¿Ya conocéis el alcance del ENS para entidades locales?
Si sois una entidad local o una empresa que trabaja con ella debéis conocer el “Prontuario de ciberseguridad para Entidades Locales” relacionada con el Esquema Nacional de Seguridad (ENS), que se acaba de actualizar.
Os hemos hablado en varias ocasiones del Esquema Nacional de Seguridad (ENS), una certificación muy necesaria para toda empresa que trabaje con la Administración. Posiblemente las entidades locales son las que tienen más empresas realizando algún tipo de servicio o de suministro para ellas. Por eso es de vital importancia conocer el prontuario de ciberseguridad que acaba de actualizar el Centro Criptológico Nacional junto a la Federación Española de Municipios y Provincias (FEMP).
Este documento tiene dos propósitos claramente definidos. Por un lado se quiere mostrar a las entidades locales (EE.LL.) y a todo su personal responsable, la realidad de las amenazas y riesgos actuales en todos los temas relacionados con el ciberespacio y la digitalización.
Por otro lado señala con claridad las garantías que ofrece el Esquema Nacional de Seguridad a las EE.LL. Debemos recordar que las EE.LL., al igual que otras Administraciones, tienen la obligación de certificarse con el ENS, ya que es la única manera de garantizar la seguridad de la información tratada, así como los servicios prestados.
Según la RAE, un prontuario es, en su primera acepción, un “resumen o breve anotación de varias cosas a fin de tenerlas presentes cuando se necesiten”. Y eso es exactamente este prontuario, que tiene 39 páginas, siete capítulos y un anexo consistente en una tabla de Funciones y Responsabilidades, tanto de los cargos electos como de los funcionarios.
A los operadores del sector privado que presten servicios o provean soluciones
a las entidades locales, se les exigirá el cumplimiento del Esquema Nacional de Seguridad.
Para ello deberán exhibir la DECLARACIÓN DE CONFORMIDAD
con el ENS, cuando se trate de sistemas de categoría BÁSICA, o la
CERTIFICACIÓN DE CONFORMIDAD cuando se trate de categorías MEDIA o ALTA.
Los principales capítulos son:
- Objeto del documento. Se explica el doble propósito que hemos mencionado en el párrafo anterior.
- La problemática de la ciberseguridad local. Se explica que la reducción presupuestaria de las EE.LL. y se demanda a los responsables locales encontrar formas innovadoras de garantizar la sostenibilidad de sus servicios. Se destaca también que “la ciberseguridad es vital para garantizar que los ciudadanos confíen en los Ayuntamientos cuando les remitan sus datos.”
Finalmente se añade una lista con las principales amenazas, con una breve descripción de cada una de ellas. - El cumplimiento del Esquema Nacional de Seguridad en las EE.LL. En este capítulo se recuerda que el objeto del ENS es determinar la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos por parte de las entidades del sector público.
- Los responsables públicos y la ciberseguridad. Es el capítulo más extenso. Se determinan las funciones y responsabilidades de todos los integrantes de las corporaciones locales.
- La prestación de servicios externos. Este capítulo es muy importante para las empresas del sector privado que presten servicios o provean soluciones a las entidades locales.
Tenéis más información sobre este tema en la Guía de Seguridad CCN-STIC 830 y también
en la Guía de Seguridad CCN-STIC IC-01/19.
Podéis acceder al documento “Prontuario de ciberseguridad para EE.LL.” AQUÍ.
TECNOideas cuenta entre sus servicios la posibilidad de que las empresas y entes locales
puedan certificarse en el Esquema Nacional de Seguridad.
Para ello contamos con experto personal técnico y jurídico. En 2022 ya hemos acompañado a diversas entidades locales en su proceso de certificación del ENS.
Además, ofrecemos la opción de la doble certificación
en sistemas de seguridad de la información: ENS + ISO 27001.
Imagen principal: Imagen Oberholster Venita en Pixabay
- Published in Certificaciones, General, Normativa, Noticias, Seguridad
Hoy es el CISO Day 2022
Posiblemente no exista una figura más relevante en el mundo empresarial relacionado con la ciberseguridad que el CISO, o persona encargada de la seguridad de los sistemas de la información. Por ello nos parece más que justificada la iniciativa de dedicarle un evento. Así nació el CISO Day, que en pocos años ya ha pasado a ser el mayor evento de España en torno a la figura del CISO.
En tan solo cuatro años este evento ha alcanzado una notoriedad muy merecida. Basta mirar los temas a tratar en la presente edición para corroborarlo: estrategia, ciberinteligencia, hacking, ciberseguridad o ciberinnovación.
