El esquema nacional de defensa tiene como objetivo la prevención, defensa, detección y respuesta frente a ciberamenazas.

• Crear condiciones necesarias para la confianza en el uso de medios electrónicos a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos.
• Introudcir elementos comunes que han de guiar las actuaciones de las adminsitraciones públicas en manera de seguridad de las tecnologías de la información.

El primer paso del ENS es elaborar la política de seguridad de la información. Deben desarrollarse los principios mínimos establecidos en el ENS.

1. Organización e implantación del proceso de seguridad
2. Análisis y gestión de los riesgos
3. Gestión de personal
4. Profesionalidad
5. Autorización y control de los accesos.
6. Protección de las instalaciones
7. Adquisición de productos
8. Seguridad pord efecto
9. Integridad y actualización del sistema
10. Protección de la información almacenada y en tránsito
11. Prevención ante otros sistemas de información interconectados
12. Registro de actividad
13. Incidentes de seguridad
14. Continuidad de la actividad
15. Mejora continua del proceso de seguridad

Roles del marco organizativo:

• Responsable de la información (RINFO): El cargo más alto de la organización
• Responsable del servicio (RSERV): Decide sobre los requisitos de seguridad del servicio
• Responsable de la seguridad (CISO): Gestiona la seguridad de la información y los servicios
• Responsable del sistema (RSIS): Encargado de desarrollar, operar y mantener el sistema
• Administradores de la seguridad del sistema (ASS): Se encargan de la parte técnica de la implementación, gestión y mantenimiento de las medidas de seguridad.

1. Identificación de los servicios y de la infomración
2. Valoración de los servicos e información

Se usan varias herramientas:

• MAGERIT: Metodología de análisis de riesgos para IT
• Pilar: Herramienta de análisis de riesgos de propósito general

Este documento e suna relación de las 75 medidas de seguridad privastas indicando si cada una de estas debe aplicarse o no. Para seleccionar las medidas de seguridad a aplciar se siguien los siguientes pasos:

1. Identificar tipos de activos presentes
2. Determinar las dimensiones de seguridad relevantes
3. Determianr el nivel correspondiente a cada dimensión de seguridad
4. Determinar la categoría del sistema.
5. Seleccionar las medidas de seguridad apropiadas

Una vez establecidos los requisitos mínimos para adecuar la organización al ENS, se debe ejecutar una evaluación del grado de cumplimiento de las medidas previstas para identificar puntos a corregir o menjorar.

Es el paso final para la planioficación de la adecuación al ENS. Se elabora un plan de mejora que contemple las acciones para subsanar las insuficiencias de la organización detectadas anteriormente.