En 2019, publiqué mi primer post sobre la importancia del Esquema Nacional de Seguridad (ENS) para los Colegios Profesionales. Ahora, vuelvo a abordar este tema debido a su continua relevancia para estas entidades de derecho público. La implementación del ENS no solo es una obligación legal, sino que también aporta significativos beneficios en términos de protección de datos y confianza de los colegiados y terceros. La seguridad de la información es esencial para garantizar la integridad y la transparencia en el desempeño de las funciones públicas que estos colegios llevan a cabo diariamente.

¿Qué es el Esquema Nacional de Seguridad?

El Esquema Nacional de Seguridad (ENS) es una normativa establecida por el Real Decreto 3/2010, de 8 de enero, que regula las políticas de seguridad que deben aplicarse a los medios electrónicos utilizados por las Administraciones Públicas en España. El objetivo principal del ENS es crear las condiciones necesarias para la confianza en el uso de los servicios electrónicos y garantizar la protección adecuada de la información tratada por estas entidades.

El ENS se basa en varios principios básicos que incluyen la seguridad integral, la gestión de riesgos, la prevención, la reacción y la recuperación. Estos principios se traducen en una serie de medidas técnicas y organizativas que deben ser adoptadas por las entidades públicas para proteger la información contra amenazas y vulnerabilidades.

Principios del ENS

Los principios fundamentales del ENS son:

  1. Seguridad integral: Abarca todos los aspectos de la seguridad, desde la protección de los datos hasta la seguridad física de los sistemas.
  2. Gestión de riesgos: Implica la evaluación continua de los riesgos y la adopción de medidas para mitigarlos.
  3. Prevención, reacción y recuperación: Incluye medidas para prevenir incidentes de seguridad, responder eficazmente cuando ocurren y recuperar la operatividad lo antes posible.

Obligación de implementación del ENS

Marco Normativo

La obligatoriedad de la implementación del ENS se deriva de varias normativas. El Real Decreto 3/2010 y sus modificaciones posteriores, como el Real Decreto 951/2015, establecen que todas las Administraciones Públicas deben cumplir con el ENS. Además, el Real Decreto 311/2022, que actualiza y sustituye al RD 3/2010, refuerza estos requerimientos y amplía su ámbito de aplicación.

Los Colegios Profesionales, en tanto que entidades de derecho público que realizan funciones de interés público, están obligados a implementar el ENS. Esto incluye a los colegios de abogados, médicos, geólogos, entre otros, que manejan información sensible y proporcionan servicios electrónicos a sus miembros y al público.

Función pública y tratamiento de datos

Los Colegios Profesionales realizan una variedad de funciones públicas, como la regulación de la profesión, la disciplina profesional, y la formación continua. Estas funciones a menudo implican el tratamiento de datos personales y la prestación de servicios electrónicos, lo que los hace sujetos a los requisitos del ENS.

Según el artículo 3 del Real Decreto 3/2010, el ENS es aplicable a las administraciones públicas y a las entidades que actúan por encargo de estas, incluyendo las funciones públicas delegadas a los colegios profesionales. Por lo tanto, estas entidades deben adoptar las medidas necesarias para garantizar la seguridad de la información que manejan.

Excepciones y clarificaciones

Si bien el ENS es obligatorio para las funciones públicas de los Colegios Profesionales, la obligatoriedad puede variar para las actividades puramente privadas o comerciales. Sin embargo, se recomienda utilizar el ENS como referencia para asegurar un alto nivel de seguridad incluso en estas actividades, garantizando así una protección integral de la información.

Beneficios de implementar el ENS

Confianza y credibilidad

La implementación del ENS refuerza la confianza de los colegiados y del público en general en la capacidad del colegio para gestionar y proteger adecuadamente la información sensible y personal. Esta confianza es crucial para mantener la integridad y la reputación de la institución.

  1. Transparencia: La certificación del cumplimiento del ENS demuestra el compromiso de la entidad con la seguridad de la información y la protección de los datos personales.
  2. Confianza de los usuarios: Refuerza la confianza de los colegiados y del público en general, asegurando que los datos están protegidos contra accesos no autorizados, pérdidas y otros riesgos.

Cumplimiento normativo

Alinearse con el ENS asegura el cumplimiento de las normativas legales y reglamentarias aplicables en materia de seguridad de la información y protección de datos, reduciendo así el riesgo de sanciones y mejorando la resiliencia ante incidentes de seguridad.

  1. Alineación con normativas: Cumplir con el ENS garantiza que la entidad se alinea con las normativas nacionales e internacionales en materia de seguridad de la información.
  2. Reducción de riesgos: Implementar las medidas del ENS ayuda a minimizar los riesgos asociados a la gestión de la información y mejora la capacidad de respuesta ante incidentes de seguridad.

Mejora continua

El ENS fomenta una cultura de mejora continua y evaluación periódica de la seguridad de la información. Esto no solo mejora la eficiencia operativa, sino que también garantiza que la entidad esté preparada para enfrentar nuevos desafíos y amenazas.

  1. Eficiencia operativa: Implementar procesos y controles de seguridad estandarizados mejora la eficiencia operativa y asegura una respuesta rápida y eficaz ante incidentes.
  2. Evaluación continua: Fomenta una cultura de mejora continua y evaluación periódica de la seguridad de la información, asegurando que la entidad esté siempre preparada para enfrentar nuevas amenazas.

