Scroll Top

¿Son equivalentes el ENS y la norma ISO 27001? Similitudes, diferencias y ámbitos de aplicación

Esquema Nacional Seguridad o ISO 27001

El Esquema Nacional de Seguridad y la norma ISO 27001 tienen muchos puntos en común. Ambas normas aglutinan los requisitos, procedimientos, buenas prácticas, etc. que una entidad debe seguir para salvaguardar sus activos de información. Es decir, ambas establecen las directrices para diseñar e implantar un Sistema de Gestión de la Seguridad de la Información eficiente en el seno de una organización. ¿Pero que las diferencia? ¿Cuándo se debe optar por una u otra? ¿Cualquier empresa puede optar a ellas?

Definiendo el Esquema Nacional de Seguridad y la norma ISO 27001

El Esquema Nacional de Seguridad es el conjunto de medidas y acciones que por ley deben tomar las administraciones públicas en España para garantizar la seguridad de la información que manejan en su día a día, en sus relaciones entre ellas y en sus relaciones con los ciudadanos. Su objetivo es fomentar la confianza de los ciudadanos en el uso de los medios electrónicos en sus comunicaciones con la administración y establecer un idioma y unos procedimientos comunes entre todas las administraciones a la hora de imponer requisitos de seguridad a sus proveedores de sistemas de información.

Cumplir con los preceptos del Esquema Nacional de Seguridad es obligatorio para las siguientes entidades:

  • La Administración General del Estado, las Administraciones de las Comunidades Autónomas y las entidades que integran la Administración Local.
  • Otras entidades del sector público. Por ejemplo, las universidades y los hospitales públicos, las cámaras de comercio, las federaciones deportivas o las empresas públicas (aguas, transporte, raido y TV, autopistas, etc.).
  • Las empresas del sector privado que presten servicios a entidades públicas dependiendo y que traten información. Habitualmente se trata de empresas tecnológicas y de servicios: empresas de desarrollo de software, servicios cloud, mantenimiento de sistemas, servicios de nóminas, contabilidad, etc.

Cabe destacar, que el pasado 3 de mayo se publicó Real Decreto 311/2022 que introduce cambios en el Esquema Nacional de Seguridad y que las entidades obligadas a cumplirlo tienen 24 meses desde esa fecha para adaptar sus Sistemas de Gestión de Seguridad de la Información a las nuevas directrices.

Por su parte,  la Norma ISO 27001 es un estándar internacional voluntario que establece los requisitos mínimos que debe cumplir un Sistema de Gestión de la Seguridad de laInformación (SGSI) para garantizar la correcta gestión y la seguridad de  la información que se maneja en cualquier organización, indistintamente del formato de la misma, contra cualquier amenaza, de forma que se garantice en todo momento la continuidad de su actividad.

Diferencias entre la ISO 27001 y el ENS

Como hemos visto, una de las principales diferencias es que el Esquema Nacional de Seguridad es una normativa local, y obligatoria para las Administraciones Públicas españolas y sus empresas proveedoras.

La norma ISO 27001, sin embargo, no es de obligada implementación ni certificación. Si bien, puede que alguna organización solicite a un cliente o proveedor que sí cuente con una certificación en ISO 27001 para trabajar con él.

Otra diferencia es que, mientras que en la ISO 27001 se valoran los riesgos en base a tres dimensiones:

  • Confidencialidad: que solo tengan acceso a la información las personas autorizadas para ello.
  • Integridad: que la información se mantenga completa y exacta, sin sufrir pérdidas o modificaciones.
  • Disponibilidad: que la información esté accesible en todo momento para las personas autorizadas.

En el Esquema Nacional de Seguridad se añaden las dimensiones de Trazabilidad (conocer todas las etapas, ubicaciones y cambios que ha sufrido la información) y Autenticidad (que la información provenga de una fuente fidedigna y correctamente identificada).

Otra de las particularidades del ENS es la categorización de los sistemas de información en función de su importancia y las consecuencias que tendría la existencia de fallos en ellos. Existen 3 niveles: alto, medio y bajo.

Por tanto, siguiendo las directrices del ENS, no todos los sistemas de información de una misma entidad deben tener las mismas medidas de seguridad ni los mismos controles.  Cada sistema de información podrá ser tratado de forma independiente en cuanto a las medidas de seguridad de la Información según su categoría. De hecho en los niveles altos y medios, el ENS establece la necesidad de realizar auditorías. Sin embargo para los sistemas de información de riesgo bajo basta con una auto-evaluación periódica.

En el caso de la ISO 27001 los consultores y auditores tratarán de compaginar siempre la seguridad de la información con la operatividad, pues la inclusión en el SGSI de medidas de seguridad excesivamente complejas en organizaciones sencillas puede resultar contraproducente. Es decir, dependiendo de la empresa, el tipo de información que maneja, los riesgos identificados, etc. las medidas que incluya el SGSI serán más o menos complejas.

Por último, las auditorías del ENS se realizan cada dos años o siempre que se produzcan modificaciones importantes, en el caso de la ISO 27001 tras la auditoría de certificación se deben realizar cada tres años auditorías de renovación. En ambos casos tienen que realizarlas entidades de certificación acreditadas por la ENAC.

RCQuality, consultoría especializada en Sistemas de Gestión de la Seguridad de la Información

En RCQuality contamos con consultores especializados en seguridad de la información que pueden ayudarte a diseñar e implantar un Sistema de Gestión de la Seguridad de la Información y a certificarlo bajo el ENS o la norma ISO 27001 (o ambas) en función de las necesidades y circunstancias de tu organización.

Además hemos elaborado un completo E-book en el que podrás ampliar información sobre el alcance, las diferencias, los requisitos y los beneficios del Esquema Nacional de Seguridad y la certificación en ISO 27001. Descárgalo aquí