ISO 27001 vs ENS. Similitudes y Diferencias

ISO 27001 y ENS (Esquema Nacional de Seguridad) son dos marcos importantes en la gestión de la seguridad de la información, pero tienen enfoques y contextos diferentes. Ambas reúnen los requisitos, procedimientos y buenas prácticas que una organización debe implementar para proteger sus activos de información.

No obstante, lo anterior, indicar que ambas proporcionan directrices y/o requisitos para desarrollar y poner en marcha un método eficaz para proteger a las organizaciones ante ataques externos y errores o acciones internas deliberadas que supongan una perdida de datos, información o conocimiento de cualquier organización que pueden llegar a condicionar la viabilidad y la sostenibilidad de la misma.

Pero, ¿En qué se diferencian? ¿Cuándo conviene elegir una u otra? ¿Son aplicables a cualquier tipo de empresa?

Empecemos por algunas definiciones al respecto de que es uno y otro esquema, así como se diferencian o complementan.

El Esquema Nacional de Seguridad, de aplicación a todo el Sector Público, así como a los proveedores que colaboran con la Administración, ofrece un marco común de principios básicos, requisitos y medidas de seguridad para una protección adecuada de la información tratada y los servicios prestados, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias

Por otro lado, la norma ISO 27001 es un estándar internacional voluntario que establece los requisitos mínimos que debe cumplir un Sistema de Gestión de Seguridad de la Información (SGSI) para asegurar una correcta gestión y protección de la información en cualquier tipo de organización, independientemente del formato de dicha información, garantizando la continuidad de sus operaciones frente a cualquier amenaza.

La Política de Seguridad establece el estado en el que se encuentra la información y los servicios dentro de la entidad y define qué es lo que se desea proteger, así como los correspondientes objetivos de seguridad proporcionando una base para la planificación de la misma.

Dicho lo cual, a continuación se presentan algunas de las principales diferencias y similitudes:

Similitudes

1. Objetivo Común: Ambos buscan proteger la información y garantizar su confidencialidad, integridad y disponibilidad.
2. Enfoque en Riesgos: Tanto ISO 27001 como ENS enfatizan la evaluación y gestión de riesgos como parte de su implementación.
3. Mejora Continua: Ambos marcos promueven la mejora continua en la gestión de la seguridad de la información.
4. Documentación: Ambos requieren la documentación de políticas, procedimientos y controles de seguridad.

Diferencias

1.      Ámbito de Aplicación:

ISO 27001: Es una norma internacional aplicable a cualquier tipo de organización, independientemente de su tamaño o sector.

ENS: Es un marco específico para las administraciones públicas y entidades del sector público en España.

2.      Estructura:

ISO 27001: Se basa en un enfoque de gestión y tiene un sistema de gestión de la seguridad de la información (SGSI) que incluye requisitos específicos para establecer, implementar, mantener y mejorar la seguridad.

ENS: Se centra más en la definición de un conjunto de requisitos mínimos de seguridad, categorizando los sistemas según su nivel de impacto (bajo, medio, alto).

3.      Normativa:

ISO 27001:

• Es una norma certificable, lo que permite a las organizaciones obtener una certificación oficial.
• La evaluación de los riesgos se realiza teniendo en consideración tres dimensiones: Confidencialidad, Integridad y Disponibilidad
• La realización de las auditorias es con carácter anual

ENS:

• No es una norma certificable; es más un marco regulador que establece directrices y requisitos a seguir. Está regulado por el Real Decreto 311/2022.
• La evaluación de los riesgos se realiza teniendo en consideración las tres dimensiones mencionadas de la norma ISO 27001 más la Trazabilidad y Autenticidad
• La realización de auditorias es cada 2 años o cuando haya cambios significativos.

4.      Contexto Legal:

ISO 27001: No está ligada a un contexto legal específico, aunque puede ayudar a cumplir con leyes de protección de datos.

ENS: Está vinculada a la legislación española, especialmente en el ámbito de la ciberseguridad y la protección de datos en el sector público.

5.      Obligatoriedad

ISO 27001: No es de implementación ni certificación obligatoria

ENS: Es de obligado cumplimiento para todas las Entidades Públicas u Organizaciones (Proveedores) que trabajan con la Administración y que presten servicios en el ámbito de la Administración Electrónica.

Conclusiones

Ambos marcos son valiosos para la gestión de la seguridad de la información, pero su elección dependerá del contexto de la organización y sus necesidades específicas. Si una entidad pública en España busca cumplir con requisitos regulatorios, el ENS será más relevante, mientras que ISO 27001 será adecuada para organizaciones que buscan una certificación internacional.