Proceso de Adecuación

Para llevar a cabo el proceso de Certificación/Conformidad con el ENS es necesario elaborar un Plan de Adecuación (Fase 5ª del Proceso) que, en sí mismo, incluirá las cuatro (4) fases previas del proceso (Política de Seguridad, Categorización de Sistemas, Análisis de Riesgos y Declaración de Aplicabilidad/Perfil de Cumplimiento).

El plan de adecuación contendrá la siguiente información:

  • Preparar y aprobar la Política de Seguridad, incluyendo la definición de roles y la asignación de responsabilidades.
  • Categorizar los sistemas atendiendo a:
    • Valoración de la información manejada, teniendo en cuenta si incluye datos de carácter personal
    • Servicios prestados y su valoración
  • Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.
  • Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS y Perfil de Cumplimiento.
  • Elaborar un Plan de Mejora para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.

Fases del proceso de certificación y Conformidad en el ENS

La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal auditoría deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado que pudieran repercutir en las medidas de seguridad que deban adoptarse.

Para la determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categoría BÁSICA bastará con la ejecución de un procedimiento de autoevaluación que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal autoevaluación deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado, que pudieran repercutir en las medidas de seguridad que deban adoptarse.

Siendo obligatoria la Auditoría en sistemas de categorías MEDIA o ALTA, nada impide que un sistema de categoría BÁSICA se someta igualmente a una Auditoría formal de verificación de conformidad, siendo esta posibilidad siempre la deseable.

Como se desprende de lo contenido en el Anexo I del ENS, la conformidad con la norma de un sistema de información concreto pasa necesariamente por adoptar y manifestar que se han implementado las medidas de seguridad requeridas para tal sistema, atendiendo a su categoría (BÁSICA, MEDIA o ALTA), y asegurando que tales medidas se mantienen a lo largo de todo el ciclo de vida del sistema.

Los organismos a los que se aplica el ENS están obligados a cumplimentar e informar sobre el Estado de Seguridad. Para cumplir con este mandato, el CCN ha desarrollado el proyecto INES (Informe Nacional del Estado de Seguridad) con el fin de facilitar la labor de todos los organismos:

    INES. Informe del Estado de la Seguridad en el ENS

La gestión de la seguridad de la información es un proceso sujeto a cambios constantes. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de nuestros sistemas.

Por ello es necesario implantar un proceso de actualización continua, que conllevará, entre otras acciones:

  • Revisión de la Política de Seguridad de la Información.
  • Revisión de la información y los servicios, y su categorización.
  • Actualización del análisis de riesgos, al menos anualmente.
  • Revisión de la Declaración de Aplicabilidad o del Perfil de Cumplimiento.
  • Realización de auditorías internas.
  • Revisión del Plan de Mejora.
  • Revisión de las medidas de seguridad.
  • Revisión y actualización de procedimientos.
  • Revisión del Estado de Seguridad. INÉS.

Ciclo de mejora continua

Ciclo de mejora continua

La Federación Española de Municipios y Provincias (FEMP), con la colaboración del Centro Criptológico Nacional, ha hecho público el Libro de recomendaciones: Itinerario de adecuación al Esquema Nacional de Seguridad (ENS). En él se hace una descripción de las pautas, requisitos y los pasos a seguir, para conseguir definir una hoja de ruta personalizada para la adecuación al ENS de las entidades locales, teniendo en cuenta la definición y marco legal del esquema, los roles a adoptar según las competencias dentro de la organización, el modelo a seguir dividido en varias fases, actuaciones, tareas y niveles así como distintos sistemas de medición. Se incluye, además, las medidas de protección que se deberían implantar en las instalaciones de los ayuntamientos, la gestión del personal, los equipos y las comunicaciones, los soportes de información, las aplicaciones informáticas, la información y los servicios prestados.

Más información

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.