Suport TIC SOCORED. Estàs obligat a complir l’ENS?

Introducció

Si treballeu en una administració pública, un organisme autònom o sou proveïdor de serveis TIC per a entitats del sector públic, és molt probable que l’Esquema Nacional de Seguretat (ENS) ja hagi creuat el vostre camí. I no n’hi ha per menys: l’ENS no és un document més al calaix, sinó el marc de referència obligatori per garantir la seguretat de la informació en l’àmbit públic espanyol.

A SOCORED IT Solutions portem més de 30 anys dissenyant, construint i mantenint Centres de Procés de Dades (CPD) que compleixen amb els estàndards més exigents. En aquest camí, hem vist com la ciberseguretat ha deixat de ser un tema tècnic aïllat per esdevenir un pilar estratègic. I l’ENS és una de les eines clau per materialitzar aquesta estratègia.

Aquest article no només us explicarà què és l’ENS, sinó que us guiarà pas a pas per les vostres obligacions, com aplicar-lo en entorns reals i què fer si la vostra organització s’ha d’adaptar. Perquè la veritat és que no es tracta de complir perquè complir: es tracta de protegir dades sensibles, garantir la continuïtat del servei i evitar sancions que poden ser molt costoses.

Què és l’Esquema Nacional de Seguretat i per què afecta la teva entitat

L’Esquema Nacional de Seguretat és el marc normatiu que regula la protecció de la informació als sistemes d’informació de les administracions públiques espanyoles. No és una recomanació: és una obligació legal. I el seu abast va més enllà de les administracions directes: afecta organismes autònoms, consorcis, empreses públiques i, cosa que molts no saben, també els proveïdors de serveis que gestionen sistemes o dades per al sector públic.

La raó de ser de l’ENS és clara: les dades que manegen les administracions són crítiques. Des d’expedients personals fins a informació classificada, passant per serveis essencials com a sanitat o justícia. Una fallada de seguretat no només compromet la privadesa, sinó la confiança ciutadana. I és aquí on l’ENS entra en joc com a mecanisme de control, prevenció i resposta.

A SOCORED IT Solutions, quan planifiquem una infraestructura de CPD, sempre partim del compliment de l’ENS com a requisit base. No ho veiem com un tràmit, sinó com una garantia de resiliència i eficiència. Perquè un CPD ben dissenyat no només refreda bé, també compleix les directrius de seguretat que exigeix ​​l’ENS.

Marc legal: del Reial Decret 3/2010 a la Guia ENS 5/2023

El punt de partida de l’ENS modern és el Reial decret 3/2010, que va establir per primer cop un marc homogeni de seguretat per a tot el sector públic. Aquest RD va asseure les bases del que avui coneixem: categorització de sistemes, mesures de seguretat, gestió de riscos i obligació d’auditoria.

Amb el temps, l’entorn tecnològic ha evolucionat: més serveis al núvol, més teletreball, més mobilitat. I l’ENS també s’ha hagut d’adaptar. La Guia ENS 5/2023, publicada pel Centre Criptològic Nacional (CCN), és l’actualització més recent, i comporta una visió més dinàmica, centrada en la gestió contínua del risc i en l’adaptació a entorns híbrids.

Un dels canvis més significatius és lenfocament en la seguretat per disseny. Ja no n’hi ha prou amb implementar controls a posteriori: han d’estar integrats des de la concepció del sistema. Això afecta directament com dissenyem CPDs, com integrem solucions de climatització CPD o com estructurem la refrigeració CPD en entorns d’alta densitat.

Diferències clau entre l’ENS anterior i l’actualització 2024

L’actualització de l’ENS cap al 2024 no és només cosmètica. Introdueix canvis substancials en com s’entén la seguretat al sector públic. Un dels més rellevants és el reforçament de lenfocament basat en riscos. Ara, les entitats han de justificar el nivell d’inversió en seguretat en funció de la criticitat dels sistemes, no simplement aplicar mesures genèriques.

Un altre canvi important és la inclusió explícita de proveïdors externs al marc de responsabilitat. Abans, moltes entitats donaven per fet que el compliment era cosa del proveïdor. Avui l’entitat pública n’és la responsable última i ha d’exigir garanties contractuals, auditories i proves de compliment.

Major èmfasi en la seguretat al núvol administració pública
Noves directrius per al teletreball segur i l’ús de dispositius personals
Requisits més estrictes en xifrat dades administració pública
Exigència de gestió d’incidents de seguretat pública amb temps de resposta definits
Obligacions de l’ENS per a administracions i proveïdors públics

L’ENS no distingeix entre qui gestiona el sistema: si fas servir dades o sistemes d’informació per al sector públic, estàs subjecte a les seves normes. Això inclou no només les administracions centrals, autonòmiques i locals, sinó també contractistes, subcontractistes i partners tecnològics.

L’obligació principal és el compliment normatiu

ENS, que es tradueix en la implementació de mesures tècniques, organitzatives i legals per protegir la confidencialitat, integritat i disponibilitat de la informació. I no és opcional: està recolzat per sancions administratives que poden assolir els 300.000 € en casos greus.

A SOCORED, quan integrem solucions d’aire condicionat centre de processament de dades, no ho fem només per eficiència energètica. Ho fem perquè una fallada tèrmica pot derivar en una indisponibilitat del sistema, i això, sota l’ENS, és un incident de seguretat. Per això, la climatització CPD no és només un tema denginyeria, és un requisit de seguretat.

Requisits de seguretat TIC en sistemes dinformació públics

L’ENS classifica els sistemes d’informació a tres nivells: bàsic, mitjà i alt. Cada nivell imposa un conjunt de mesures de seguretat ENS progressivament més exigents. Per exemple, un sistema de nivell alt requereix xifratge en trànsit i repòs, autenticació multifactor i monitorització contínua.

A més, s’exigeix ​​la documentació de tots els controls implementats, des de l’accés físic al CPD fins a la gestió de pegats a servidors. Això inclou registres d’accés, polítiques de còpies de seguretat i plans de recuperació davant de desastres.

Un error comú és pensar que s’aconsegueix el compliment amb tecnologia. La realitat és que l’ENS exigeix ​​una combinació de persones, processos i tecnologia. Per això, a SOCORED, els nostres projectes sempre inclouen formació, procediments documentats i auditories internes.

Responsabilitats d’entitats contractistes sota el marc ENS

Les entitats contractistes no n’estan exemptes. Al contrari: si gestiones infraestructures, aplicacions o dades per a una administració, has de demostrar que compleixes l’ENS. Això implica tenir un pla de seguretat ENS propi, auditories periòdiques i mecanismes de notificació dincidents.

A més, has d’integrar clàusules de seguretat als teus contractes, com ara el dret a auditoria, l’obligació de notificar bretxes i el compromís de mantenir mesures equivalents a les del nivell de classificació del sistema.

A la pràctica, això significa que si el teu client és una administració de nivell alt, tu també has d’operar com si fossis de nivell alt. No hi ha dreceres. I és que el compliment ENS no s’externalitza, es comparteix.

Proveïdors de serveis: com adaptar-se a les normes ENS

Pels proveïdors TIC, adaptar-se a l’ENS no és una càrrega, és una oportunitat. Demostra professionalisme, redueix riscos legals i obre portes a licitacions públiques. El primer pas és fer una avaluació de riscos ENS sobre els teus serveis i processos.

Després, has de documentar els teus procediments de seguretat ENS: des de com gestiones les contrasenyes fins a com protegeixes les dades en repòs. També necessites implementar controls tècnics com ara control d’accés sistemes públics, registre d’activitat i xifratge.

A SOCORED, ajudem proveïdors a alinear els seus CPDs amb l’ENS, des de la refrigeració CPD fins a la monitorització d’esdeveniments de seguretat. Perquè un CPD segur no només compleix normes: inspira confiança.

Components essencials del compliment normatiu ENS

Complir l’ENS no és un esdeveniment, és un procés continu. Requereix una estructura sòlida que combini documentació, tecnologia i gestió. Els pilars fonamentals són el document de seguretat ENS, la gestió de riscos ENS, les mesures tècniques i l’auditoria interna.

El document de seguretat no és un tràmit burocràtic: és el cor del sistema de gestió de seguretat. Heu de reflectir la realitat de la vostra organització, no copiar i enganxar d’una plantilla. I cal actualitzar-la anualment, o abans si hi ha canvis significatius.

A més, l’ENS exigeix ​​una gestió proactiva d’incidents amb protocols clars de detecció, notificació i recuperació. Perquè no es tracta de si hi haurà un incident, sinó de quan i com el gestionaràs.

Elaboració del document de seguretat: plantilles i exemples pràctics

El document de seguretat ENS és obligatori per a totes les entitats que gestionin sistemes dinformació. Hi ha d’incloure: identificació del sistema, nivell de classificació, anàlisi de riscos, mesures de seguretat implementades i pla d’auditoria.

