Esquema Nacional de seguretat, ENS
Ja fa uns anys que la tecnologia va irrompre a les nostres vides de forma quotidiana. El gran ús que en fem, així com la imparable evolució de tecnologies disruptives, suposen un enorme desafiament per a la ciberseguretat. Aquesta creixent dependència de la societat per tecnologia ha incrementat els riscos i amenaces que comporta el seu ús, requerint respostes adaptades a les constantment renovades necessitats.
Desafiaments i amenaces
Els desafiaments que presenta la dependència tecnològica són el resultat d’una sèrie de factors interrelacionats, com ara l’evolució de les amenaces cibernètiques amb el desenvolupament de noves tècniques i eines per comprometre la seguretat de sistemes, xarxes i dades. Això inclou programari maliciós sofisticat, atacs d’enginyeria social i tècniques d’evasió avançades. A més, amb la proliferació de dispositius connectats a Internet a Internet de les Coses (IoT), el núvol i la virtualització, la superfície d’atac s’ha expandit significativament. Cada dispositiu connectat representa una possible porta d’entrada per als ciberdelinqüents.
L’acumulació massiva de dades provocada per la digitalització de la informació és una altra vulnerabilitat a què ens enfrontem com a societat. Protegir aquestes dades, moltes de les quals són sensibles i privades, és crucial per garantir la privadesa de les persones i evitar el robatori d’identitat o “phising” .
Amb vista a l’augment de les amenaces cibernètiques, els governs, tant a nivell europeu com nacional, han fet un esforç per incrementar els nivells de ciberseguretat mitjançant l’evolució de regulacions i normatives que garanteixin la seguretat de les dades i la privadesa.
Aquest esforç ha donat com a resultat l’actualització de dues normes clau per a la ciberseguretat al nostre país: el Reial Decret 311/2022 , de 3 de maig, pel qual es regula l’ Esquema Nacional de Seguretat (ENS) i la norma ISO 27001 Information security, cybersecurity and privacy protection & Information security manage.
Què és l’Esquema Nacional de Seguretat (ENS)?
L’Esquema Nacional de Seguretat (ENS) és un marc regulador i de referència, establert a Espanya, en base a la legislació espanyola i les regulacions europees relacionades amb la seguretat de la informació, amb l’objectiu de crear les condicions necessàries de confiança en l’ús de mitjans electrònics, a través de mesures per garantir la seguretat dels sistemes, les dades, les comunicacions i els serveis electrònics, que permeti al ciutadà ia l’administració pública.
L’ENS neix el 2010 amb el Reial Decret 3/2010, de 8 de gener, el qual estableix els principis i requisits necessaris per protegir la confidencialitat, integritat, disponibilitat i autenticitat de la informació a les entitats i organismes públics.
Canvis Clau del nou Esquema Nacional de Seguretat (RO 311/2022)
El 2022, es deroga l’anterior decret i entra en vigor el Reial decret 311/2022, de 3 de maig. En aquest decret es recullen nous objectius com:
- La designació d’un punt o persona de contacte (POC) de seguretat de la informació designada pel prestador de serveis
- La protecció de la cadena de subministrament dins de la continuïtat del servei, de manera que el proveïdor garanteixi la prestació del servei en cas de patir una contingència, mesura exigible a la categoria ALTA
- El nou principi de vigilància continua per a l’avaluació permanent de l’estat de seguretat dels actius
- Notificació d’incidències de seguretat al CNN-CERT ia l’ INCIBE-CER
- Professionalitat i capacitació exigible als responsables de la seguretat en una organització, a més de la mesura ja existent de formació i conscienciació en seguretat per als usuaris de l’organització, cosa que ha de garantir la capacitació adequada per als responsables de la seguretat i la sensibilització i l’existència d’una cultura de seguretat dins de l’organització. Cal esmentar que tant el CCN com l’ INAP ofereixen programes de sensibilització i formació.
- S’estableixen noves mesures de seguretat , recollint mesures obligatòries i mesures opcionals o de reforç
- Serveis al núvol
- Interconnexió de sistemes
- Protecció de la cadena de subministrament
- Mesures de seguretat de reforç als controls
- Agrupació dels mitjans alternatius al control de continuïtat del servei.
- Vigilància
- Altres dispositius connectats a la xarxa
El termini dadequació al nou ENS per a les entitats públiques i privades que prestin serveis o prestin solucions a les administracions públiques, és fins al 05 de maig de 2024.
Esbrina com les nostres solucions poden millorar la seguretat de la teva organització
L’ENS s’ha de complir en tots els serveis que l’Administració presta al ciutadà, entre ells serveis com:
- Seus electròniques
- Registres electrònics
- Sistemes d’informació accessibles electrònicament pels ciutadans
- Sistemes d’informació per a l’exercici de drets
- Sistemes d’informació per al compliment de deures
- Sistemes d’informació per demanar informació i estat del procediment administratiu
Quins beneficis aporta l’aplicació i el compliment de l’ENS?
