esquema-nacional-seguridad-ens-acreditacion

Consultoría y auditoría. Esquema Nacional de Seguridad

El ENS – Esquema Nacional de seguridad debe ser adoptado por todos los organismos, entidades, empresas y etc. de la Administración pública, por las distintas infraestructuras críticas, así como los proveedores de ambas.

Estos sujetos obligados deberán establecer políticas de seguridad oportunas y aplicar las medidas de seguridad necesarias. Es imperativo garantizar la protección adecuada de la información tratada en el ámbito de la administración electrónica.

grafico_medidas2

ENS y el cumplimiento de la normativa de protección de datos

Para ser eficientes, la implantación del ESN debe realizarse pensando en la integración con las obligaciones del RGPD.

Es importante tener en cuenta que la Agencia Española de Protección de Datos ha dejado claro en su guía para AAPP que el cumplimiento del ENS se tendrá en cuenta como parte del cumplimiento del artículo 32 RGPD;  la realización de la evaluación de riesgos  del ENS y la aplicación de las correspondientes medidas de seguridad será tenido como cumplimiento del RGPD.

Está claro que para debe cumplirse a la vez con las dos normas en relación a la auditoria y el cumplimiento proactivo, la notificación de brechas de seguridad, entre otros puntos de confluencia.

Adecuación al Esquema Nacional de Seguridad

La adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de diversas cuestiones:

  • Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades.
  • Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.
  • Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.
  • Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS.
  • Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.
  • Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente.
  • Auditar la seguridad
  • Informar sobre el estado de la seguridad