ENS PARA PROVEEDORES DE INFORMÁTICA DE LA ADMINISTRACIÓN

El Esquema Nacional de Seguridad (ENS) recoge las medidas de seguridad y protección aplicables en los sistemas y comunicaciones electrónicas para la protección de los datos del usuario.

En la actualidad, el sector de las TIC está directamente condicionado por la seguridad de la información que proporciona al usuario. Tanto, que puede ser decisivo para la contratación o renovación de un servicio mostrar la certificación de protección de datos que lleva a cabo una empresa del sector público o privado, como la del ENS.
Este compromiso muestra que la entidad cuenta con los profesionales y medios adecuados para dirigir de una forma responsable y segura los recursos físicos y lógicos.

Las medidas de seguridad y protección del ENS son de obligado cumplimiento para las Administraciones públicas y para las empresas del sector público o privado que presten servicios como proveedores de forma directa a las administraciones.

El objetivo del ENS es conseguir que los ciudadanos puedan ejercer sus derechos y obligaciones con la Administración a través de los medios digitales en un entorno seguro y responsable que preserve la privacidad de sus datos.

Rellene nuestro formulario de contacto o llámenos y solicite sin compromiso toda la información que necesita.

Solicitar presupuesto

¿QUIERES CONSEGUIR EL CERTIFICADO ENS PARA TU EMPRESA?

Contáctanos

El Real Decreto 951/2015, de 23 de Octubre, recoge que todas las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas quedarán sujetas a lo dispuesto en las normas de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP).

Por tanto, todas aquellas entidades vinculadas a la Administración están obligadas a adecuar sus medidas de seguridad y protección a lo exigido en el ENS.

El Esquema Nacional de Seguridad hace cierta diferenciación en la proporcionalidad de sus medidas para una aplicación de los requisitos acorde al nivel de seguridad necesario en cada caso.

Así surge una categorización de nivel alto, medio y bajo del nivel de seguridad de las empresas del sector público y privado.

El Real Decreto se pronuncia al respecto indicando que: “Los operadores del sector privado que presten o provean servicios a las entidades públicas, deberán poder exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías Media o Alta”.

En consecuencia, las empresas del sector privado deberán implantar las medidas y requisitos del ENS cuando estén estrechamente relacionadas con la Administración pública, y cuando la categorización de sus servicios o sistemas sea de un nivel de seguridad definido como Medio o Alto.

¿Necesita comprobar el nivel de seguridad de sus servicios? ¿Tiene una estrecha vinculación con las Administraciones públicas o desea tenerlo?

En todos estos casos implantar las medidas de seguridad y protección del ENS es fundamental para el futuro y continuidad de una empresa.

¿Por qué los proveedores de informática de la Administración pública deben obtener la certificación del Esquema Nacional de Seguridad?

Cualquier empresa involucrada en el sector de las TIC debe de adecuarse a las políticas de seguridad para los datos del usuario del ENS.

Desde la creación del Esquema Nacional de Seguridad, y pese a que no entró en vigor en el mejor momento económico del país, su implantación en empresas TIC y proveedores de informática de la Administración ha experimentado un rápido crecimiento.

Según el INE, las estadísticas del primer trimestre de 2010 indican que un 22% de usuarios devolvió formularios cumplimentados a la Administración pública.
10 años más tarde, en el primer trimestre de 2020, esa cifra aumenta hasta un 52% de usuarios que utilizan las sedes electrónicas para realizar gestiones con la administración aportando sus datos en formularios a través de conexiones con las sedes electrónicas.

Estos datos que recoge el INE sobre el comportamiento del usuario con el paso del tiempo no hacen más que evidenciar la digitalización que se está experimentando para todas las obligaciones y derechos que tienen los ciudadanos.

Todo responsable de una empresa TIC o responsable de los servicios prestados a la Administración debe de adecuar las garantías y valores de su empresa a la demanda actual.

La aplicabilidad del Esquema Nacional de Seguridad es un requisito que ya se está viendo materializado en los pliegos de condiciones para los diferentes concursos públicos. Por tanto, poseer los certificados de conformidad del Esquema Nacional de Seguridad es una condición ineludible para la contratación. Un motivo más para decidirse a implantar las medidas y políticas del ENS.

Llámenos y solicite ya la certificación del Esquema Nacional de Seguridad para proveedores de Informática de la Administración y obtenga la diferenciación que necesita para el futuro de su organización.

¿Qué empresas deben cumplir el Esquema Nacional de Seguridad?

El Esquema Nacional de Seguridad es obligatorio para la Administración pública y para todas aquellas empresas proveedoras que presten algún servicio relacionado con la seguridad de la información en estas entidades.

Así, los prestadores de sistemas o servicios directos para la Administración y aquellas entidades que tengan un nivel de categorización de seguridad medio o alto, deben de ofrecer una política de seguridad adecuada a las medidas del ENS para ofrecer un entorno seguro, de confianza y responsable al usuario.Tal y como hace la Administración pública.

Obligaciones de los prestadores de servicios de TI y proveedores de la informática de la administración

Las obligaciones de los prestadores de servicios de TI se han detallado en varias publicaciones elaboradas por el Centro Criptológico Nacional (CCN).

La información que los proveedores deben de ofrecer a la administración pública sobre los servicios contratados es la siguiente:

• Descripción de servicios y modalidad.
• Información sobre la arquitectura de seguridad.
• Ubicación de la información.
• Medidas de seguridad utilizadas.
• Cumplimiento de la normativa vigente de protección de la información.
• Incidentes de seguridad.
• Cadena de subcontratación y cambios.
• Seguimiento de los Acuerdos de Nivel de Servicio (SLA).

Otro de los requerimientos para las empresas prestadoras de servicios es informar a las Administraciones sobre los servicios con información y datos almacenados en la nube.
La guía CCN-STIC 823 elaborada por el CCN, Microsoft y AWS (Amazon Web Services) detalla los requerimientos del ENS para los servicios cloud.

Por último, también es obligatorio detallar los Sistemas implantados en la infraestructura tecnológica en modo local (On-Premise). Estos requisitos se detallan en la guía CCN-STIC 858 Implantación de sistemas SaaS en modo local.

Las soluciones on-premise implantan las medidas de seguridad entre el proveedor y la organización. Para una instalación y configuración adecuada se debe de aportar toda la información al cliente.

Los documentos que aportan las empresas proveedores de informática a las administraciones son:

• Guía de instalación y configuración segura del sistema destinada a administradores..
• Guía de uso seguro del sistema destinada al usuario final.
• Guía de relación entre proveedor y cliente, donde se detalla el responsable de cada uno de los controles de seguridad del ENS.

Para cumplimentar correctamente las obligaciones y políticas de seguridad del ENS se debe de contar con la ayuda y los servicios de un servicio de consultoria ISO especializado en seguridad y privacidad de la información.

Contacte con nuestro equipo y solicite un presupuesto sin compromiso para obtener esta certificación con garantías, seguridad y con todas las ventajas que aporta este certificado a los proveedores de informática para la Administración.