L’Esquema Nacional de Seguretat (ENS) estableix els principis i els requisits bàsics per garantir la protecció adequada de la informació i les dades.L’ENS està regulat pel Reial Decret 311/2022. A més, cerca assegurar la continuïtat de les operacions i minimitzar l’impacte de possibles incidents de seguretat.
Principis de l'Esquema Nacional de Seguretat
L’ «Esquema Nacional de Seguret» – ENS es fonamenta en una sèrie de principis bàsics, que guien las seva aplicació:
- Seguretat Integral: La seguretat ha de ser considerada a totes les etapes del cicle de vida dels sistemes d’informació. Millora de la Seguretat i la protecció de la informació davant d’amenaces i riscos
- Gestió de riscos: Les mesures de seguretat es basen en una avaluació de riscos. Implica identificar, analitzar i tractar-los adequadament.
- Sistema de Gestió: Implica definir la política de seguretat, el compliment normatiu, l’estructura organitzativa i les responsabilitats en matèria de seguretat, així com la formació i conscienciació del personal. Es pot integrar amb un certificat ISO 27001 o una certificació ISO 9001.
- Marc Operacional: Comprèn les mesures per a la gestió de l’operació i el manteniment segur dels sistemes, incloent-hi la gestió d’incidents, la continuïtat del servei i la protecció contra programari maliciós.
- Prevenció, detecció i resposta: És essencial prevenir els incidents de seguretat, sinó també detectar-los i respondre de manera eficient.
- Mesures de protecció i línies de defensa: La seguretat ha de ser implementada en múltiples nivells o capes. Així, la superació duna mesura no impliqui la vulneració total del sistema.
- Periodicitat de la Supervisió: Les mesures de seguretat han de ser objecte de revisió i actualització periòdica per adaptar-se als canvis a l’entorn i les amenaces.
- Certificació amb auditories periòdiques de certificadores acreditades. Avalua el grau dadequació de les mesures de seguretat implementades. Implica confiança als usuaris.
Nivells de seguretat a l'ENS
L’ENS estableix diferents nivells de seguretat:
- Baix. Un nivell de seguretat baix a ENS implica mesures mínimes de protecció contra amenaces comunes, insuficients per a informació sensible o crítica.
- Mitjà. Un nivell de seguretat mitjà a l’Esquema Nacional de Seguretat implica mesures de protecció moderades, adequades per a informació sensible, però no per a amenaces avançades.
- Alt. Un nivell de seguretat alt a ENS implica mesures robustes i avançades per protegir informació crítica contra amenaces sofisticades i complexes.