Hi ha plantilles document de seguretat ENS oficials, però utilitzar-les sense adaptar-les és un error greu. Cada organització té el seu context: mida, serveis, infraestructura, proveïdors. El document ha de ser fidel a aquesta realitat.

A SOCORED, solem treballar amb models d’informe de seguretat ENS personalitzats, que integren aspectes tècnics com la climatització CPD o la refrigeració CPD com a part del risc operacional. Perquè un CPD que se sobreescalfa, falla. I un sistema que falla, incompleix.

Gestió de riscos i anàlisis d’amenaces en entorns públics

La gestió de riscos ENS és un procés obligatori que s’ha de fer almenys una vegada a l’any. Inclou identificació d’actius, valoració d’amenaçes, estimació dimpacte i definició de mesures de mitigació.

Un error comú és centrar-se només en amenaces externes. La veritat és que molts incidents parteixen derrors interns, dispositius perduts o accessos no autoritzats. Per això, lanàlisi ha de ser integral.

Identificació d’actius crítics (servidors, bases de dades, CPD)
Avaluació d’amenaces (ciberatacs, errors tècnics, errors humans)
Estimació de limpacte en confidencialitat, integritat i disponibilitat
Aplicació de controls per reduir el risc a nivells acceptables
Mesures de seguretat per a documents administratius i dades sensibles

Els documents administratius i les dades sensibles estan especialment protegits per l’ENS. Se n’exigeix ​​la classificació, el control d’accés, el registre d’ús i, en molts casos, xifrat.

A més, s’han d’aplicar mesures específiques per emmagatzemar-les i transmetre-les. Per exemple, els expedients digitals han d’estar a dipòsits segurs, amb autenticació reforçada i còpies de seguretat xifrades.

En entorns de CPD, això implica que la seguretat en arxius digitals públics no depèn només del programari, sinó també de la infraestructura física: des de l’accés al rack fins a la climatització CPD que evita errors als servidors d’emmagatzematge.

Xifratge, còpies de seguretat i suport d’informació oficial

El xifratge dades administració pública és obligatori en sistemes de nivell mitjà i alt, tant en trànsit com en repòs. No s’accepten excuses: si la dada és sensible, cal que estigui xifrada.

Les còpies de seguretat administració pública també estan regulades: han de ser freqüents, verificades, emmagatzemades en ubicacions segures i, en molts casos, fora del CPD principal. El suport d’informació pública ha de permetre una ràpida recuperació en cas d’incident.

A SOCORED, dissenyem arquitectures de refredament centre de dades que garanteixen la disponibilitat dels sistemes de backup. Perquè un suport que no es pot restaurar, no serveix de res.

Implementació de controls tècnics i organitzatius

L’ENS exigeix ​​una combinació de controls tècnics (com firewalls o sistemes de detecció d’intrusos) i organitzatius (com a polítiques de contrasenyes o formació en ciberseguretat). Tots dos són igualment importants.

Un control tècnic mal gestionat per personal no entrenat pot ser tan inútil com no tenir-ne. Per això, a SOCORED, integrem la tecnologia amb processos clars i formació contínua.

A més, els controls han de ser auditables. No n’hi ha prou a dir que tens autenticació multifactor: has de demostrar que està activa, que es revisa i que s’aplica a tots els usuaris rellevants.

Control d’accés i gestió segura d’usuaris a plataformes públiques

El control d’accés a sistemes públics és un dels pilars de l’ENS. Es basa en el principi de mínim privilegi: cada usuari ha de tenir només els permisos necessaris per a la funció.

A més, s’exigeix ​​autenticació forta, gestió de comptes inactius i registre de totes les activitats rellevants. Això inclou no només accessos, sinó també modificacions de dades o descàrregues dinformació sensible.

A CPD gestionats per SOCORED, implementem solucions de gestió d’usuaris en sistemes públics que s’integren amb directoris actius, SIEM i sistemes d’auditoria, garantint traçabilitat total.

Autenticació segura en serveis digitals i teletreball

El teletreball administració pública ha augmentat el risc d’accessos no autoritzats. Per això, l’ENS exigeix ​​autenticació multifactor (MFA) a tots els serveis digitals que gestionin dades sensibles.

A més, cal aplicar polítiques de bloqueig després d’intents fallits, caducitat de sessions i verificació de dispositius. Contrasenya feble o sessions perpètues.