En establir un marc comú de seguretat de la informació per al sector públic, així com als proveïdors que col·laboren amb l’Administració, l’ENS garanteix la coherència i uniformitat en la gestió de la seguretat a diferents entitats i organismes, establint estàndards.
Un dels seus objectius principals és abordar la seguretat de tots els actius que integren un sistema d’informació amb un enfocament global de la seguretat : seguretat de les instal·lacions, de les comunicacions, del SW, de l’operativa del sistema, dels usuaris, etc.
A l’ENS s’estableixen mesures i controls de seguretat, que ajuden a protegir la informació sensible, amb l’obligació de complir la normativa aplicable en matèria de protecció de dades personals, informació financera i altres actius importants. A més, promou la identificació, avaluació i gestió de riscos de seguretat de la informació , cosa que permet a les organitzacions públiques i privades a prendre decisions informades sobre com protegir els seus actius de manera efectiva.
Davant possibles ciberatacs o altres problemes, l’ENS assegura que les organitzacions puguin mantenir la prestació de serveis essencials fins i tot en situacions de crisi , afavorint la continuïtat del negoci.
El seu compliment promou la conscienciació en seguretat de la informació i la capacitació dels empleats, cosa que ajuda a crear una cultura de seguretat . A més, es genera confiança en la gestió de la informació per part de les entitats i els organismes del sector públic. Els ciutadans i les empreses confien que les seves dades es manejaran de manera segura.
Els diferents nivells de seguretat contemplats a l’ENS
L’Esquema Nacional de Seguretat (ENS) a Espanya defineix tres categories de seguretat: Bàsica, Mitjana i Alta, aquesta categorització del sistema vindrà determinada per la valoració que s’hagi efectuat de la informació i els serveis en les diferents dimensions de seguretat, establint la categoria del sistema, el valor més alt atorgat a una dimensió de seguretat.
El mateix ENS defineix al seu Annex II les mesures de seguretat que s’hauran de complir, diferenciant, com ja feia l’anterior Reial decret, entre mesures del marc organitzatiu, mesures operacions i mesures de protecció específiques per a cada tipus d’actiu, en total, 73 mesures l’aplicació de les quals dependrà de la categoria del sistema, incrementant-se la seva aplicació des de la categoria Bàsica a la categoria 7 en la qual s’han d’aplicar .
Vintegris se certifica amb l’ENS nivell ALT aplicant els 73 controls de seguretat exigits a la norma
El nivell alt de l’ENS ofereix més protecció i seguretat per a la informació crítica del sector públic i garanteix una resposta més efectiva davant d’amenaces avançades.
Entre els seus avantatges trobem:
- Major protecció d’informació sensible : El nivell alt de l’ENS s’aplica a informació d’alt nivell de classificació, cosa que significa que es brinda una protecció més rigorosa a la informació més crítica i sensible del sector públic, amb mesures de protecció quan està emmagatzemada i en trànsit amb el xifrat de la mateixa
- Millor resistència a amenaces avançades : Les mesures de seguretat al nivell alt estan dissenyades per fer front a amenaces cibernètiques més sofisticades i persistents, com atacs dirigits o avançats, exigint la vigilància contínua
- Major control d’accés : Al nivell alt, s’estableixen controls d’accés més estrictes, cosa que limita qui pot accedir a la informació crítica. Això redueix significativament el risc daccés no autoritzat.
- Pla de continuïtat robust : Es requereixen plans més detallats de continuïtat del negoci i recuperació de desastres al nivell alt de l’ENS, cosa que garanteix la disponibilitat dels serveis crítics en situacions de crisi.
- Més èmfasi en l’auditoria i supervisió : L’exigència de supervisió contínua i la realització d’auditories internes al nivell alt, la qual cosa ajuda a detectar i respondre ràpidament a possibles amenaces o incidents de seguretat.
- Major confiança pública : El compliment del nivell alt de l’ENS demostra un compromís sòlid amb la seguretat de la informació i pot augmentar la confiança del públic en els serveis governamentals i la gestió de la informació.
- Preparació per a incidents avançada : Es requereix un pla de resposta a incidents més detallat i efectiu en el nivell alt, cosa que permet una acció més ràpida i eficient davant esdeveniments de seguretat.
Tot i que posar en pràctica aquestes mesures implica un esforç i un cost addicional en termes d’implementació i manteniment, a Vintegris valorem els avantatges que aquest nivell de seguretat aporta als nostres clients.