Blog de Ciberseguridad

ENS (Esquema Nacional de Seguridad) y Ciberseguridad

Oct 20, 2024

ENS-ciberseguridad

ENS y la Ciberseguridad

El Esquema Nacional de Seguridad (ENS) tiene como objetivo garantizar la ciberseguridad de la información gestionada por los sistemas de información en el sector público en España. El ENS clasifica los sistemas en tres niveles de seguridad: bajo, medio y alto, dependiendo de la criticidad de la información y el impacto que tendría un incidente sobre su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad que afectaría al servicio que se les da a los ciudadanos. Ya comentamos en un artículo el ENS y quien debe cumplirlo, niveles de ciberseguridad del ENS, clica aquí para leerlo, ENS al detalle.

A continuación, te detallo los requisitos básicos del ENS para un sistema clasificado en el nivel bajo:

  1. Marco Organizativo

Este conjunto de medidas define cómo debe organizarse la ciberseguridad dentro de la empresa pública.

  • Política de ciberseguridad: Se debe disponer de una política de seguridad aprobada y publicada por la entidad.
  • Estructura organizativa de ciberseguridad: Se debe asignar a personas responsables de la ciberseguridad dentro de la organización (responsables de ciberseguridad y responsables del sistema).
  • Gestión de riesgos en ciberseguridad: Se debe realizar una evaluación de riesgos para identificar, analizar y tratar los riesgos que afecten a los sistemas de información.
  • Autorización y supervisión: El sistema debe ser autorizado formalmente para su operación y estar bajo un proceso de supervisión continua y moniotrización.
  • Concienciación y formación: El personal debe recibir formación sobre ciberseguridad y estar concienciado sobre su importancia.
  1. Marco Operativo

Este bloque se enfoca en la implementación de medidas técnicas y operativas.

  • Protección de la información y servicios: Se deben aplicar medidas de protección que garanticen la confidencialidad, integridad y disponibilidad de la información tratada por el sistema o servicio.
  • Gestión de accesos: Controlar el acceso a los sistemas, asegurándose de que solo las personas autorizadas pueden acceder a los recursos y la información, controlando las acciones que pueden realizar.
  • Gestión de incidentes: Se debe disponer de un procedimiento para la gestión de incidentes de ciberseguridad, desde su detección hasta su resolución, todas las fases, incluida la notificación.
  • Mantenimiento de la seguridad: Se deben realizar tareas de mantenimiento preventivo y correctivo en ciberseguridad para asegurar el buen funcionamiento de los sistemas.
  • Seguridad en el ciclo de vida de los sistemas: Asegurar que las medidas de ciberseguridad se implementan desde la fase de diseño hasta la retirada del sistema, desde el origen del diseño del sistema.
  1. Medidas de Protección Específicas para Nivel Bajo

Este nivel se orienta a proteger sistemas cuyo impacto ante un incidente es limitado. Las medidas de ciberseguridad para el nivel bajo deben cubrir los siguientes aspectos:

  • Autenticación básica: Requiere autenticación mediante usuario y contraseña para el acceso a los sistemas.
  • Gestión de copias de seguridad: Debe garantizarse que existen copias de seguridad y que se puede recuperar la información en caso de incidente, realizando pruebas.
  • Protección contra malware: Se deben emplear medidas para proteger el sistema frente a software malicioso, XDR o EDR, con consola centralizada.
  • Cifrado de información en tránsito: Para los sistemas de nivel bajo, se recomienda el uso de cifrado cuando sea adecuado, especialmente en comunicaciones externas.
  • Registro y auditoría: Se debe realizar un registro mínimo de las actividades relevantes del sistema para permitir la auditoría y detección de incidentes de ciberseguridad, de manera segura y cumpliendo con necesidades de forense.
  1. Medidas de Protección Física

Incluyen la protección física de las instalaciones donde se albergan los sistemas de información.

  • Control de acceso físico: Se debe limitar el acceso a las áreas sensibles a personal autorizado.
  • Protección de los soportes de información: Los soportes físicos de información deben estar protegidos contra acceso no autorizado y robo, teniendo en cuenta la posibilidad de cifrarlos.
  1. Medidas de Protección de Comunicaciones

Este punto se centra en la protección de las comunicaciones y las redes, protección perimetral de la ciberseguridad.

  • Protección de redes: Se deben implementar medidas para proteger las redes contra accesos no autorizados y garantizar la disponibilidad de los servicios de red. Requiere monitorización.
  • Seguridad en la interconexión de sistemas: Garantizar que las interconexiones con otros sistemas o servicios no comprometan la ciberseguridad del propio sistema.
  1. Medidas de Continuidad del Negocio

Es fundamental garantizar la capacidad del sistema para continuar operando en caso de incidente y continuar con el servicio a los ciudadanos.

  • Plan de continuidad: Se debe definir un plan básico de continuidad que permita la recuperación de los servicios críticos en un tiempo razonable, RTO y RPO de la organización.
  • Gestión de desastres: Se deben prever mecanismos de recuperación ante desastres para garantizar la disponibilidad de los servicios para los ciudadanos.

ENS-ciberseguridad

ENS

Resumen de los requisitos más importantes del ENS para nivel bajo:

  • Establecer una política de seguridad formal y clara.
  • Tener un responsable de ciberseguridad y realizar evaluaciones (análisis) de riesgos.
  • Implementar mecanismos básicos de autenticación y control de acceso.
  • Gestionar copias de seguridad y proteger contra malware la organización.
  • Mantener un registro de auditoría mínimo de todos los sistemas relevantes.
  • Proteger físicamente las instalaciones y los soportes de información.
  • Asegurar la protección de las comunicaciones y redes.
  • Desarrollar un plan de continuidad que cubra incidentes en ciberseguridad menores.

El ENS nivel bajo establece medidas de ciberseguridad menos rigurosas que los niveles medio o alto, pero sigue proporcionando un nivel de protección adecuado para organizaciones con riesgos limitados. Mas adelante explicaremos las medidas sobre el nivel medio y alto.

Si buscas proteger tu organización contra ataques y cumplir con los requisitos del ENS, es vital identificar el nivel adecuado de protección e implementar las medidas correspondientes para asegurar la ciberseguridad de la información y poder dar servicio a los ciudadanos, evitando las sanciones pertinentes.

Solicita el Kit Consulting en Ciberseguridad para implementar el ENS Kit consulting Ciberseguridad

ENS CCN Cert

ISO 27001, SGSI, ENS

Consultoría Ciberseguridad

Kit consulting Ciberseguridad 

Contacta con BCNSoluciona
Ir al contenido