Proceso de certificación del ENS

La certificación del ENS es un proceso que valida que una entidad cumple con los requisitos de seguridad establecidos. Este proceso implica varias etapas:

Evaluación inicial

Una evaluación inicial para identificar el estado actual del sistema de seguridad de la información y determinar las brechas con respecto a los requisitos del ENS. Esta evaluación incluye:

  1. Diagnóstico: Identificación de las debilidades y vulnerabilidades en el sistema de gestión de seguridad de la información.
  2. Plan de acción: Desarrollo de un plan de acción para abordar las brechas identificadas y cumplir con los requisitos del ENS.

Implementación de medidas de seguridad

Adopción de las medidas técnicas y organizativas necesarias para cumplir con el ENS. Esto incluye:

  1. Controles de seguridad: Implementación de controles de acceso, autenticación y protección de la información.
  2. Documentación: Creación de políticas, procedimientos y registros de seguridad.

Auditoría de certificación

Realización de auditorías internas y externas para verificar el cumplimiento del ENS. Este proceso incluye:

  1. Auditoría interna: Evaluación interna de las medidas implementadas para asegurar que cumplen con los requisitos del ENS.
  2. Auditoría externa: Una auditoría realizada por una entidad de certificación acreditada para evaluar el cumplimiento del ENS.

Emisión del certificado

Si la entidad cumple con todos los requisitos del ENS, se emite un certificado que valida el cumplimiento. Este certificado es un reconocimiento oficial de que la entidad ha implementado adecuadamente las medidas de seguridad necesarias.

  1. Certificación: Emisión de un certificado que valida el cumplimiento del ENS.
  2. Mantenimiento del certificado: Realización de auditorías periódicas para mantener la certificación y asegurar el cumplimiento continuo.

Ejemplos de implementación del ENS

Algunos Colegios Profesionales en España ya han tomado medidas significativas para asegurar el cumplimiento del ENS. Por ejemplo:

RedAbogacía

RedAbogacía ha implementado sistemas de gestión de seguridad y ha obtenido certificaciones que garantizan el cumplimiento de la normativa ENS. Esto refuerza la confianza en la seguridad de los datos gestionados por los colegios de abogados.

  1. Sistemas de Gestión de Seguridad: Implementación de sistemas de gestión de seguridad para proteger la información.
  2. Certificación: Obtención de certificaciones que validan el cumplimiento del ENS.

Conclusión

La implementación del Esquema Nacional de Seguridad es un paso fundamental y obligatorio para los Colegios Profesionales en España. No solo asegura el cumplimiento de los estándares de seguridad, sino que también mejora la confianza y la credibilidad en la gestión de la información. Las entidades de certificación acreditadas, como el CCN-CERT y otras organizaciones, proporcionan el soporte necesario para alcanzar y mantener esta certificación, garantizando así la protección adecuada de la información sensible y personal.

Adherirse al ENS no solo es una obligación legal, sino que también refuerza la confianza de los colegiados y del público en general en la capacidad de los colegios para gestionar y proteger adecuadamente la información. La implementación de estas medidas y la adopción de una cultura de seguridad proactiva son pasos esenciales para cumplir con la normativa y proteger los derechos y libertades de las personas.

Artículo anteriorMeco: La nueva Atlántida del Henares
Artículo siguienteEl renacer de la calle Mayor de Meco
Enrique Pampliega
Desde hace más de 30 años ha estado ligado y promoviendo actividades relacionando la geología y geociencias con los recursos electrónicos, internet y las redes sociales y científicas. Jefe de administración del Ilustre Colegio Oficial de Geólogos (ICOG) desde el año 1990. En 1991-1996 Relaciones públicas y posteriormente responsable de marketing de la revista Tierra y Tecnología del ICOG. En 1993-1996 dirigió la publicación “El Geólogo” y en 1997 fundó “El Geólogo Electrónico”. Coordinador de las ediciones I a III del GEA-CD (recopilación y difusión de software para docentes y profesionales de las ciencias de la tierra y el medio ambiente en formato CD-ROM) entre los años 1996 a 1998. Colabora con la ONG Geólogos del Mundo creando su intranet y poniendo en marcha su página web institucional. Desde el año 2000 es responsable de calidad del ICOG (ISO 9001). Ha sido ponente en distintos eventos organizados por Unión Profesional y Unión Interprofesional de la Comunidad de Madrid, sobre la calidad aplicada al sector colegial. Asimismo, ha impartido charlas sobre búsqueda de empleo y redes sociales en el ICOG, Unión Profesional y Universidad Complutense. En 2005 implanta el visado electrónico de proyectos en el ICOG. En el ámbito de las webs y redes científicas, es Community manager del ICOG. Webmaster de la revista Tierra y Tecnología, de la página institucional del ICOG, de la Escuela de Geología Profesional, de la Red Española de Planetología y Astrobiología y de la International Association for Geoethics. Delegado de protección de datos del ICOG desde el año 2018. Experto en digitalización del sector de colegios profesionales ha sido ponente en el taller virtual sobre la "Transformación Digital del Sistema Colegial", organizado por Unión Profesional y Wolters Kluwer en 2020. Ha sido distinguido como Geólogo de Honor por la Asamblea General del ICOG el 15 de abril de 2023. En 2003 crea el “Blog de epampliega” un espacio personal que pasaría en 2008 a llamarse “Un Mundo Complejo” donde trata temas de: economía, redes sociales, innovación, sociedad, etc.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí