Com implementar l’ENS pas a pas en una organització

Implementar l’Esquema Nacional de Seguretat (ENS) en una organització és un procés rigorós que exigeix planificació, execució tècnica i control continu. L’ENS és un marc legal obligatori a Espanya per a entitats del sector públic i per a les privades que gestionen dades sensibles o presten serveis per a l’administració, amb l’objectiu de garantir que la informació i els serveis electrònics siguin gestionats sota requisits de seguretat clars i homogènies.

Resum: context sobre l’ENS

L’Esquema Nacional de Seguretat és un marc regulatori establert pel Reial Decret 311/2022, que obliga a aplicar principis i requisits mínims de seguretat als sistemes d’informació i serveis de les administracions públiques i els seus proveïdors. El seu objectiu és protegir la confidencialitat, integritat, disponibilitat, traçabilitat, autenticitat i conservació de la informació, adoptant una gestió de seguretat basada en riscos.

Els principis fonamentals de l’ENS giren al voltant d’una seguretat integral que cobreix des de la prevenció fins a la detecció i resposta davant incidents, amb rols i responsabilitats clarament definits i vigilància contínua dels sistemes. Aquests principis formen la base sobre la qual es construeix tot el procés d’implementació.

Complir amb l’ENS és legalment obligatori per a molts organismes a Espanya, incloent-hi totes les administracions públiques i les empreses que contracten amb elles. A més d’evitar sancions i exclusió en processos de contractació pública, implementar l’ENS millora la resiliència davant ciberatacs, la gestió de riscos i la confiança de clients i usuaris.

Com preparar la teva organització per a l’ENS: Fases a tenir en compte

Fase 1: Preparació i anàlisi inicial

Abans d’implantar formalment l’ENS en una organització és crucial realitzar una preparació profunda que estableixi les bases de tot el projecte.

Avaluació de l’abast i diagnòstic de la situació

El primer pas en la implementació de l’ENS és entendre la situació real de l’organització. Això implica avaluar l’estat actual dels sistemes d’informació, les polítiques existents, els procediments i les capacitats tècniques i organitzatives. Sense aquest diagnòstic precís, qualsevol pla d’implantació careixeria de fonament.

Aquest anàlisi ha de documentar els actius d’informació, els fluxos de dades, les amenaces existents i les vulnerabilitats de l’entorn tecnològic. És fonamental per establir quins sistemes han d’entrar en el procés d’adequació i quin és el seu nivell de risc.

Identificació de l’obligatorietat de compliment

Tot i que moltes organitzacions saben que és necessari complir amb l’ENS, no totes verifiquen formalment si estan subjectes a aquesta obligació. Cal confirmar si l’organització efectivament ha d’implementar l’ENS, cosa que depèn de si és una entitat pública, proveïdora de serveis públics o gestiona informació sensible per a l’administració.

Fase 2: Pla d’adequació

Amb el diagnòstic inicial completat, l’etapa següent consisteix a dissenyar un pla estructurat que guiï la implantació.

Definició de l’abast i categorització de sistemes

El pla d’adequació s’inicia amb la definició de quins sistemes d’informació entraran en el procés d’implementació. No tots els sistemes d’una entitat tenen la mateixa complexitat ni la mateixa criticitat, per la qual cosa cada un ha de ser categoritzat segons el seu nivell de seguretat requerit per l’ENS: bàsic, mig o alt.

Aquesta categorització es basa en les dimensions de seguretat (confidencialitat, integritat, disponibilitat, etc.) i determina quines mesures de l’Annex II de l’ENS s’apliquen en cada cas.

Elaboració de la Política de Seguretat

La Política de Seguretat és el document rector del sistema de seguretat de l’organització. Defineix els objectius de seguretat, els rols i responsabilitats, les competències dels departaments implicats i estableix com es gestionarà la seguretat de la informació en el dia a dia.

Es tracta d’un document obligatori i fonamental que ha de ser aprovat per la direcció de l’entitat i alineat amb els principis de l’ENS.