La iniciativa de organizar un CISO Day la tuvo CyberSecurity News, el mayor medio de comunicación especializado en el sector de la ciberseguridad en España. Y naturalmente sigue siendo el organizador del evento. Eso sí, cuenta con el apoyo institucional del Centro Criptológico Nacional y los necesarios patrocinadores.
El CISO Day 2022 se celebra en los Cines Palacio de Hielo de Madrid y cuenta con dos salas. El congreso tiene un formato híbrido, presencial por un lado y virtual por otro. La buena noticia es que se puede seguir en directo a través del canal de YouTube de CyberSecurity News. Aun así hay que comprar la entrada. En la web del certamen, www.cisoday.es, tenéis el programa completo, los ponentes y todo lo relacionado con la jornada, que comienza a las 9.15 con la bienvenida a cargo de Vicente Ramírez, redactor jefe de CyberSecurity News y creador del CISO Day.
TECNOideas puede ser vuestro CISO Externo
Os queremos recordar que la figura del CISO es esencial. Tanto es así que la ley 43/2021 especifica que las empresas de ciertos sectores estratégicos, tienen la obligación de contar con un CISO, o persona encargada de la seguridad de los sistemas de la información. Tenéis toda la información sobre la ley, los sectores definidos como estratégicos en el anexo de la norma y las opciones que os ofrecemos en el apartado Normativa/Compliance de nuestra web.
El trabajo del CISO es verdaderamente indispensable y poco tiene que ver con el que realiza un informático. Sin embargo es también muy estresante y dado el nivel que se le exige, implica una remuneración elevada, que muchas empresas ne se pueden permitir. Quizá por todo ello la propia ley también reconoce la posibilidad que el CISO sea externo. Y ahí es donde TECNOideas os puede ayudar.
Para entenderlo mejor, os invitamos a leer un par de artículos publicados en este blog. En el primero de ellos, explicamos detenidamente las funciones que debe tener un CISO.
En el segundo os explicamos la problemática que están teniendo los CISO en todo el mundo, como por ejemplo el burnout y por eso lo titulamos 5 motivos para preferir un CISO externo en ciberseguridad.
¡Que disfrutéis del día!
- Published in CISO, Congresos, Evento, General, Medios de comunicación, Normativa, Noticias, Seguridad, Serveis, Sobre TECNOideas
¿Qué esperáis para certificaos en el ENS?
El Esquema Nacional de Seguridad (ENS) está a punto de actualizarse, tras más de diez años de haberse aprobado su creación. El texto del Proyecto de Real Decreto que va a regular el nuevo ENS incluye medidas más rígidas, por lo que se espera que la obtención del certificado sea un poco más difícil.
El ENS se ha convertido en la principal herramienta para fortalecer la ciberseguridad en el Sector Público. Desde su creación, el Centro Criptológico Nacional ha creado 61 guías (serie 800), 14 soluciones de ciberseguridad y 4 Instrucciones Técnicas de Seguridad publicadas en el BOE.
Estaba claro que era preciso realizar una revisión del ENS para afrontar las nuevas amenazas, mejorar las capacidades de vigilancia y diseñar respuestas cada vez más eficaces frente a los ataques. Además también era necesario alinearlo con el marco legal actual.
Por todo ello en mayo de 2021, el Consejo de Ministros aprobó un paquete de medidas urgentes en materia de ciberseguridad, con tres pilares básicos:
– Adoptar un Plan de Choque de Ciberseguridad.
– Actualización del Esquema Nacional de Seguridad.
– Medidas destinadas a los proveedores tecnológicos del sector público.
Recordamos que el ENS establece principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para la gestión continuada de la seguridad para la administración digital, de aplicación a las entidades del sector público y de las privadas que colaboren en la prestación de servicios públicos.
“También están obligadas a cumplir el ENS
todas las empresas del sector privado
que sean dependientes o estén vinculadas
con las Administraciones públicas.”
¡También entidades privadas!
Todavía hay empresas que piensan que el ENS no va con ellas, que sólo afecta al Sector Público. Pero eso no es así. Las empresas privadas que prestan servicios o soluciones tecnológicas a la Administración pública, estarán obligadas a cumplir con el ENS.
Estamos hablando de empresas que proveen a las Administraciones Públicas de aplicaciones comerciales, desarrollo de software, servicios de soporte y mantenimiento de sistemas de información, servicios de computación en nube, etc.
