Introducción

Nadie duda de que la seguridad de la información es ya hoy en día una necesidad imperiosa y algo que debería estar integrado en todas las organizaciones en su estructura. Dentro de la Administración Pública este proceso es de obligado cumplimiento e implica la implantación del Esquema Nacional de Seguridad.

Qué es y objetivos del Esquema Nacional de Seguridad ( ENS)

El Esquema Nacional de Seguridad es un conjunto de procedimientos cuyo  objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Los principales objetivos que se marcan son
-Crear las condiciones necesarias de confianza en el uso de los medios electrónicos que permitan a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
– Introducir los elementos y metodologías comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
– Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.

Aún cuando el ENS han de cumplirlo todas las Administraciones Públicas no es lo mismo abordar ese reto siendo un ministerio, que el ayuntamiento de una ciudad de menos de 20.000 habitantes, que suelen tener un único informático. O el de una de 1.000 habitantes, que lo más habitual es que no pueda contar con ninguno de manera permanente. 

Implantar eficientemente el ENS implica conocer en profundidad tanto las propias medidas de control del Esquema, como el servicio y la Entidad que lo presta y lo quiere implantar.  

Ámbito de Aplicación, alcance e implantación

El ámbito de aplicación del Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007:

• A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
• A los ciudadanos en sus relaciones con las Administraciones Públicas.
• A las relaciones entre las distintas Administraciones Públicas

Como regla general, podemos afirmar que la implantación del Esquema Nacional de Seguridad es de aplicación a:

• Sedes electrónicas.
• Registros electrónicos.
• Sistemas de Información accesibles electrónicamente por los ciudadanos.
• Sistemas de Información para el ejercicio de derechos.
• Sistemas de Información para el cumplimiento de deberes.
• Sistemas de Información para recabar información y estado del procedimiento administrativo.

Fases del trabajo

Desde el análisis de la situación inicial se hace una contextualización y un análisis diferencial de los objetivos. En un siguiente momento es importante  realizar un análisis diferencial para determinar qué controles de los ya existentes en el ENS están ya implantados en la organización.
Los siguientes pasos giran en el sentido de analizar los riesgos y definir un Plan de Adecuación al ENS para posteriormente llevar a cabo esas tareas. La auditoría de conformidad realizada por un auditor externo debidamente cualificado verifica el cumplimiento del ENS en la organización.

 

Fuentes: PAe y CCN-CERT