Las tecnologías de la información y la comunicación (TIC) ya forman parte de nuestro día a día, las utilizamos tanto a nivel personal como profesional. Esta democratización de su uso nos ha proporcionado grandes ventajas pero también nos ha puesto en riesgo ya que estamos expuestos a las conocidas como ciberamenazas que presentan problemas en la seguridad nacional, la prosperidad económica, el estado de derecho y de bienestar y el corriente funcionamiento de las administraciones públicas y la sociedad. Ante este panorama la seguridad de la información es una cuestión que las organizaciones, sean públicas o privadas, han de tener implantada en todos los niveles de su estructura contando con los profesionales y medios adecuados que lo garanticen. En el caso de la administración pública es una cuestión de obligado cumplimiento al tener que aceptar el Esquema Nacional de Seguridad (ENS). Pero, ¿qué es el ENS? ¿Por qué es necesario? ¿Cómo se aplica en la empresa privada? A continuación damos respuesta a las dudas sobre la aplicación del marco regulatorio en ciberseguridad.

El ENS, hacia una mayor seguridad y confianza

El Esquema Nacional de Seguridad es una normativa que establece una serie de reglas y principios que garantizan el acceso, disponibilidad, integridad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, servicios e informaciones que se usan en medios electrónicos y que son gestionados por las administraciones públicas. De esta manera, el
Esquema Nacional de Seguridad brinda a los ciudadanos protección a la hora de realizar los procesos que implican sistemas, datos y comunicaciones electrónicas en estos organismos.

Más en concreto sus objetivos son los siguientes: crear las condiciones óptimas de confianza en la utilización de los medios electrónicos con medidas que garanticen la seguridad de información y los servicios electrónicos; establecer una política de seguridad en el uso de dichos medios; introducir los elementos que han de orientar la actuación del sector público en cuanto a seguridad de las TIC; aportar un lenguaje común que facilite la interacción de las administraciones; aportar un tratamiento homogéneo de la seguridad para que la cooperación en la prestación de servicios de la e-administración sea más sencilla; y facilitar un tratamiento constante de la seguridad.

Es una normativa absolutamente necesaria, ya que si un servicio público hace un uso intensivo de las TIC ha de velar para que estas sean seguras, para que los trámites que un ciudadano pueda realizar desde su casa con su ordenador o dispositivo móvil tengan las mismas garantías que si lo efectuara de forma presencial.

¿Una normativa también para el sector privado?

Como queda constancia en el Real Decreto 3/2010 las administraciones públicas debían adecuarse al Esquema antes del 30 de enero de 2014. Sin embargo, aunque no es de obligado cumplimiento se recomienda que las empresas privadas que traten con datos sensibles implanten el
Esquema Nacional de Seguridad ya que el Reglamento General de Protección de Datos (RGPD) sí que subraya la necesidad de determinar medidas acordes con la tecnología, volumen y tipología de datos tratados como análisis de riesgos previo o evaluaciones de impacto.

La obligatoriedad en el sector público se reforzó con lo dispuesto en la LOPD 3/2018 que estableció que el Esquema Nacional de Seguridad incluyera “las medidas que se tengan que implantar en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del RGPD”.

Esto ha comportado que si una empresa privada presta un servicio y accede a los datos de entidades como órganos constitucionales, jurisdiccionales, Administración General del Estado, de comunidades autónomas, entidades que integran la Administración Local, organismos públicos y entidades de derecho público en relación con las Administraciones Públicas, administraciones independientes, el Banco de España, corporaciones de Derecho público, fundaciones y universidades públicas, consorcios, grupos parlamentarios de las Cortes Generales, Asambleas Legislativas autonómicas, grupos políticos de las Corporaciones Locales deba implantar las medidas de seguridad exigidas a la entidad por el Esquema Nacional de Seguridad. De la misma manera esta obligación también la tienen terceros que presten un servicio en régimen de concesión, encomienda de contrato o gestión.

Velorcios Group proporciona a las empresas el mejor asesoramiento para que estas puedan adaptarse al Esquema Nacional de Seguridad y garantizar la máxima seguridad de sus datos.

eBook Velorcios-lidiar con los datos