados?
Los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público. Incluidas en el ámbito de aplicación del ENS, contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas. Tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.
Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.
Asimismo, la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, actualmente en proceso de actualización al Real Decreto 311/2022, cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas.
A los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías BÁSICA, MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.
Por tanto, es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la presente Instrucción Técnica de Seguridad.
Como garantía del cumplimiento de lo anterior, las entidades públicas usuarias de soluciones o servicios provistos o prestados por organizaciones del sector privado que exhiban una Declaraciones o Certificaciones de Conformidad con el Esquema Nacional de Seguridad podrán solicitar en todo momento a tales organizaciones los Informes de Autoevaluación o Auditoría correspondientes, al objeto de verificar la adecuación e idoneidad de las antedichas manifestaciones.
El CCN mantiene en su página web una lista de los operadores privados cuyos sistemas de información han obtenido la Certificación de Conformidad con el ENS.
¿El ENS es compatible con el RGPD?
El Esquema Nacional de Seguridad es una norma legal que pretende garantizar la seguridad de los sistemas de información de las entidades de su ámbito de aplicación, la información tratada y los servicios prestados. Mientras que el Reglamento de Protección de Datos Personales persigue la protección de los derechos de los titulares de los datos personales, singularmente su derecho a la protección de datos.
Sin embargo, desde un punto de vista práctico, ambas normas persiguen dotar a los sistemas de la seguridad de la suficiente para alcanzar sus objetivos. Por ello, no sólo no son incompatibles, sino que son complementarios y el cumplimiento de una de ellas facilita el cumplimiento de la otra. Así lo señala la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. En su disposición adicional primera obliga a determinados responsables a aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad. Así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.
Si su organización se encuentra comprendida en el ámbito de aplicación del ENS, debe cumplir con lo establecido en el Real Decreto 311/2022. Para ello, debe comenzar el proceso de adecuación al ENS. Como primer paso, deberá acometer la aprobación de la Política de Seguridad de la Información (PSI) de la organización. Si necesita asesoramiento en este proceso no dude en ponerse en contacto con nosotros a través del siguiente enlace.