%2014.10.42.png?width=2492&height=2190&name=Captura%20de%20Pantalla%202023-11-09%20a%20la(s)%2014.10.42.png)
La seguridad en la era digital es una preocupación constante para empresas y organizaciones de todo tipo y tamaño. En España, el Esquema Nacional de Seguridad (ENS) se ha actualizado recientemente para brindar un marco legal y técnico que permita a las empresas y organismos públicos proteger sus activos digitales.
En este artículo, analizaremos los requisitos del nuevo ENS y los distintos niveles de seguridad establecidos para garantizar la protección adecuada de la información.
Niveles de Seguridad de ENS
El Esquema Nacional de Seguridad (ENS) ha establecido tres distintos niveles de seguridad: alto, medio y bajo. La aplicación de cada nivel de seguridad a una organización variará en función del tipo de información que ésta gestione y la probabilidad de que dicha información sea comprometida, así como la gravedad de las consecuencias si esto ocurre.
Para determinar cuál es el nivel más adecuado, se recomienda realizar un análisis de riesgo siguiendo el principio gerencial de "evaluación y priorización".
Nivel Alto ENS
El nivel de seguridad alto es el más riguroso y se prescribe para la protección de información calificada como "secreta". Para cumplir con este nivel, la organización tiene que implementar un conjunto de medidas tanto técnicas como organizativas, cuyo objetivo es asegurar la confidencialidad, integridad y disponibilidad de la información.
Nivel Medio ENS
El nivel de seguridad medio es idóneo para salvaguardar información categorizada como "exigente". Este nivel también es aplicable a la información personal dentro del marco de la Unión Europea.
Se requieren medidas técnicas y organizativas que protejan la confidencialidad e integridad de la información. Sin embargo, a diferencia del nivel alto, no es necesario garantizar una disponibilidad constante ni la implementación de un grado tan elevado de medidas de seguridad.
Nivel Bajo ENS
Por último, el nivel de seguridad bajo es apropiado para la custodia de información designada como "reservada". En este caso, las medidas de seguridad se enfocan en preservar la integridad de la información, sin la necesidad de asegurar su confidencialidad.
Ejemplos de Tipos de Empresas por Nivel de Seguridad de ENS
Para ilustrar mejor los tres niveles de seguridad del Esquema Nacional de Seguridad (ENS), podemos considerar diferentes tipos de empresas y cómo cada nivel se aplicaría a ellas:
Nivel de seguridad alto: Este nivel sería apropiado para organizaciones como agencias gubernamentales o de defensa, bancos, empresas de tecnología que manejan datos confidenciales, o empresas de salud que almacenan información médica sensible.
Estas organizaciones manejan información clasificada como "secreta" que, si se ve comprometida, podría tener graves consecuencias.
Nivel de seguridad medio: Este nivel puede ser adecuado para empresas de comercio electrónico, startups de tecnología, o empresas de consultoría. Estas organizaciones podrían manejar información personal o datos financieros de los clientes, clasificada como "exigente".
También se aplica a cualquier empresa que maneje información personal dentro del marco de la Unión Europea.
Nivel de seguridad bajo: Este nivel se adapta a empresas como librerías, restaurantes, o pequeñas empresas que manejan información menos sensible, clasificada como "reservada". Aunque aún es importante mantener la integridad de la información, la confidencialidad no es una prioridad crítica en estos casos.
Requisitos de la ENS para las Empresas
En cuanto a los requisitos generales que establece el nuevo ENS, se refieren en su mayoría a medidas técnicas y organizativas que deben ser implementadas por las organizaciones para proteger su información.
Entre ellas, se encuentran la designación formal de responsabilidades en materia de seguridad, la implementación de planes de contingencia y la realización de auditorías periódicas para evaluar la efectividad de las medidas adoptadas.
Estas exigencias se pueden dividir en varias categorías clave:
Asignación de responsabilidades: El ENS enfatiza la importancia de designar formalmente a individuos o equipos con responsabilidades específicas en el ámbito de la seguridad de la información. Esto puede implicar la asignación de roles como el de un Oficial de Seguridad de la Información, cuyo deber es supervisar y gestionar todas las iniciativas de seguridad.
Implementación de planes de contingencia: El esquema también requiere que las organizaciones desarrollen e implementen planes de contingencia robustos. Estos planes deben estar diseñados para responder a incidentes de seguridad, minimizar el daño y restaurar rápidamente los sistemas y operaciones normales.
Auditorías regulares: Además, el ENS exige que las organizaciones realicen auditorías periódicas para evaluar la efectividad de las medidas de seguridad implementadas. Esto permite a las organizaciones identificar y abordar cualquier brecha de seguridad o vulnerabilidad potencial.
Formación y concienciación: Otro aspecto crucial es la formación y concienciación en materia de seguridad para todos los miembros de la organización. Esto ayuda a garantizar que todos los empleados comprendan sus responsabilidades y estén equipados para manejar la información de manera segura.
En resumen, el ENS proporciona un marco integral para gestionar la seguridad de la información, que va desde la asignación de responsabilidades hasta la implementación de planes de contingencia, pasando por la realización de auditorías y la formación en seguridad.
Los productos Blancco File Eraser y Blancco Drive Eraser han sido Certificados por la ENS para dar cumplimiento a sus disposiciones legales.
