Esquema Nacional de Seguridad e ISO 27001: Similitudes y diferencias

El marco regulatorio de muchos países incluye leyes y normativas de seguridad de la información, tanto el sector público como en el privado. En el caso de España, se desarrolla el Esquema Nacional de Seguridad (ENS), que es similar a la norma ISO 27001. Esta norma, que no es de obligada implantación, garantiza las directrices para implantar un Sistema de Gestión de Seguridad de la Información (SGSI), y con ello proteger los datos y la información que manejan las organizaciones (ficheros, bases de datos de clientes, información bancaria, etc.).

Esquema Nacional de Seguridad: ¿En qué consiste?

El Esquema Nacional de Seguridad español está reconocido a nivel internacional, y sirve como complemento de la ISO 27001. Si bien, hay que tener en cuenta que tener implementada la ISO 27001 no implica el cumplimiento con el Esquema Nacional de Seguridad, y viceversa. El ENS está regulado por el Real Decreto 3/2010, que fue modificado por el Real Decreto 951/2015. Se trata, por tanto, de una normativa con más de 10 años. 

Diferencias entre la norma ISO 27001 y el ENS

Como hemos visto, entre las normativas de seguridad de la información en España, el Esquema Nacional de Seguridad ayuda a complementar la ISO 27001. Si bien, también existen diferencias entre ambas directrices.  

Una de las principales diferencias es que el Esquema Nacional de Seguridad es una normativa local, y obligatoria para las Administraciones Públicas españolas. En el caso de la norma ISO 27001, sin embargo, no es de obligada implementación ni certificación. Si bien, puede que alguna organización solicite a un cliente o proveedor que sí cuente con una certificación en ISO 27001.

Otra diferencia es que, mientras que en la ISO/IEC 27001 se valoran los riesgos en base a tres dimensiones: Confidencialidad, Integridad y Disponibilidad, en el Esquema Nacional de Seguridad se añaden la trazabilidad y la autenticidad.

También es importante tener en cuenta otro aspecto relativo a las auditorías. Y es que, en el ENS, cuando la categoría del sistema es considerada media, o alta, la entidad tiene la obligación de realizar auditorías de certificación. Estas auditorías se realizan cada dos años y tienen que ser realizadas por entidades de certificación acreditadas.

Leyes españolas de protección de datos

España cuenta con varias leyes de seguridad de la información a nivel individual. Por un lado, la Ley 39/2015 recoge entre los derechos de las personas con sus relaciones con las Administraciones Públicas, “la protección de datos de carácter personal”.

Por otro lado, la Ley 40/2015, menciona en su artículo 156 el Esquema Nacional de Seguridad. Este es quema tiene el objetivo de establecer una política de seguridad para la utilización de medios electrónicos en el ámbito de la Ley.

Máster en Ciberseguridad y Riesgos Digitales

Las normativas de Ciberseguridad en España y de protección de la información son abordadas en el Máster en Ciberseguridad y Riesgos Digitales de EALDE Business School. Se trata de un máster que combina la Gestión de Riesgos con tecnologías emergentes como las Fintech o el Mobile.

Puedes solicitar más información acerca del Máster en Ciberseguridad y Riesgos Digitales rellenando el siguiente formulario:

Amplía información sobre Ciberseguridad en España en este vídeo: