Consultoría en Esquema Nacional de Seguridad

Nuestros expertos cuentan con amplia experiencia para ayudar a las Administraciones o las empresas que proveen servicios a las mismas a obtener el Certificado de Conformidad con el Esquema Nacional de Seguridad. Podemos ayudarle a implantar medidas para lograr la conformidad con el Esquema Nacional de Seguridad en sus sistemas, y a realizar las auditorías periódicas o extraordinarias.

Solicitar información

ÁMBITO DE APLICACIÓN Y PLAZOS

El ENS es aplicable a:

  • Administraciones del Estado, Comunidades Autónomas y Entidades de la Administración Local. También a entidades de derecho público dependientes de las anteriores.
  • A los ciudadanos en sus relaciones con las Administraciones Públicas.
  • A las relaciones entre las distintas administraciones públicas.

El ENS también se aplica a operadores del sector privado que prestan servicios o provean soluciones a entidades públicas.

El plazo inicial para adecuarse al ENS se establecía hasta el 30 de enero de 2014, según el Real Decreto 3/2010. Posteriormente, (enlace) Real Decreto 951/2015, de 23 de octubre, amplía el plazo hasta el 4 de noviembre de 2017.

ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

Para adecuarse al Esquema Nacional de Seguridad se deben llevar a cabo varios puntos:

  • Preparación y aprobación de la política de seguridad.
  • Categorizar los sistemas según la información manejada y los servicios prestados.
  • Realizar el análisis de riesgos.
  • Preparar la Declaración de Aplicabilidad, un resumen de las medidas del Anexo II del ENS que son aplicables.
  • Elaborar un plan de adecuación para la mejora de la seguridad sobre las deficiencias detectadas, incluyendo plazos estimados de ejecución.
  • Implantar, operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad.
  • Auditar la seguridad.
  • Informar sobre el estado de la seguridad

.

OBTENCIÓN DE LA CERTIFICACIÓN DE CUMPLIMIENTO DEL ENS

Una vez que se han implantado los distintos puntos y medidas del Esquema Nacional de Seguridad, se puede obtener el certificado que acredita de manera formal que la implantación llevada a cabo es conforme con el ENS.

El proceso es distinto según si los sistemas información de la entidad en la que se implanta el ENS son de categoría MEDIA o ALTA, cuando un incidente cuando un incidente tendría un impacto que afectar a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, o si son de categoría BÁSICA, cuando un incidente no tendría consecuencias relevantes para la seguridad de la información o de los servicios.

Para sistemas de información de categoría BÁSICA, la conformidad con el ENS se puede declarar mediante procedimientos internos. En primer lugar, hay que realizar una auditoría interna, llamada autoevaluación cada dos años o cuando haya cambios relevantes en los sistemas. Estas autoevaluaciones las puede realizar la entidad a cargo de los sistemas. Para declarar la conformidad en sistemas de categoría BÁSICA, se debe elaborar y publicar en formato electrónico un documento llamado Declaración de Conformidad, donde se listan los sistemas y servicios prestados que son conformes con el ENS. Es elaborado internamente. Por último, la entidad a cargo de los sistemas redacta y publica un segundo documento llamado Distintivo de Declaración de Conformidad, que es un documento que acredita que se ha realizado la Declaración de Conformidad e incluye un enlace a la misma, junto con el nivel de los sistemas, en este caso BÁSICA. También es redactado por la entidad a cargo de los sistemas.

Para sistemas de categoría MEDIA o ALTA, y también de manera opcional y recomendable para sistemas de categoría ALTA, el proceso de certificación es distinto. En primer lugar, se deben realizar auditorías formales cada dos años o cuando haya cambios relevantes en los sistemas. Estas auditorías deben contar con garantías de independencia y profesionalidad, por lo que son realizadas por entidades externas. El resultado de estas auditorías es un documento llamado Certificación de Conformidad, que puede representarse mediante un Distintivo de Certificación de Conformidad, emitido por una entidad acreditada por la Entidad Nacional de Acreditación (ENAC). La Certificación de Conformidad es obligatoria para sistemas de categoría MEDIA o ALTA.

¿Qué ofrecemos?

  1. Análisis inicial

    Realizamos un análisis inicial comprobando las medidas actuales de adecuación al sistema tanto técnicas, como documentales. De esta forma, se identifican los puntos que han de ser tratados para implantar adecuadamente el ENS.

  2. Implantación del ENS

    Damos labores de consultoría para la implantación del ENS en sus sistemas, ayudándole a definir la política de seguridad, la categorización de sistemas, el análisis de riesgos, la Declaración de Aplicabilidad y elaboramos el plan de adecuación.

  3. Preparación para la auditoría ENS

    Le ayudamos en la preparación para las auditorías formales del ENS en sus sistemas, llevando a cabo una auditoría completa e identificando las no conformidades. Además, elaboramos la documentación necesaria y proporcionamos la formación precisa al personal y la dirección.

  4. Soporte continuo de negocio

    Una vez pasada la auditoría y obtenida la Certificación de Conformidad con el ENS, proporcionamos soporte para asegurar la conformidad a lo largo del tiempo y contemplando su mejora continua.