Las auditorías de seguridad son una de las labores principales de Imagar para garantizar la ciberseguridad de tu empresa. En ellas analizamos tu entorno web con los ojos de un hacker, detectando, examinando y solucionando posibles vulnerabilidades en materia de seguridad. El Esquema Nacional de Seguridad (ENS) es una norma promovida desde el Centro Criptológico Nacional (CCN) con la finalidad de proteger la privacidad de los datos de los ciudadanos cuando realizan trámites electrónicos.
El Real Decreto 311/2022, de 3 de mayo, ha actualizado el ENS
El ENS es una norma que obligatoriamente tienen que cumplir las administraciones públicas y también sus proveedores tecnológicos, además de otras organizaciones como las universidades o entidades que traten información y realicen trámites electrónicos. Pero busca también ser un referente para las organizaciones del sector privado.
Establece una serie de requisitos mínimos y de principios básicos que permitan garantizar la protección de los sistemas de información y de los datos que manejan. Su base está en la ISO 27001 que responde a la metodología Deming, cuyo objetivo es la mejora constante de los procesos a través de cuatro pasos: planificar, hacer, verificar y actuar.
El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, introduce modificaciones al RD 3/2010, actualizándolo e incluyendo aspectos que no se habían tenido en cuenta anteriormente. Los sistemas ya existentes cuentan con un periodo de 24 meses para adaptarse a los nuevos cambios.
El objetivo final del ENS es lograr la confianza de los usuarios y de las organizaciones en lo que se refiere a la utilización de medios electrónicos, garantizando la confidencialidad de la información y, por lo tanto los derechos de los ciudadanos. Para ello, la norma especifica que hay que adoptar medidas de seguridad adaptadas a los tiempos. No podemos obviar que la tecnología avanza mucho en periodos de tiempo muy cortos.
La seguridad se entiende como un proceso integral en el que intervienen elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información. La norma también explica en su artículo 7 que: “el análisis y la gestión de los riesgos es parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada”. Se busca minimizar los riesgos.
Qué niveles especifica el ENS
El ENS establece una serie de niveles de seguridad “en función de la valoración del impacto que tendría un incidente que afectase a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad”.
Para ello se tienen en cuenta cinco dimensiones de seguridad:
- Confidencialidad [C].
- Integridad [I].
- Trazabilidad [T].
- Autenticidad [A].
- Disponibilidad [D].
Cada una de ellas se tendrá que adscribir a uno de los niveles de seguridad: bajo, medio o alto. Siendo el bajo un perjuicio limitado. El medio cuando algún incidente en la seguridad suponga un perjuicio grave para el desarrollo de las funciones de la organización, para los activos o las personas afectadas. Y el alto cuando “las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad, supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados”.
Como resumen, el ENS se centra en la protección de la información y en los servicios. Demandando un control y gestión constante de la seguridad.
Las auditorías de seguridad informática de Imagar son un asesoramiento ideal para cumplir con los objetivos que permitan conseguir la certificación ENS. Para ello, contamos con un equipo técnico altamente cualificado y certificado en todo tipo de servicios de ciberseguridad, que se encarga de realizar un estudio exhaustivo, cumpliendo con las normativas de seguridad informática vigentes.