En entorns de CPD, això implica que els serveis d’autenticació han d’estar altament disponibles, cosa que requereix una refrigeració CPD eficient i redundant per evitar caigudes.

Seguretat al núvol i arxius digitals sota directrius ENS

La seguretat al núvol administració pública és un dels reptes més complexos. L’ENS permet l’ús de cloud, però amb condicions estrictes: el proveïdor ha de complir normes de seguretat, permetre auditories i garantir la localització de les dades a la UE.

A més, l’entitat pública ha de mantenir el control sobre la gestió de claus de xifratge i la classificació de la informació emmagatzemada.

A SOCORED, integrem solucions híbrides que combinen CPD propi amb cloud segur, sempre sota els paràmetres de l’ENS i amb climatització CPD d’alt rendiment per mantenir la disponibilitat.

Protecció de dades i registre d’activitats de tractament

L’ENS i el RGPD estan estretament alineats. El registre d’activitats de tractament ENS és obligatori i ha d’incloure quines dades es processen, amb quina finalitat, qui hi té accés i on s’emmagatzemen.

Aquest registre no és estàtic: cal actualitzar-lo amb cada canvi rellevant. I ha d’estar disponible per a la inspecció per part de l’Agència de Protecció de Dades o del CCN.

En entorns CPD, això implica que cada servidor, cada base de dades i cada sistema d’aire condicionat centre de processament de dades ha d’estar documentat com a part de l’ecosistema de tractament.

Procediments per a l’auditoria i certificació ENS

L’auditoria ENS és un requisit obligatori per a sistemes de nivell mitjà i alt. S’ha de fer almenys cada dos anys per un organisme acreditat, i avalua el compliment de totes les mesures de seguretat.

L’auditoria no és una revisió superficial: examina documentació, entrevista personal, analitza logs i valida controls tècnics. Un resultat negatiu pot portar a la suspensió del sistema o sancions.

A SOCORED, preparem els nostres clients amb auditories prèvies, revisió de documentació i simulacions d’inspecció. Perquè una auditoria ben superada no només evita problemes: enforteix la reputació.

Informe de seguretat i model davaluació oficial

L’informe de seguretat ENS és el document final que lliura l’auditor. Ha d’incloure troballes, no-conformitats, grau de compliment i recomanacions.

Aquest informe es presenta a l’òrgan competent i s’arxiva com a prova de compliment. En cas de no-conformitats, s’exigeix ​​un pla de correcció amb terminis definits.

Fem servir models d’informe de seguretat ENS estandarditzats, però adaptats a cada infraestructura, incloent-hi aspectes tècnics com l’eficiència del refredament centre de dades com a factor de risc operacional.

Conclusió

L’Esquema Nacional de Seguretat no és un obstacle, és una eina per construir entorns digitals més segurs, fiables i eficients. Complir l’ENS no només evita sancions: protegeix dades, garanteix serveis i enforteix la confiança ciutadana.

A SOCORED IT Solutions, dissenyem, construïm i mantenim Centres de Procés de Dades amb més de 30 anys d’experiència, integrant les millors infraestructures del mercat i basant-nos en els estàndards més exigents de certificació. Si necessites complir l’ENS, no estàs sol. El nostre equip està a la vostra disposició per garantir la continuïtat, disponibilitat i eficiència del vostre CPD. Contacta’ns i assegura la teva infraestructura amb criteris tècnics i normatius de primer nivell.

Preguntes freqüents

Qui ha de complir l’Esquema Nacional de Seguretat?

Han de complir amb l’ENS totes les administracions públiques, els organismes autònoms, les empreses públiques i qualsevol proveïdor que gestioni sistemes o dades per al sector públic, independentment del nivell de classificació del sistema.

Quins documents són obligatoris per al compliment ENS?

Els documents obligatoris inclouen el document de seguretat ENS, el pla de seguretat, el registre d’activitats de tractament, l’informe de gestió de riscos i els registres d’auditoria de sistemes crítics.

Com afecta l’ENS als proveïdors de serveis TIC?

Els proveïdors han d’adaptar els seus processos i tecnologies al nivell de seguretat exigit pel client públic, documentar-ne els controls, permetre auditories i complir clàusules contractuals de seguretat.

On obtenir la plantilla oficial del document de seguretat ENS?

La plantilla oficial del document de seguretat ENS està disponible a la pàgina del Centre Criptològic Nacional (CCN), dins de la Guia ENS 5/2023, juntament amb exemples i models d’implementació.