RESPONSABILIDAD PROACTIVA
El ENS o Esquema Nacional de Seguridad es la forma de aplicar la responsabilidad proactiva en el Sector Público.
La Seguridad de la Información es una realidad, y algo que todas las organizaciones deben tener integrado en todos los niveles de su estructura, y principalmente en su dirección, si no quieren quedarse atrás en las medidas de actuación, dentro del hipersector TIC.
Para la administración pública española, este proceso de obligado cumplimiento, implica la aceptación del Esquema Nacional de Seguridad (ENS)
El ENS ayudará a que los ciudadanos puedan desarrollar, a través de medios digitales, gestiones relacionadas con la eAdministración con mayor seguridad y confianza en todos los procesos relacionados con sistemas, datos y comunicaciones electrónicas.
Los Esquemas Nacionales de Seguridad e Interoperabilidad son la respuesta a la pregunta que cualquier ciudadano se hará al enfrentarse al uso de la administración electrónica:
¿la tramitación que voy a realizar desde mi casa y mi ordenador va a ser igual que si lo hiciera en una ventanilla convencional, va a valer lo mismo?.
Ni el RGPD ni la LOPDgdd facilitan un listado de medidas de seguridad a implantar en cada organización, sino que delega esta directriz al Responsable del Tratamiento, el cual,
“en conocimiento de su organización y basándose en la gestión del riesgo, determinará las medidas de seguridad más adecuadas que deberá adoptar su organización”.
En el caso del sector público, este análisis se simplifica relativamente, ya que tiene un listado previamente autorizado de las medidas de seguridad que tiene que aplicar para proteger los datos de carácter personal.
Estas medidas de seguridad se encuentran identificadas en el Anexo II del Esquema Nacional de Seguridad (ENS) y se dividen en tres marcos:
- organizativo
- operacional
- medidas de protección.
Las medidas de seguridad indicadas son acumulativas, de manera que según el sistemas de información catalogado, será de aplicación un listado de medidas:
- de nivel bajo, serán de aplicación 40 medidas
- de nivel medio, le aplicarán 60
- de nivel alto, le serán de aplicación la totalidad de las medidas, es decir, las 75.
¿QUE ES EL ESQUEMA NACIONAL DE SEGURIDAD?
Los ciudadanos confían en que los servicios disponibles por medios electrónicos, se presten en unas condiciones de seguridad equivalentes a las que se encuentran, cuando se acercan personalmente a las oficinas de la Administración.
Además, buena parte de la información contenida en los sistemas de información de las Administraciones Públicas, y los servicios que prestan, constituyen activos nacionales estratégicos.
La información y los servicios prestados están sometidos a:
- amenazas y riesgos provenientes de acciones malintencionadas o ilícitas
- errores o fallos
- accidentes o desastres.
El ENS está constituido por los principios básicos y requisitos mínimos para una protección adecuada de la información.
Por tanto el ENS o Esquema Nacional de Seguridad será aplicado por las Administraciones Públicas para asegurar:
- el acceso
- integridad
- disponibilidad
- autenticidad
- confidencialidad
- trazabilidad
- y conservación de los datos, informaciones y servicios, utilizados en medios electrónicos, que gestionen en el ejercicio de sus competencias.
¿A QUIÉN SE APLICA EL ENS?
El ámbito de aplicación del Esquema Nacional de Seguridad es:
- el de las Administraciones Públicas
- los ciudadanos en sus relaciones con las Administraciones Públicas
- las relaciones entre las Administraciones Públicas
Por tanto, el Esquema Nacional de Seguridad (ENS), es de obligado cumplimiento para el conjunto de la administración española, entendiendo por tal:
- la Administración General del Estado
- las Administraciones de las Comunidades Autónomas
- las Entidades que integran la Administración Local
- las entidades de derecho público vinculadas o dependientes de las anteriores.
Esto incluye, además de ministerios, consejerías autonómicas y corporaciones municipales, otras entidades tales como:
- Las Universidades, organismos autónomos de la administración.
- Autoridades Portuarias y aeroportuarias.
- Entidades públicas tipo Institutos de Desarrollo Económico, Servicios de Salud, etc.
¿A QUIEN NO SE APLICA?
El ENS no es obligatorio para aquellas administraciones que realicen sus actividades en régimen de derecho privado.
La Administración de Justicia tampoco está obligada.
Sin embargo, cuentan con un programa de actuación, denominado Esquema Judicial de Interoperabilidad y Seguridad (EJIS), suscrito por las Instituciones con responsabilidades en la Administración de Justicia (Ministerio de Justicia, el Consejo General del Poder Judicial, la Fiscalía General del Estado y las Comunidades Autónomas con competencias transferidas).
El EJIS es un marco de colaboración para colegiar esfuerzos y cuyos objetivos fundamentales son la prestación de los servicios de Administración de Justicia bajo el paradigma de la interoperabilidad, accesibilidad, reusabilidad y seguridad.
También estarán excluidos del ámbito de aplicación del ENS, los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abrilE, de Secretos Oficiales y sus normas de desarrollo de la Agencia Española de Protección de Datos y del Consejo de Estado.
¿A QUE SE APLICA EL ENS?
Esta norma aplica a los:
- sistemas
- datos
- comunicaciones
- servicios electrónicos
¿CUÁLES SON LOS OBJETIVOS?
El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos:
- Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 39/2015, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
- Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
- Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.
- Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
- Facilitar un tratamiento continuado de la seguridad.
¿CUÁLES SON LOS PRINCIPIOS BÁSICOS?
El objeto último de la seguridad de la información es asegurar que una organización podrá cumplir sus objetivos utilizando sistemas de información.
Tal y como estipula el ENS, en las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:
- Seguridad integral.
- Gestión de riesgos.
- Prevención, reacción y recuperación.
- Líneas de defensa.
- Reevaluación periódica.
- Función diferenciada.
¿CUÁL ES LA FINALIDAD?
Los elementos principales del ENS son los siguientes:
- Los principios básicos a considerar en las decisiones en materia de seguridad.
- Los requisitos mínimos que permitan una protección adecuada de la información.
- El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.
- Las comunicaciones electrónicas.
- La auditoría de la seguridad.
- La respuesta ante incidentes de seguridad.
- La certificación de la seguridad.
- La conformidad.
El aspecto principal del ENS es, sin duda, que todos los órganos superiores de las Administraciones Públicas (AA.PP.) deberán disponer de su política de seguridad que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.
Igualmente, cualquier empresa que tenga proyectos en vigor, o más aún, desee participar en ofertas y licitaciones con algún Organismo Oficial, deberá cumplir con el ENS o Esquema Nacional de Seguridad.
Todo ello lo veremos durante los próximos días.
