Medidas de seguridad de alto nivel: el Esquema Nacional de Seguridad de España (ENS)Spain Esquema Nacional de Seguridad (ENS) High-Level Security Measures

Introducción al ENS de EspañaSpain ENS overview

En 2007, el Gobierno español sancionó la Ley 11/2007, que establecía un marco jurídico para ofrecer a los ciudadanos acceso electrónico a los servicios del Gobierno y de la administración pública.In 2007, the Spanish government enacted Law 11/2007, which established a legal framework to give citizens electronic access to government and public services. Esta ley es la base del Esquema Nacional de Seguridad, que se rige por el Real Decreto (RD) 3/2010.This law is the basis for Esquema Nacional de Seguridad (National Security Framework), which is governed by Royal Decree (RD) 3/2010. El objetivo del esquema es crear confianza en la prestación de servicios electrónicos y asegurar el acceso, la integridad, la disponibilidad, la autenticidad, la confidencialidad, la trazabilidad y la preservación de datos, información y servicios.The goal of the framework is to build trust in the provision of electronic services, and ensure the access, integrity, availability, authenticity, confidentiality, traceability, and preservation of data, information, and services.

El esquema se aplica a todas las organizaciones y organismos gubernamentales de España que compren servicios en la nube, así como a proveedores de tecnologías de la información y comunicaciones (TIC).The framework applies to all public organizations and government agencies in Spain that purchase cloud services, as well as to providers of information and communications technologies (ICT). Guía a estas agencias y empresas en la implementación de controles eficaces de seguridad en la nube y local, cumpliendo con los estándares de seguridad y privacidad de la Unión Europea y España.It guides these agencies and companies in implementing effective controls for security in the cloud and on premises, in compliance with Spanish and EU security and privacy standards.

El esquema establece directivas fundamentales y requisitos obligatorios que deben cumplir tanto los organismos gubernamentales como sus proveedores de servicios.The framework establishes core policies and mandatory requirements that both government agencies and their service providers must meet. Define un conjunto de controles de seguridad específicos (muchos de los cuales se alinean directamente con ISO/IEC 27001), en relación con la disponibilidad, la autenticidad, la integridad, la confidencialidad y la trazabilidad.It defines a set of specific security controls — (many of which align directly with ISO/IEC 27001) — relating to availability, authenticity, integrity, confidentiality, and traceability. La confidencialidad de la información (baja, intermedia o alta) determina las medidas de seguridad que se deben aplicar para protegerla.The sensitivity of the information — low, intermediate, or high — determines the security measures that must be applied to protect it.

Cada agencia gubernamental debe adoptar un enfoque de administración de riesgos para la seguridad en el que se identifiquen y evalúen los riesgos y, a continuación, aplicar los controles de seguridad adecuados a los riesgos.Each government agency is required to adopt a risk-management approach to security, whereby they identify and assess risks, and then apply security controls appropriate to those risks. Los proveedores de servicios también deben cumplir los estrictos requisitos del esquema para garantizar que los procedimientos, las capacidades técnicas y las operaciones sean seguros y permitan a las agencias cumplir las disposiciones.Service providers, too, must comply with the stringent framework requirements to help ensure that their procedures, technical capacities, and operations are secure and enable agencies to comply with the regulations.

El esquema prescribe un proceso de acreditación voluntario para los sistemas que controlan información de baja confidencialidad, pero obligatorio para los sistemas de tratamiento de información con un nivel intermedio o alto de confidencialidad.The framework prescribes an accreditation process that is voluntary for systems handling information of low sensitivity, but mandatory for systems handling information at an intermediate or high level of sensitivity. Un auditor independiente realiza la auditoría.An audit is performed by an accredited independent auditor. El informe se revisa luego en un proceso de certificación antes de que se acepten los controles de administración de riesgos en el último paso de la acreditación.The report is then reviewed in a process of certification before risk-management controls are accepted in the final step of accreditation.

Microsoft y las medidas de seguridad de alto nivel del ENS de EspañaMicrosoft and Spain ENS high-level security measures

Microsoft Azure y Microsoft Office 365 han superado un proceso de rigurosa evaluación por BDO, un auditor independiente, que les ha proporcionado un informe oficial de cumplimiento.Microsoft Azure and Microsoft Office 365 have gone through a rigorous assessment by BDO, an independent auditor, which issued an official statement of their compliance. BDO informa de que las medidas de seguridad de los servicios, así como sus sistemas de información y recursos de procesamiento de datos, cumplen en el nivel alto con RD 3/2010 sin necesidad de medidas correctivas.BDO reports that the security measures in both services, and their information systems and data processing facilities, comply at the high level with RD 3/2010 without requiring any corrective measures. Microsoft fue el primer proveedor de servicios de nube ampliados en recibir esta certificación en España.Microsoft was the first hyperscale cloud service provider to receive this certification in Spain.

Servicios de la nube dentro del alcance de MicrosoftMicrosoft in-scope cloud services

Auditorías, informes y certificadosAudits, reports, and certificates

La certificación es válida durante dos años, con una auditoría de vigilancia anual.The certification is valid for two years, with an annual surveillance audit.

AzureAzure

Office 365Office 365

Preguntas más frecuentesFrequently asked questions

¿Cómo puedo obtener copias de los certificados y los informes de auditoría?How can I get copies of the audit reports and certifications?

El Portal de confianza de servicios ofrece informes de auditoría y certificaciones tanto en español como en inglés.The Service Trust Portal provides the audit reports and certifications in both Spanish and English. Sus auditores puedan usarlos para comparar los resultados de los servicios de nube de Microsoft con sus propios requisitos legales y regulatorios.Your auditors can use them to compare Microsoft cloud services results with your own legal and regulatory requirements.

¿Cómo puedo empezar con los esfuerzos de cumplimiento normativo de mi organización?Where do I start with my organization’s own compliance effort?

Si su organización usa Azure u Office 365, puede usar acreditaciones e informes de auditorías del ENS de Microsoft como parte de su propio proceso de acreditación.If your organization is using Azure or Office 365, you can use ENS Microsoft audit reports and accreditation as part of your own accreditation process. Sin embargo, usted tiene la responsabilidad de contratar a un auditor para evaluar la implementación del cumplimiento normativo y asegurarse de que los controles y procesos de su propia organización se alineen con los del esquema.However, you are responsible for engaging an auditor to evaluate your implementation for compliance, and for ensuring that the controls and processes within your own organization align with the framework.

RecursosResources