L’Esquema Nacional de Seguretat (ENS) estableix un marc comú de requisits per garantir la protecció de la informació que gestionen les administracions públiques i les empreses que hi col·laboren. Des de la seva actualització el 2022 , l’ENS és més exigent, i cada cop més organitzacions del sector privat han de complir amb ell per poder treballar amb entitats públiques.
Un dels primers passos per complir amb l’ENS és conèixer els nivells de certificació ENS i avaluar quin s’aplica a la teva empresa: mitjà o alt . Aquesta decisió és clau, ja que en depèn el conjunt de mesures de seguretat i controls que hauràs d’implementar.
A continuació, t’expliquem quins són els nivells de l’ENS, les diferències principals i com saber quin necessites.
Nivells de certificació ENS: quins existeixen i quina necessita la teva empresa?
L’ENS classifica els sistemes d’informació en tres nivells: baix, mitjà i alt segons l’impacte que tindria un incident de seguretat sobre la informació que tracten.
- ENS nivell baix: per a informació poc sensible. La pèrdua o l’alteració no tindria conseqüències greus.
- ENS nivell mitjà: per a informació el compromís del qual podria afectar el funcionament normal d’un organisme o servei.
- ENS nivell alt: per a informació sensible o crítica, on una bretxa pot tenir un impacte greu a la seguretat, els drets de les persones o el servei públic.
La majoria de les empreses que treballen amb el sector públic han de complir nivell mitjà o nivell alt, segons el tipus de dades o serveis que gestionen.
Diferències entre l’ENS nivell mitjà i l’ENS nivell alt
| Requisit / Mesura | ENS nivell mitjà | ENS nivell alt |
|---|---|---|
| Anàlisi de riscos | Requereix anàlisi formal | Anàlisi detallada i actualitzada |
| Documentació | Política i pla de seguretat | Procediments complets i evidències |
| Autenticació | Doble factor en accessos crítics | Obligatori a tots els accessos |
| Gestió d’incidents | Registre i notificació bàsica | Protocols detallats i traçabilitat |
| Control d’accessos | Rols i perfils definits | Separació de funcions i control reforçat |
| Auditoria interna | Revisió anual | Auditories freqüents amb evidències |
| Protecció de la informació | Xifrat en trànsit o emmagatzematge | Xifrat obligatori en ambdues situacions |
| Continuïtat del negoci | Pla de recuperació davant d’incidents | Pla complet i provat periòdicament |
| Formació | Bàsica per a personal clau | Pla continu amb seguiment |
| Avaluació de proveïdors | Recomanable | Obligatòria amb requisits contractuals |
| Auditoria externa | Cada 2 anys | Anual, més exigent |
Com saber quin nivell de certificació ENS necessita la teva empresa?
El nivell d’aplicació depèn de tres factors principals:
- El tipus d’informació que treballes (per exemple: dades personals, dades de salut, informació estratègica…).
- El tipus de serveis que prestes a l’Administració (suport, allotjament, desenvolupament, consultoria, etc.).
- L’impacte que tindria una interrupció o fugida d’aquesta informació.
Si tens dubtes, és recomanable fer una anàlisi d’impacte que avaluï la confidencialitat, disponibilitat i integritat dels sistemes. A Edorteam, no només podem preparar la teva empresa per obtenir la Certificació ENS de nivell mitjà o alt, també comptem amb un departament jurídic especialista en RGPD i Protecció de Dades per realitzar aquesta avaluació d’impacte i assessorar-te sobre quin nivell convé més a la teva organització.
Com triar el nivell correcte sense sobredimensionar
Escollir un nivell de seguretat superior al necessari pot suposar un sobreesforç tècnic i econòmic , mentre que quedar curt implica risc d’incompliment i exclusió de contractes públics. A Edorteam analitzem la vostra situació, avaluem els requisits reals i us proposem un pla d’adequació a mida , adaptat al vostre nivell ENS.
Com començar el procés de certificació ENS?
Si necessites complir l’Esquema Nacional de Seguretat i no saps quin nivell et correspon o per on començar, parla amb nosaltres. A Edorteam t’acompanyem en tot el procés: diagnòstic, documentació, implantació de mesures i auditoria per aconseguir la teva certificació ENS amb garanties i sense complicacions.
0 Comments