Hace poco os anunciábamos que recibimos la certificación alta en el Esquema Nacional de Seguridad (ENS). Pero esto ¿qué significa realmente?
La respuesta corta es que somos una empresa confiable en la que tratamos la información que manejamos como uno de nuestros principales activos. Pero en este post queremos explicaros un poco más detenidamente que implicaciones tiene esta certificación y el porqué la hemos perseguido.
Normadat es una empresa con 30 años en el mercado y desde su nacimiento ha tenido en su ADN la seguridad de la información que maneja.
El ENS establece los principios básicos y requisitos mínimos para que las AAPP protejan de manera adecuada la información, las comunicaciones y los servicios electrónicos que los ciudadanos empleamos. Por tanto, también implica a las empresas privadas que, como la nuestra, contratan con las AAPP servicios relacionados con sistemas de información.
El Esquema Nacional de Seguridad (ENS) persigue fomentar la confianza de los ciudadanos en el uso de los entornos digitales que proporciona la Administración Pública. Para ello vela por unas medidas de seguridad comunes a todas las AAPP del Estado y a todo organismo o empresa que trabaje con éstas. Para asegurar el cumplimiento en materia de seguridad y aportar un tratamiento homogéneo de la seguridad las empresas prestadoras de servicios con las AAPP deben implantar igualmente las medidas de seguridad exigidas a estos organismos por el ENS. Se trata de unificar las medidas de seguridad que todos los agentes que estemos al amparo de esta certificación debemos cumplir.
Los diferentes sistemas de información deben cumplir una serie de requisitos concretos que sirvan de base para organizar e implantar sistemas de seguridad, el análisis y la gestión de los riesgos, la gestión del personal, los accesos, la integridad y actualizaciones de los sistemas, la prevención ante otros sistemas de información interconectados, que toda la actividad guarde su registro o el cómo actuar ante incidentes de seguridad, entre otros requisitos.
Normadat ha demostrado una solvencia alta en cuanto a la seguridad integral de sus sistemas de gestión documental y servicios de soportes informáticos, digitalización e indexación de documentos y otras áreas y fases de archivo como la recepción, depósito, inventario, gestión de pedidos, transporte o distribución, entre otros. El certificado con la categoría alta en ENS nos avala ante el modo de gestionar los riesgos en la seguridad de la información que nos acechan y puedan causar daños del tipo que sean, desde nimios hasta catastróficos. Estamos certificados en nuestro modo de cómo los prevenimos, reaccionamos y recuperamos la información tratada en caso de incidentes y cómo utilizamos la seguridad de nuestro entorno como una función diferenciada que tiene un peso importante y, por tanto, es evaluable periódicamente por nuestros mecanismos de control.
Gracias al cumplimiento desde hace años de normativas como la ISO 27001 la gestión de riesgos en nuestros sistemas de información era ya una realidad. La mejora continua del control de amenazas, nuestros sistemas de análisis, gestión y mitigación de riesgos, así como los controles y medidas de protección de la información custodiada nos ayudaron para conseguir la certificación con categoría alta en el ESN, que es de facto el estándar de referencia en nuestro país. Y es que se trata de un requerimiento legal de obligado cumplimiento tanto por las AAPP como por todas aquellas entidades vinculadas a estas, es decir, que presten servicios a las AAPP.
Y este marco de referencia dentro del sector público ha saltado al resto de sectores en materia de regulación de seguridad al otorgar a la entidad que lo posee un sello de compromiso con la calidad de sus sistemas de información: Nos dice que esa empresa cumple con una dura normativa vigente y con los requisitos legales que las AAPP exigen con respecto a sus sistemas de información, nos informa que esa entidad cumple con requisitos organizativos como procedimientos y procesos reglados, con requisitos operacionales como planificación, control y monitorización de sus sistemas y, además, nos dice que sus activos en equipos, servicios o infraestructuras cumplen con el estándar nacional en materia de seguridad.
El proceso de auditoría de conformidad con el ENS, así como con la auditoría para obtener la certificación ISO 27001 fue llevado a cabo por AENOR, quien, en sus propias palabras, califica la posesión de ambas acreditaciones como “el binomio perfecto de ciberseguridad”.
