ciberseguridad
Esquema Nacional de Seguridad de España
Antes de comenzar, cubrimos exhaustivamente el ENS (Esquema Nacional de Seguridad) en varias lecciones. Esta lección se centra únicamente en las medidas de seguridad y la implementación. Lee una Introducción al ENS y aprende más sobre el Marco organizativo y operativo del ENS.
Para implementar el Esquema Nacional de Seguridad (ENS) de España 🇪🇸, primero necesitamos nombrar un comité que será responsable de la implementación del esquema.
Desde la entrada en vigor del Real Decreto 311/2022, el Esquema Nacional de Seguridad (ENS) define de forma clara y precisa cuatro roles clave que deben estar presentes en todas las organizaciones sujetas al cumplimiento del ENS. Estos roles se especifican en el Artículo 11 del real decreto, y sustituyen modelos antiguos como comités o presidentes con voto de calidad, los cuales no figuran en la normativa oficial.
Cada rol tiene responsabilidades bien delimitadas que aseguran la adecuada protección de los sistemas, la información y los servicios que gestiona una entidad. A continuación se describen en detalle:
Es la figura encargada de determinar los requisitos de seguridad de la información que se trata dentro del sistema. Esta persona, o en su caso un órgano colegiado, debe identificar la sensibilidad y criticidad de los datos, y establecer los niveles de protección necesarios conforme al Anexo I del ENS, que establece la categoría del sistema.
Responsabilidades clave:
Tiene la responsabilidad de definir los requisitos de seguridad de los servicios prestados por el sistema. Esto implica evaluar el impacto que tendría una alteración, interrupción o fallo en la prestación del servicio, y colaborar con el Responsable del Sistema para identificar los riesgos y las medidas necesarias.
Responsabilidades clave:
Es el encargado de la gestión integral de la seguridad de la información en la organización. Debe desarrollar planes de seguridad, realizar controles periódicos, coordinar auditorías, gestionar incidentes, y servir como punto de contacto con las autoridades competentes.
Responsabilidades clave:
Su función principal es desarrollar, operar y mantener el sistema de información, asegurando que se implementen y mantengan las medidas de seguridad adecuadas en todas las fases del ciclo de vida del sistema. También se encarga de categorizar el sistema según el ENS y realizar el análisis de riesgos.
Responsabilidades clave:
🔒 Nota: Estos cuatro roles deben estar claramente definidos, documentados y asignados formalmente dentro de la organización, y no pueden fusionarse de forma arbitraria. Su correcta implementación es un requisito fundamental para el cumplimiento del ENS y la obtención de la certificación correspondiente.
La implementación del Esquema Nacional de Seguridad (ENS) no debe entenderse como una acción puntual, sino como un proceso continuo que abarca todo el ciclo de vida del sistema, desde su diseño inicial hasta su retirada definitiva.
Este proceso debe estar guiado por un análisis de riesgos que determine qué medidas deben aplicarse, con qué nivel de exigencia (BASE, Reforzado, Alto) y en qué momento. La correcta implementación del ENS garantiza no solo el cumplimiento normativo, sino también la protección efectiva de los servicios y la información.
Antes de aplicar cualquier medida, la organización debe entender su contexto y obligaciones. Este paso inicial sienta las bases para el resto del proceso:
Este análisis permite conocer el estado actual de la organización frente a los requisitos del ENS y detectar puntos débiles:
Este análisis alimentará el Plan de Adecuación al ENS, que recoge los pasos concretos para alcanzar el cumplimiento.
Para cumplir con el ENS, la organización debe establecer una estructura clara de responsabilidades, sin recurrir a comités informales ni órganos sin reconocimiento normativo.
Este paso consiste en crear los fundamentos organizativos y técnicos que permitirán gestionar la seguridad de forma estructurada:
Aquí se despliegan las medidas técnicas del ENS, siempre alineadas con los resultados del análisis de riesgos. Entre ellas:
La implementación técnica sin gobierno ni políticas claras puede resultar ineficaz. Ambos componentes deben ir de la mano.
Las medidas administrativas complementan las técnicas y organizativas, asegurando que el factor humano también se gestione adecuadamente:
La seguridad no termina en los límites de la organización. El ENS exige gestionar los riesgos derivados de proveedores externos o servicios contratados:
Una vez implementadas las medidas, es necesario verificar el cumplimiento del ENS mediante auditorías:
La certificación no es el final, sino el inicio de un ciclo de mejora continua. Las medidas deben mantenerse y actualizarse durante todo el ciclo de vida del sistema.
Las medidas de seguridad del Esquema Nacional de Seguridad (ENS) se organizan en tres marcos:
org
)op
)mp
)Cada medida tiene niveles de aplicación según el perfil de seguridad del sistema:
=
: Requisito BASE (obligatorio para todos)+
: Requisito para sistemas de nivel medio++
: Requisito para sistemas de nivel altoEsta no es una lista exhaustiva. Las 73 medidas completas están disponibles en la Guía CCN-STIC 808.
org
)Medida | Nivel Bajo | Nivel Medio | Nivel Alto | Código |
---|---|---|---|---|
Normativas de seguridad | = | + | ++ | org.2 |
Procedimientos de seguridad | = | + | ++ | org.3 |
Medida | Nivel Bajo | Nivel Medio | Nivel Alto | Código |
---|---|---|---|---|
Control de instalaciones y componentes | = | = | = | org.4 |
op
)Medida | Nivel Bajo | Nivel Medio | Nivel Alto | Código |
---|---|---|---|---|
Análisis de riesgos | = | + | ++ | op.pl.1 |
Arquitectura de seguridad | = | + | ++ | op.pl.2 |
Adquisición de nuevos componentes | = | = | = | op.pl.3 |
Gestión de capacidades | — | = | = | op.pl.4 |
mp
)mp.if.*
)Medida | Nivel Bajo | Nivel Medio | Nivel Alto | Código |
---|---|---|---|---|
Áreas separadas con control de acceso | = | = | = | mp.if.1 |
Identificación de personas | = | = | = | mp.if.2 |
Acondicionamiento de los locales | = | = | = | mp.if.3 |
Energía eléctrica | + | = | = | mp.if.4 |
Protección frente a incendios | = | = | = | mp.if.5 |
Protección frente a inundaciones | — | = | = | mp.if.6 |
Registro de entrada y salida de equipamiento | = | = | = | mp.if.7 |
Instalaciones alternativas | — | — | = | mp.if.8 |
mp.per.*
)Medida | Nivel Bajo | Nivel Medio | Nivel Alto | Código |
---|---|---|---|---|
Caracterización del puesto | — | = | = | mp.per.1 |
Deberes y obligaciones | = | = | = | mp.per.2 |
Concienciación | = | = | = | mp.per.3 |
Formación | = | = | = | mp.per.4 |
Personal alternativo | — | — | = | mp.per.5 |
Medios alternativos (equipamiento) | — | — | = | mp.per.8 |
mp.info.*
)Medida | Nivel Bajo | Nivel Medio | Nivel Alto | Código |
---|---|---|---|---|
Datos de carácter personal | = | = | = | mp.info.1 |
Calificación de la información | + | = | = | mp.info.2 |
Cifrado | — | — | = | mp.info.3 |
Firma electrónica | + | ++ | ++ | mp.info.4 |
Sellos de tiempo | = | = | = | mp.info.5 |
Limpieza de documentos | = | = | = | mp.info.6 |
Copias de seguridad | = | = | = | mp.info.9 |
mp.s.*
)Medida | Nivel Bajo | Nivel Medio | Nivel Alto | Código |
---|---|---|---|---|
Protección del correo electrónico | = | = | = | mp.s.1 |
Protección de servicios y aplicaciones web | = | + | + | mp.s.2 |
Protección frente a la denegación de servicio | — | = | + | mp.s.8 |
Medios alternativos para servicios críticos | — | — | = | mp.s.9 |
=
: Nivel BASE, obligatorio para todos los sistemas+
: Aplicable a sistemas de nivel medio++
: Aplicable a sistemas de nivel alto—
: No aplicable explícitamente (puede depender del análisis de riesgos)