ConsultorÍa Legal
ESQUEMA NACIONAL DE SEGURIDAD
El Esquema Nacional de Seguridad es un Sistema de Gestión de Seguridad de la Información de obligatoria implantación para las Administraciones Públicas, así como para aquellas entidades que contratadas por éstas para el desarrollo de funciones, misiones, cometidos o servicios en su nombre.
El ENS tiene por objeto garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información manejada, garantizando de esta forma la creación de un Sistema de Gestión orientado a alcanzar la protección de los sistemas, datos, comunicaciones y servicios electrónico, lo que permitirá a Administraciones Públicas y ciudadanos el ejercicio de sus derechos y obligaciones. Esto obliga a cualquier entidad a acreditar la adecuada implementación del ENS para actuar como proveedores de este tipo de servicios con la Administración.
Metodología aplicada al ENS:
Basada en el análisis de los procesos y sistemas para detectar los riesgos, insuficiencias o puntos de mejora existentes, siguiendo las directrices publicadas por el Centro Criptológico Nacional en sus Guías CCN-STIC, serie 800. Nuestros servicios comprenden:
1. Implantación del Esquema Nacional de Seguridad, tanto para el completo de la organización como para sistemas específicos, en base a las recomendaciones recogidas en la Guía CCN-STIC-804 ENS. Guía de implantación.
2. Valoración y categorización de los activos y sistemas afectados, en base a los criterios establecidos por el Anexo I del ENS y la Guía CCN-STIC-803 Valoración de Sistemas en el ENS.
3. GAP o análisis de insuficiencias del sistema, en base a lo dispuesto por la Guía CCN-STIC-806 Plan de Adecuación al ENS.
4. Elaboración de la Política y Normativa de seguridad y demás documentación de cumplimiento necesaria, de acuerdo con las
exigencias establecidas en el ENS.
5. Auditoría interna de cumplimiento del ENS, en base a las exigencias de la Guía CCN-STIC-808 Verificación del cumplimiento
de las medidas en el ENS.
1. Implantación del esquema nacional de seguridad
Cualquier entidad que pretenda actuar como proveedor de servicios electrónicos de una Administración Pública debe cumplir con las exigencias impuestas por el ENS. Por ello, es necesario el diseño e implantación de un Sistema de Gestión que garantice la adecuación de sus recursos a las disposiciones del ENS y los controles plasmados en su Anexo II.
Con el objetivo de asegurar la correcta ejecución de los procesos involucrados en el tratamiento de la información, se tendrá en cuenta la Guía CCN-STIC-804 ENS. Guía de implantación, así como cualquier otro mandato aplicable, tanto técnico como organizativo. .
¿Por qué Nosotros?
Ofrecemos un servicio adaptado específicamente a las características y circunstancias de nuestros clientes. Contamos con experiencia acreditada en proyectos de implantación y auditoría del Esquema Nacional de Seguridad en grandes entidades. Nuestro equipo tiene, además, una dilatada trayectoria en formación de profesionales para el Esquema Nacional de Seguridad.
2. VALORACIÓN Y CATEGORIZACIÓN DE LOS ACTIVOS Y SISTEMAS AFECTADOS ENS
La categoría de un sistema está basada en el posible impacto sobre la organización que podría tener un incidente de seguridad sobre la información o recursos y aplicativos involucrados. En este sentido, se debe tener en cuenta cómo tal incidente podría afectar a la capacidad de la organización de: a) Alcanzar sus objetivos. b) Proteger los activos a su cargo. c) Cumplir sus obligaciones diarias de servicio. d) Respetar la legalidad vigente. e) Respetar los derechos de las personas.
Con el objetivo de asegurar la correcta valoración de los sistemas involucrados, se tendrá en cuenta el Anexo I del ENS y la Guía CCN-STIC-803 Valoración de Sistemas en el ENS, así como cualquier otro mandato aplicable, tanto técnico como organizativo.
3. gap O análisis de insuficiencias del sistema
4. ELABORACIÓN DE LA POLÍTICA Y NORMATIVA DE SEGURIDAD
Las tecnologías de la información están inmersas en un proceso de continua evolución, lo que supone que los sistemas de seguridad deben ser actualizados en consonancia. Asimismo, esto involucra también los procedimientos y medidas organizativas implantadas. Por tanto, resulta necesario el análisis periódico de las insuficiencias del Sistema de Gestión planteado por el ENS.
Con el objetivo de asegurar la correcta adaptación de los sistemas certificados, se tendrá en cuenta la Guía CCN-STIC-806 Plan de Adecuación al ENS, así como cualquier otro mandato aplicable, tanto técnico como organizativo.
La documentación de los procedimientos implicados en el Sistema de Gestión del ENS es una parte esencial del mismo. Por tanto, la adecuada redacción de los mismos, incluyendo los requisitos exigidos de forma clara, concisa y entendible resulta fundamental para su correcto funcionamiento. Gracias a ello, no solo se conseguirá que la normativa sea conocida por los usuarios del sistema, sino que además facilita la mejora y actualización de los sistemas.
Con el objetivo de asegurar la correcta adaptación de la documentación, se tendrán en cuenta la CCN-STIC-821 Normas de Seguridad en el ENS y la Guía CCN-STIC-822 Procedimientos de Seguridad, así como sus Anexos y Apéndices de desarrollo y cualquier otro mandato aplicable, tanto técnico como organizativo.
5. AUDITORÍA INTERNA ESQUEMA NACIONAL DE SEGURIDAD
La auditoría interna es necesaria para asegurar que la documentación, registros, personal y productos certificados involucrados en el Sistema de Gestión cumplen con los mínimos exigidos por el ENS. Gracias a nuestra metodología, basada en la Guía CCN-STIC-808 Verificación del cumplimiento de las medidas en el ENS, podemos determinar el grado de cumplimiento del sistema respecto a las obligaciones impuestas por el ENS, identificando las deficiencias apreciadas y recogiendo las medidas correctivas y recomendadas que resulten necesarias.
Blog UBT Compliance
Análisis del Índice de Percepción de la Corrupción de 2023
El Índice de Percepción de la Corrupción (IPC), publicado anualmente por Transparency International, es una herramienta crucial para evaluar la percepción de corrupción en los países a nivel mundial. Se basa en encuestas y evaluaciones de expertos para asignar...
Autoridades independientes de protección al informante en España a enero de 2024
El año 2023 estuvo marcado en España en el ámbito del compliance por la Ley 2/2023 de protección a informantes. Una de las novedades que se introdujo fue la futura creación de una autoridad independiente de protección al informante en el ámbito estatal. Si bien esta...
Contáctanos
Si quieres recibir más información sobre nuestros servicios, ofertas y novedades en materia de cumplimiento normativo, completa el siguiente formlario
UBT Legal & Compliance tratará los datos personales facilitados a través del presente formulario con la finalidad de gestionar su solicitud de contacto, legitimado en el consentimiento mostrado mediante la remisión del mismo. Puede obtener más información en nuestra Política de Privacidad, así como contactar con nuestro Delegado de Protección de Datos a través de dpo@ubtcompliance.com.
Los campos marcados con asterisco (*) son obligatorios. En caso de no ser facilitados no podrá atenderse correctamente su solicitud.