Esquema Nacional de Seguridad - ENS
El artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece el Esquema Nacional de Seguridad (ENS), renovado mediante el R.D. 311/2022, el cual está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
El Artículo 31 del ENS señala que los sistemas de información a los que se refiere el real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad. Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.
El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados. Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas, todo ello de conformidad con la citada Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
Conformidad con el ENS
El Artículo 38 del ENS establece que los sujetos responsables de los sistemas de información a que se refiere el apartado anterior darán publicidad, en los correspondientes portales de internet o sedes electrónicas a las declaraciones y certificaciones de conformidad con el ENS, atendiendo a lo dispuesto en la mencionada Instrucción Técnica de Seguridad.
Podrá solicitar la certificación de conformidad con el ENS a una entidad reconocida por el CCN-CERT, nosotros le acompañaremos durante el proceso de auditoría de certificación.
El Artículo 10 del ENS: Vigilancia continua y Reevaluación periódica, establece que, las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.
El alcance del servicio es un plan de mantenimiento anual del ENS implantado en su organización, con la finalidad de revisar, adecuar y mejorar el sistema, de acuerdo a los principios básicos y requisitos mínimos de seguridad que establece.
El alcance se ciñe, dentro del ámbito descrito anteriormente, a la realización de las siguientes tareas:
- Revisar documentación ENS.
- Revisar Política.
- Revisar categorización ENS.
- Revisar catálogo de normas y procedimientos.
- Revisar normativa interna de seguridad.
- Revisar proceso de autorizaciones.
- Revisar guías técnicas.
- Revisar el análisis de Impacto al Negocio (BIA).
- Revisar el inventario de activos esenciales y no esenciales.
- Revisar el análisis de Riesgos.
- Revisar las medidas de seguridad del ANEXO II.
- Revisar y ajustar medidores de cumplimiento e incidentes de seguridad.
- Auditoría bienal.
- Formación y concienciación.
- Cumplimentación del informe INES.
- Asesoramiento técnico y legal.
Las siguientes entidades locales han confiado en nosotros para la realización de los diferentes servicios ENS:
- Ayuntamiento de Zarautz.
- Ayuntamiento de Abanto-Zierbena.
- Ayuntamiento de Markina-Xemein.
- Ayuntamiento de Bermeo.
- Ayuntamiento de Orio.
- Ayuntamiento de Asteasu.
- Ayuntamiento de Amezketa.
- Ayuntamiento de Oiartzun.
- Ayuntamiento de Galdakao.
- Tribunal Vasco de Cuentas Públicas.
