Esquema Nacional de Seguridad (ENS). Informe Nacional del Estado de Seguridad de los sistemas de información (INES) 2017

Este pasado lunes día 16 de octubre comenzó el plazo para que las Administraciones Públicas reporten su estado de cumplimiento del Esquema Nacional de Seguridad (ENS) y del estado de seguridad de sus sistemas de información a través de la plataforma INES (Informe Nacional del Estado de Seguridad de los sistemas de información).

El Esquema Nacional de Seguridad, regulado por el Real Decreto 3/2010, de 8 de enero (modificado por el Real Decreto 951/2015, de 23 de octubre), determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos, así como, los principios básicos y medidas de seguridad mínimas (en un total de 75) para una protección adecuada de la información.

El Esquema Nacional de Seguridad es aplicable a las Administraciones Públicas y a sus proveedores de servicios y soluciones en los citados servicios públicos.

Para demostrar el cumplimiento del Esquema Nacional de Seguridad, a partir del 24 de octubre de 2017 las organizaciones con sistemas de información de categoría media o alta deben certificarlos a través de entidades acreditadas por la Entidad Nacional de Acreditación y Certificación (ENAC).

Para adecuarse al Esquema Nacional de Seguridad se deben desarrollar las siguientes actividades:

  • Definir el alcance. Categorizar los servicios electrónicos atendiendo a la valoración de la información tratada y los servicios prestados (Anexo I).
  • Elaborar la política de seguridad de la información.
  • Análisis de los riesgos. Identificar los activos que soportan los servicios electrónicos (servicios, información, hardware, software, comunicaciones, personas, emplazamientos, …), sus relaciones de dependencia, sus vulnerabilidades y las amenazas a las que están expuestos.
  • Valorar el grado de implantación de las medidas de seguridad recogidas en el Anexo II.
  • Actualizar la declaración de aplicabilidad de las medidas de seguridad del Anexo II, justificando las exclusiones.
  • Gestionar los riesgos. A partir de los riesgos identificados como no tolerables, elaborar el plan de tratamiento de los riesgos (acciones, responsables, plazos, recursos, indicadores, …).
  • Realizar acciones de concienciación y capacitación para las personas.
  • Mejorar la seguridad. Implantar del plan de tratamiento de los riesgos y comprobar al menos bienalmente su adecuación, efectividad y eficiencia.
  • Conformidad. Declarar (nivel básico) o certificar la conformidad a través de entidades de certificación acreditadas (nivel medio y alto).

Haga click, si desea información acerca del Esquema Nacional de Seguridad (ENS).