(ES) ENS - ¿Es de aplicación el ENS al correo electrónico corporativo?

Owned by SERVEI D'INFORMÀTICA - QUALITAT I COMUNICACIÓ
Last updated: may 11, 2023 by Carla Garrido Zanón
4 min read


En la medida en que el correo electrónico corporativo se utilice en todo o en parte para la prestación de servicios o el desarrollo de las competencias o potestades de la entidad, resultará de aplicación lo dispuesto en el ENS.
Por otro lado, debemos tener presente lo dispuesto en el ENS en relación con la protección del correo electrónico, cuando dispone:
5.8.1 Protección del correo electrónico (e-mail) [mp.s.1].
El correo electrónico se protegerá frente a las amenazas que le son propias, actuando del siguiente modo:

  1. La información distribuida por medio de correo electrónico, se protegerá, tanto en el cuerpo de los mensajes, como en los anexos.
  2. Se protegerá la información de encaminamiento de mensajes y establecimiento de conexiones.
  3. Se protegerá a la organización frente a problemas que se materializan por medio del correo electrónico, en concreto:
  4. .º Correo no solicitado, en su expresión inglesa «spam».
  5. .º Programas dañinos, constituidos por virus, gusanos, troyanos, espías, u otros de naturaleza análoga.
  6. .º Código móvil de tipo «applet».
  7. Se establecerán normas de uso del correo electrónico por parte del personal determinado. Estas normas de uso contendrán:
  8. .º Limitaciones al uso como soporte de comunicaciones privadas.
  9. .º Actividades de concienciación y formación relativas al uso del correo electrónico.


Cuando el servicio de correo electrónico se presta externamente, habrá que asegurar que el prestador del servicio cumple con lo señalado anteriormente, cirunstancia que suele acometerse mediante la suscripción del correspondiente Contrato y Acuerdo de Nivel de Servicio, que se complementará con la facultad de la entidad de auditar la prestación del servicio y la adopción de las preceptivas medidas de seguridad. 

EL ENS Y LA NORMALIZACIÓN VOLUNTARIA RELATIVA A SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

¿Es el ENS compatible con UNE ISO/IEC 27001:2007?, ¿son normas similares?, ¿son complementarias?

El Esquema Nacional de Seguridad es una norma jurídica, el Real Decreto 3/2010, que se encuentra al servicio de la realización del derecho de los ciudadanos a relacionarse por medios electrónicos con las Administraciones Públicas establecido en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y es de obligado cumplimiento para las Administraciones Públicas. El ENS , sustentado en principios internacionales de seguridad de la información, trata la PROTECCIÓN de la información, los sistemas y los servicios.


El ENS contempla y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un sistema de gestión. Véanse los principios básicos relativos a 'La seguridad como un proceso integral' (art. 5) y a la 'Reevaluación periódica' (art. 9); los requisitos mínimos relativos a 'Organización e implantación del proceso de seguridad' (art. 12), 'Mejora continua del proceso de seguridad' (art. 26); véase también el anexo III sobre Auditoría de la seguridad que desarrolla el artículo 34 y que incluye entre los términos considerar en la auditoría de la seguridad de los sistemas de información de una organización "f) Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección."


Para satisfacer los citados principios básicos y requisitos mínimos se puede aplicar un modelo de tipo PCDA para lo cual la normalización voluntaria ofrece herramientas como la norma UNE ISO/IEC 27001:2007 "Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005)".


Como es sabido, la norma UNE ISO/IEC 27001:2007 contiene los requisitos para la construcción (y ulterior certificación, en su caso) de un Sistema de Gestión de Seguridad de la Información. En el Anexo A de esta norma se enumeran los controles que desarrolla la norma ISO 27002. Ambas normas, por tanto, deben examinarse de manera complementaria.


Por tanto, en conclusión:

  • El ENS es una norma jurídica, el Real Decreto 3/2010, que se encuentra al servicio de la realización de derechos de los ciudadanos y es de aplicación obligatoria a todas las Administraciones Públicas.
  • El ENS que trata la 'protección' de la información y los servicios, contempla y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un sistema de gestión.
  • La normalización nacional e internacional, de cumplimiento voluntario, ofrece herramientas como la norma UNE ISO/IEC 27001:2007 que es una norma de 'gestión' que contiene los requisitos para la construcción de un sistema de gestión de seguridad de la información, contra la que puede, en su caso, de forma voluntaria, certificarse una entidad (pública o privada) mediante un proceso de auditoría realizado por un auditor certificado externo.
  • Si bien cabe señalar que aquellas organizaciones que se encuentren certificadas contra ISO 27001 tienen una buena parte del camino recorrido para lograr su conformidad con el ENS, toda vez que las medidas de protección que señala el ENS coinciden, en lo sustancial, con los controles que prevé la norma internacional.
  • Por tanto, el Esquema Nacional de Seguridad y la norma UNE ISO/IEC 27001:2007 difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen.


















Rev:2019 / 02
Lang.

SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA