¿Qué esperáis para certificaos en el ENS?
El Esquema Nacional de Seguridad (ENS) está a punto de actualizarse, tras más de diez años de haberse aprobado su creación. El texto del Proyecto de Real Decreto que va a regular el nuevo ENS incluye medidas más rígidas, por lo que se espera que la obtención del certificado sea un poco más difícil.
El ENS se ha convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público. Desde su creación, el Centro Criptológico Nacional ha creado 61 guías (serie 800), 14 soluciones de ciberseguridad y 4 Instrucciones Técnicas de Seguridad publicadas en el BOE.
Estaba claro que era preciso realizar una revisión del ENS para afrontar las nuevas amenazas, mejorar las capacidades de vigilancia y diseñar respuestas cada vez más eficaces frente a los ataques. Además también era necesario alinearlo con el marco legal actual.
Por todo ello en mayo de 2021, el Consejo de Ministros aprobó un paquete de medidas urgentes en materia de ciberseguridad, con tres pilares básicos:
– Adoptar un Plan de Choque de Ciberseguridad.
– Actualización del Esquema Nacional de Seguridad.
– Medidas destinadas a los proveedores tecnológicos del sector público.
Recordamos que el ENS establece principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para la gestión continuada de la seguridad para la administración digital, de aplicación a las entidades del sector público y de las privadas que colaboren en la prestación de servicios públicos.
“También están obligadas a cumplir el ENS
todas las empresas del sector privado
que sean dependientes o estén vinculadas
con las Administraciones públicas.”
¡También entidades privadas!
Todavía hay empresas que piensan que el ENS no va con ellas, que sólo afecta al Sector Público. Pero eso no es así. Las empresas privadas que prestan servicios o soluciones tecnológicas a la Administración pública, estarán obligadas a cumplir con el ENS.
Estamos hablando de empresas que proveen a las Administraciones Públicas de aplicaciones comerciales, desarrollo de software, servicios de soporte y mantenimiento de sistemas de información, servicios de computación en nube, etc.
Las empresas que se presenten a licitaciones públicas relativas a servicios o productos tecnológicos deberán tener el Certificado de Conformidad con el ENS en su nivel medio o alto.
Si necesitáis un poco más de información de lo que es exactamente el ENS, las 75 medidas de seguridad que recoge o los tres niveles de riesgo (medio, alto, bajo) os invitamos a leer nuestro artículo de enero de 2021 publicado en este blog.
¿Qué esperáis para certificaos en el ENS?
TECNOideas os ayuda a obtener el ENS.
Estamos especializados en certificación, tanto a nivel
de empresa privada
como del Sector Público.
De hecho, varios ayuntamientos ya nos han confiado
el desarrollo de su certificación.
No esperéis la nueva reglamentación. Adelantaos a ella obteniendo
el Certificado de Conformidad con el ENS a través de TECNOideas.
Y si no tenéis dinero, ¿sabéis que casi lo están regalando?
Os podemos ayudar a conseguir financiación, si con eso os ayudamos a obtener esta certificación, y que consigáis más clientes.
- Publicado en Certificaciones, General, Normativa, Noticias, Protección de datos
Seguros de ciberriesgo, una herramienta más y no un elemento sustitutivo
Hace unas semanas, el concurso de licitación de un seguro de ciberriesgo de una administración pública de Cataluña, quedo desierto. Ninguna compañía aseguradora se atrevió a hacer una oferta para un seguro que debía cubrir la seguridad en las redes, la privacidad de datos y la responsabilidad civil derivada de la protección de datos. ¿Por qué?
Esta administración no contaba ni tan siquiera con el Esquema Nacional de Seguridad validado por el CCN Cert, así que cuesta poco saber si su nivel es como el que tenía el Sepe o similar. ¿Recordáis nuestro post a raíz de la problemática con la web del Sepe y el proyecto #websegura? Lo podéis leer de nuevo AQUÍ.
Así que la respuesta a la pregunta del por qué quedó desierta esa licitación empieza a estar clara y lo es más aún si añadimos otra pegunta: ¿Cómo una empresa de cobertura de riesgos los va a asumir si la propia entidad no pone suficientes esfuerzos en protegerse?
Algunas veces ya hemos comentado que un seguro es la guinda del pastel, pero no el pastel en sí mismo. Lo primero siempre debe ser una buena política de seguridad, que pasa por una serie de temas: auditoría, revisión de activos en posibles vulnerabilidades, endpoint / antivirus de última generación o monitorización activa de la red, políticas estrictas en materia de seguridad de la información y tecnologías de la información, hacer una mínima formación a todos los trabajadores, etc.
La seguridad en sistemas de gestión de la información no es infalible, de manera que lo que hoy es seguro, mañana puede no serlo porque puede descubrirse una vulnerabilidad. Y con el caso que hacen la mayoría de las empresas proveedoras, son los malos los primeros en aprovechar la más mínima vulnerabilidad. Así que ese 100% nunca esta cubierto, hemos de ser muy conscientes de esto. Pero una buena política de seguridad, en la que se incluyen todos los puntos mencionados anteriormente es absolutamente necesaria para minimizar el riesgo. Si logramos cubrir, por ejemplo un 95%, al añadir un seguro de ciberriesgo, dormiremos mucho más tranquilos. Pero nunca podemos esperar que el seguro, por sí solo, nos vaya a solucionar la vida.
TECNOideas facilita también seguros de ciberriesgo, como complemento a todos los demás servicios que ofrecemos, como auditorías, CISO externo, consultoría, planes anuales, etc. Pero siempre informamos y les hacemos ver a nuestros clientes, o posibles clientes, que no pueden dejarlo todo en manos de un seguro, ya que si no hay acciones preventivas y de mantenimiento, la aseguradora, tras la investigación por un perito, se negará a pagar.
Además hay que tener claro que no todas las empresas necesitan el mismo tipo de seguro, por lo que hay que huir de los seguros convencionales que se ofrecen. Lo suyo es ver la situación de la empresa, las medidas de ciberseguridad que ha adoptado y entonces y solo entonces, buscar el tipo de seguro más adecuado a sus necesidades. Un servicio que difícilmente pueden ofrecer las compañías aseguradoras, porque deben ser los técnicos de ciberseguridad que prestan sus servicios a las empresas, los que actualizan los sistemas, conocen, analizan y proponen soluciones, los que van a saber exactamente el tipo de seguro que necesitan para poner la guinda al pastel.
Imagen principal: Steve Buissinne enPixabay
- Publicado en General, Noticias, Protección de datos, Seguridad
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)?
Toda empresa que trabaje, preste un servicio en régimen de concesión, encomienda de gestión o contrato que le relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.) deben certificar que cumplen el Esquema Nacional de Seguridad.
El ENS determina la política de seguridad en la utilización de medios electrónicos. Está constituido por unos principios básicos y unos requisitos mínimos que permitan una protección adecuada de la información. Naturalmente todas las Administraciones deben adecuarse a ello. Pero también las entidades privadas que manejan datos sensibles, de alto riesgo, deben implantar el Esquema Nacional de Seguridad.
¿Qué es el Esquema Nacional de Seguridad?
• Es una norma jurídica que defiende la privacidad de los ciudadanos.
• Proporciona al sector público un planteamiento común de seguridad para la protección de la información.
• Su objetivo es determinar la política de seguridad en la utilización de medios electrónicos.
• Se trata de garantizar las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas.
• Es conforme con la regulación internacional y europea.
Tenéis más información en la web del Centro Criptológico Nacional.
TECNOideas os ayuda en todo el proceso de certificación.
Confiad en una empresa especializada en ciberseguridad.
¿Cuál es el marco regulatorio del ENS?
• Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Se crea el Esquema Nacional de Seguridad.
• Real Decreto 3/2010 de 8 de enero. Se aprueba el ENS y determina la política de seguridad en la utilización de medios electrónicos. Fija los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
• Ley 40/2015 de 1 de octubre. Recoge el ENS en su artículo 156 apartado 2.
• Real Decreto 951/2015 de 23 de octubre. Recoge el entorno regulatorio de la Unión Europea de las tecnologías de la información y de la experiencia de la implantación del Esquema.
• Tras esta última actualización se determinó que sería exigible su completo cumplimiento a partir del 5 de noviembre de 2017.
La legislación prevé multas y sanciones para las empresas que aun no están certificadas.
Tenéis más información en el portal de la administración electrónica (PAE) del Gobierno.
La legislación prevé multas y sanciones
para las empresas que aun no están certificadas.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¿Qué medidas de seguridad recoge?
El ENS recoge 75 medidas de seguridad agrupadas en tres puntos:
• Marco organizativo: 4 medidas
• Marco operacional: 31 medidas
• Medidas de protección: 40 medidas
Es por ello por lo que, dependiendo de la actividad y de las medidas que tenga una empresa existen diferentes niveles de certificación. Así hay un nivel de riesgo BAJO, MEDIO o ALTO.
Para los niveles MEDIO o ALTO, la certificación es obligatoria.
En el caso del nivel BAJO es una certificación voluntaria, pero cada vez se precisa más para ser competitivo en el mercado.
Las empresas deben implantar los controles que establece el ENS para cada caso. La certificación se consigue superando una auditoría de una entidad independiente y autorizada por el Centro Criptológico Nacional.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¡Certificaros con TECNOideas 2.0.!
Os ayudamos a obtener vuestra certificación. Si ya sois clientes nuestros y ya conocemos vuestras necesidades, la certificación puede ser más rápida.
Si todavía no nos conocéis, podéis certificaros con nosotros y así descubriréis nuestra forma de trabajar y nuestra experiencia.
- Publicado en Consultoría, General, Noticias, Protección de datos, Seguridad