Las empresas que se presenten a licitaciones públicas relativas a servicios o productos tecnológicos deberán tener el Certificado de Conformidad con el ENS en su nivel medio o alto.
Si necesitáis un poco más de información de lo que es exactamente el ENS, las 75 medidas de seguridad que recoge o los tres niveles de riesgo (medio, alto, bajo) os invitamos a leer nuestro artículo de enero de 2021 publicado en este blog.
¿Qué esperáis para certificaos en el ENS?
TECNOideas os ayuda a obtener el ENS.
Estamos especializados en certificación, tanto a nivel
de empresa privada
como del Sector Público.
De hecho, varios ayuntamientos ya nos han confiado
el desarrollo de su certificación.
No esperéis la nueva reglamentación. Adelantaos a ella obteniendo
el Certificado de Conformidad con el ENS a través de TECNOideas.
Y si no tenéis dinero, ¿sabéis que casi lo están regalando?
Os podemos ayudar a conseguir financiación, si con eso os ayudamos a obtener esta certificación, y que consigáis más clientes.
- Published in Certificaciones, General, Normativa, Noticias, Protección de datos
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)?
Toda empresa que trabaje, preste un servicio en régimen de concesión, encomienda de gestión o contrato que le relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.) deben certificar que cumplen el Esquema Nacional de Seguridad.
El CISO determina la política de seguridad en la utilización de medios electrónicos. Está constituido por unos principios básicos y unos requisitos mínimos que permitan una protección adecuada de la información. Naturalmente todas las Administraciones deben adecuarse a ello. Pero también las entidades privadas que manejan datos sensibles, de alto riesgo, deben implantar el Esquema Nacional de Seguridad.
¿Qué es el Esquema Nacional de Seguridad?
• Es una norma jurídica que defiende la privacidad de los ciudadanos.
• Proporciona al sector público un planteamiento común de seguridad para la protección de la información.
• Su objetivo es determinar la política de seguridad en la utilización de medios electrónicos.
• Se trata de garantizar las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas.
• Es conforme con la regulación internacional y europea.
Tenéis más información en la web del Centro Criptológico Nacional.
TECNOideas os ayuda en todo el proceso de certificación.
Confiad en una empresa especializada en ciberseguridad.
Quin és el marc regulador del ENS?
• Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Se crea el Esquema Nacional de Seguridad.
• Real Decreto 3/2010 de 8 de enero. Se aprueba el ENS y determina la política de seguridad en la utilización de medios electrónicos. Fija los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
• Ley 40/2015 de 1 de octubre. Recoge el ENS en su artículo 156 apartado 2.
• Real Decreto 951/2015 de 23 de octubre. Recoge el entorno regulatorio de la Unión Europea de las tecnologías de la información y de la experiencia de la implantación del Esquema.
• Tras esta última actualización se determinó que sería exigible su completo cumplimiento a partir del 5 de noviembre de 2017.
La legislación prevé multas y sanciones para las empresas que aun no están certificadas.
Tenéis más información en el portal de la administración electrónica (PAE) del Gobierno.
La legislación prevé multas y sanciones
para las empresas que aun no están certificadas.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¿Qué medidas de seguridad recoge?
El ENS recoge 75 medidas de seguridad agrupadas en tres puntos:
• Marc organitzatiu: 4 mesures
• Marc operacional: 31 mesures
• Mesures de protecció: 40 mesures
Es por ello por lo que, dependiendo de la actividad y de las medidas que tenga una empresa existen diferentes niveles de certificación. Así hay un nivel de riesgo BAJO, MEDIO o ALTO.
Para los niveles MEDIO o ALTO, la certificación es obligatoria.
En el caso del nivel BAJO es una certificación voluntaria, pero cada vez se precisa más para ser competitivo en el mercado.
Les empreses han d'implantar els controls que estableix el ENS per a cada cas. La certificació s'aconsegueix superant una auditoria d'una entitat independent i autoritzada pel Centro Criptológico Nacional.
¿Ya estáis certificados para el Esquema Nacional de Seguridad (ENS)? ¡Certificaros con TECNOideas 2.0.!
Os ayudamos a obtener vuestra certificación. Si ya sois clientes nuestros y ya conocemos vuestras necesidades, la certificación puede ser más rápida.
Si todavía no nos conocéis, podéis certificaros con nosotros y así descubriréis nuestra forma de trabajar y nuestra experiencia.
- Published in Consultoría, General, Noticias, Protección de datos, Seguridad
Català 
Español