Esquema Nacional de Seguridad
Establece la política de seguridad en la utilización de medios electrónicos
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica da cumplimiento a lo previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
¿Cuál es la finalidad del ENS?
La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Objetivos principales del ENS
Confianza en el uso de los medios electrónicos
Crear las condiciones necesarias de confianza en el uso de los medios electrónicos a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Política de seguridad
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
Elementos comunes
Introducir los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información.
Lenguaje común
Aportar un lenguaje común para facilitar la interacción de las Administraciones Públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.
Tratamiento homogéneo de la seguridad
Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
Tratamiento continuado de la seguridad
Facilitar el seguimiento continuado de las medidas de seguridad, informando sobre su estado, reevaluándolas y actualizándolas periódicamente.
El ENS es de obligado cumplimiento para las AA.PP.
El ámbito de aplicación del Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007, de manera que es de aplicación:
- A la Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
- A los ciudadanos en sus relaciones con las Administraciones Públicas.
- A las relaciones entre las distintas Administraciones Públicas.
Están excluidos del ámbito de aplicación del Esquema Nacional de Seguridad los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo.
Entidades vinculadas o dependientes de las AA.PP.
A la luz de la Ley 11/2007, la Ley 30/1992 y la Ley 6/1997, cabe interpretar lo siguiente:
- El ENS es aplicable a las entidades de derecho público vinculadas o dependientes de las Administraciones Públicas (AGE, CC.AA. y EE.LL.), aunque puede ser necesario un análisis caso por caso.
- Ciertos ‘organismos públicos’, según la disposición adicional décima de la Ley 6/1997 están vinculados a la AGE y, por tanto, entran dentro del ámbito de aplicación del ENS.
- Lo mismo ocurre con otras entidades empresariales vinculadas o dependientes de la AGE.
- Las Universidades Públicas son Administración Pública vinculada (que no dependiente) a las administraciones de las Comunidades Autónomas y, por tanto, les aplica el ENS.
- En el caso de los órganos constitucionales (Casa Real, Congreso, Senado, Consejo General del Poder Judicial, Tribunal Constitucional, Defensor del Pueblo, Tribunal de Cuentas, Consejo Económico y Social) la aplicación del ENS, o no, sería una decisión propia.
- No obstante, como se ha dicho más arriba, hay que analizar caso por caso para determinar si se trata de una entidad de derecho público vinculada o dependiente de alguna de las Administraciones Públicas. No parece necesario que ejerzan potestades administrativas, ni que su actividad esté sujeta a la Ley 30/1992 por imperativo de esta.
Aplicaciones, servicios y sistemas en el ámbito del ENS
Como regla general, podemos afirmar que el ENS es de aplicación a:
Sedes electrónicas
Registros electrónicos
Sistemas de Información accesibles electrónicamente por los ciudadanos
Sistemas de Información para el ejercicio de derechos
Sistemas de Información para el cumplimiento de deberes
Sistemas de Información para recabar información y estado del procedimiento administrativo
Cualquier caso que se aleje de la lista anterior conviene examinarlo con detalle y determinar si se encuentra o no comprendido dentro del marco de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos. Si es así, habrá que entender que también le es de aplicación lo dispuesto en el ENS.
Beneficios de implantar el ENS
Como administración pública obligada a su implantación por el Real Decreto 3/2010 de 8 de enero, el principal beneficio es el cumplimiento legal. Desde el 5 de noviembre de 2017 las auditorías y evaluaciones son obligatorias, según lo indicado en el RD 951/2015.
También se les exige el cumplimiento del ENS a las aplicaciones, servicios y sistemas que tienen lugar fuera de las dependencias de la AA.PP. o están subcontratadas con empresas externas. De este modo, las empresas privadas que formen parte de la cadena de suministro de servicios electrónicos de la AA.PP. en el ámbito del ENS también deben cumplir con el ENS y su certificación debe ser exigida por la AA.PP. contratante o, en su defecto, la certificación de la implantación de las medidas de seguridad equivalentes a las redactadas en el Real Decreto.
Es importante entender que cuando hablamos de cadena de suministro nos referimos a todas las empresas que forman parte del servicio que ha subcontratado la administración. De esta forma, la implantación del Esquema Nacional de Seguridad se convierte en un requisito para ejercer de proveedor de servicios digitales de las AA.PP. y de aquellas empresas que provean de servicios a las AA.PP.. Por último, e independientemente del papel de las AA.PP., la interrelación existente en la actualidad entre los sistemas de distintas organizaciones hace que se deban exigir mutuamente niveles concretos y adecuados de seguridad.
Por último, el propio proceso de implantación también traerá consigo otros beneficios para la organización como pueden ser:
- Identificación de las figuras responsables de velar por el estado de la seguridad de la información.
- Realización de análisis de riesgos y planes de continuidad que no harán sino aumentar en gran medida la resiliencia de nuestra organización.
- Mayor control de los procesos de su organización.
- Perfeccionamiento en el registro de incidentes y debilidades.
- Ciclo de mejora continua del sistema.
Cloud Center Andalucía, proveedor de servicios certificado
Con el objetivo de dar garantías de seguridad a los clientes del sector público, CCA ha obtenido la certificación conforme al Esquema Nacional de Seguridad con categoría ALTA los servicios de:
-
Hosting y Housing
-
Provisión y mantenimiento de servidores privados virtuales (VPS)
-
Provisión y mantenimiento de servidores dedicados
-
Gestión de back-up