Anàlisi de riscos i Declaració d’Aplicabilitat

Un cop definit l’abast i les polítiques, es realitza un anàlisi de riscos per a cada sistema. Aquest anàlisi identifica les amenaces, avalua l’impacte i la probabilitat de cada risc i serveix de base per seleccionar les mesures de seguretat necessàries.

La Declaració d’Aplicabilitat (DoA) recull quins controls s’apliquen i per què, basant-se en l’anàlisi de riscos i en la categorització dels sistemes. Aquest document és essencial per demostrar que s’ha seguit un mètode rigorós i coherent per implementar les mesures de l’ENS.

Fase 3: Implantació de les mesures de seguretat

Amb el pla d’adequació aprovat, es procedeix a desplegar les mesures tècniques i organitzatives contemplades a la DoA.

Implementació de mesures organitzatives

Les mesures organitzatives són aquelles que afecten la gestió de la seguretat a l’organització, incloent-hi la definició de rols i responsabilitats, la formació del personal i la conscienciació d’usuaris sobre bones pràctiques de seguretat.

És important que aquestes mesures no es quedin en documents, sinó que s’integrin com a processos habituals dins de l’organització, garantint que tot el personal entén el seu paper en la seguretat global.

Implantació tècnica de mesures de seguretat

La implementació tècnica cobreix tots els aspectes tecnològics necessaris per complir amb els requisits de l’ENS: configuracions segures de xarxes i sistemes, controls d’accés, xifrat de dades, monitorització, còpies de seguretat i protecció contra malware, entre altres.

Aquestes mesures han d’estar documentades, provades i verificades per assegurar que funcionen com s’espera i que són coherents amb la política de seguretat de l’entitat.

Fase 4: Auditoria i certificació

Un cop desplegades les mesures, l’organització ha de sotmetre’s a processos d’avaluació que acreditin el compliment real amb l’ENS.

Auditoria formal i avaluació interna

Per a sistemes de categoria mitjana i alta, la conformitat amb l’ENS es verifica a través d’auditories formals realitzades per entitats acreditades. Aquestes auditories comproven que les mesures no només estan documentades, sinó que realment s’apliquen i funcionen correctament.

En sistemes de categoria bàsica, l’avaluació pot ser una autoavaluació, tot i que res impedeix sotmetre’s també a auditories externes.

Obtenció de la certificació de conformitat ENS

Un resultat positiu de l’auditoria permet l’emissió d’un certificat de conformitat amb l’ENS, que acredita oficialment que l’organització compleix amb els requisits establerts. Aquesta certificació és crucial per participar en licitacions públiques o prestar serveis a organismes que exigeixen aquest compliment.

Fase 5: Manteniment i millora contínua

La implantació de l’ENS no acaba amb l’obtenció de la certificació. L’ENS exigeix un procés de millora contínua, on l’organització vigila i adapta les seves mesures de seguretat davant nous riscos, canvis tecnològics o canvis organitzatius.

Vigilància i mètriques

Informar periòdicament sobre l’estat de la seguretat amb mètriques i indicadors clars permet detectar desviacions i reforçar mesures abans que es converteixin en incidents. Existeixen eines específiques que faciliten aquesta gestió, com el projecte INES desenvolupat pel Centre Criptològic Nacional.

Reavaluacions periòdiques

Les auditories i avaluacions no són úniques. L’ENS estableix revisions regulars de conformitat cada cert temps, o quan es produeixin canvis significatius en els sistemes, per assegurar que el nivell de seguretat es manté en el temps.

Implementar l’Esquema Nacional de Seguretat en una organització és un procés estratègic que abasta des de la planificació inicial fins a la certificació i la millora contínua. Complir amb l’ENS no només permet respondre a obligacions legals, sinó també elevar el nivell de seguretat, generar confiança i facilitar l’accés a oportunitats de negoci amb el sector públic.