En este artículo haremos una introducción al Esquema Nacional de Seguridad (ENS), los objetivos que persigue y su ámbito de aplicación en la Protección de Datos
¿Qué es el Esquema Nacional de Seguridad (ENS)?
El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la derogada Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
La misma indicaba que la necesaria generalización de la Sociedad de la Información es subsidiaria, en gran medida, de la confianza que genere en los ciudadanos la relación a través de medios electrónicos y se fija como objetivo el crear las condiciones de confianza necesarias en el uso de estos medios).
En resumen, como introducción al Esquema Nacional de Seguridad (ENS), su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
En sucesivas aprobaciones normativas (como la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas, o el RD 951/2015 que modifica el RD 3/2010) se mantiene este carácter de actualización permanente, aunque basado en la Ley 11/2007.
Ámbito de aplicación del Esquema Nacional de Seguridad (ENS)
Hay que tener en cuenta que el ámbito de aplicación para lo que fue diseñado el Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y regulado en el Real Decreto 3/2010, de 8 de enero. Estos son:
- A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
- A los ciudadanos en sus relaciones con las Administraciones Públicas.
- A las relaciones entre las distintas Administraciones Públicas.
Excluyendo del ámbito de aplicación obligada del ENS los sistemas que tratan información clasificada.
Objetivos del Esquema Nacional de Seguridad (ENS)
Los objetivos del Esquema nacional de seguridad son claros:
- Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
- Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.
El Esquema Nacional de Seguridad (ENS) y el Reglamento General de Protección de Datos (RGPD)
A pesar de que es un esquema diseñado principalmente para las administraciones públicas, su aplicación es posible en la empresa privada, siendo uno de los esquemas utilizados en la aplicación del actual RGPD, ya que trata unos elementos principales en común con cualquier empresa. Estos son:
- Los Principios básicos a ser tenidos en cuenta en las decisiones en materia de seguridad.
- Los Requisitos mínimos que permitan una protección adecuada de la información.
- La Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y de los servicios a proteger y a los riesgos a los que están expuestos.
- La auditoría de la seguridad que verifique el cumplimiento del Esquema Nacional de Seguridad.
- La respuesta a incidentes de seguridad.
- La certificación, como aspecto a considerar al adquirir los productos de seguridad.
Teniendo en cuenta estos elementos principales, la entidad podrá definir su Política de Seguridad en base a los principios básicos y aplicando los requisitos mínimos para una protección adecuada de la información.
Como introducción al Esquema Nacional de Seguridad (ENS) podemos decir que tanto él como la Norma ISO: 27001 son válidos para implantarlos en nuestra entidad y, de esta manera, dar cumplimiento al RGPD (Reglamento General de Protección de Datos) en cuanto a las medidas de seguridad.
En futuros artículos nos adentraremos en cada uno de los puntos definidos como elementos principales, así como en los marcos de seguridad definidos en el Esquema Nacional de Seguridad.
Fuente: Propia