Esquema Nacional de Seguridad
Marco de referencia para la protección de información en la Administración Pública
El ENS establece los principios básicos y requisitos mínimos para la protección de la información tratada en los sistemas electrónicos de las Administraciones Públicas españolas, garantizando un nivel de seguridad adecuado al riesgo de la información.
Principios Fundamentales
Responsabilidad Proactiva
El responsable del sistema debe adoptar medidas antes de que se produzcan incidentes.
Análisis de Riesgos
Evaluación sistemática de amenazas y vulnerabilidades específicas del contexto.
Gestión Continua
La seguridad no es un proyecto sino un proceso continuo de mejora.
Proporcionalidad
Las medidas deben ser proporcionales a los riesgos y al impacto potencial.
Niveles de Seguridad
El ENS establece tres niveles de seguridad basados en el impacto potencial de un incidente sobre la información tratada. Cada nivel conlleva medidas de seguridad adicionales.
Medidas de seguridad mínimas para todos los sistemas
Requisitos Principales
- Análisis de riesgos básico
- Política de seguridad de la información
- Organización de la seguridad
- Gestión de activos
- Control de acceso básico
- Protección contra malware
Aplicable a: Sistemas con información de bajo impacto
Medidas adicionales para sistemas con mayor exposición
Requisitos Principales
- Todo lo de nivel Básico, más:
- Análisis de riesgos detallado
- Control de acceso reforzado
- Cifrado de comunicaciones
- Registro de actividad de usuarios
- Separación de funciones
Aplicable a: Sistemas con información de impacto medio
Medidas máximas para sistemas críticos
Requisitos Principales
- Todo lo de nivel Medio, más:
- Análisis de riesgos exhaustivo
- Autenticación multifactor
- Cifrado de información almacenada
- Protección contra ingeniería social
- Segmentación de red
- Monitorización continua
Aplicable a: Sistemas con información de alto impacto
Pasos para el Cumplimiento
Proceso estructurado para lograr el cumplimiento del ENS en su organización.
Determinación del Ámbito
Identificar los sistemas incluidos en el ENS y clasificar la información que tratan.
Análisis de Riesgos
Evaluar las amenazas, vulnerabilidades e impactos potenciales sobre los sistemas.
Determinación del Nivel
Establecer el nivel de seguridad (Básico, Medio, Alto) para cada sistema.
Implementación
Desplegar las medidas de seguridad correspondientes al nivel determinado.
Auditoría y Mejora
Verificar el cumplimiento y mantener un ciclo de mejora continua.
Entidades Afectadas
El ENS es de aplicación obligatoria a todas las entidades del sector público institucional español, independientemente de su tamaño o complejidad.
- Administración General del Estado
- Comunidades Autónomas
- Entidades Locales
- Universidades públicas
- Organismos públicos
- Agencias estatales
- Entidades de derecho público
- Empresas públicas
- Fundaciones del sector público
- Consorcios con participación mayoritaria pública
Zero Trust y el ENS
La metodología Zero Trust se alinea perfectamente con los principios del ENS:
¿Necesita ayuda con el cumplimiento del ENS?
Le ayudamos a determinar el nivel de seguridad de sus sistemas, implementar las medidas necesarias y preparar las auditorías de cumplimiento.