El Esquema Nacional de Seguridad (ENS) se establece como el marco normativo de obligado cumplimiento en España que rige la ciberseguridad de los sistemas de información utilizados por la Administración Pública, así como por aquellas empresas y entidades que colaboran o prestan servicios a estas. La complejidad inherente a la implementación del ENS, que abarca desde la política organizativa hasta las salvaguardas técnicas, genera una considerable incertidumbre metodológica y legal para directivos, responsables de tecnologías de la información (TI) y encargados de cumplimiento. La exigencia de la certificación oficial en los niveles medio y alto añade una capa adicional de rigor y dificultad.
La no observancia del Esquema Nacional de Seguridad (ENS) o su implementación inadecuada tiene consecuencias de gran calado. El impacto más directo es la imposibilidad de participar en licitaciones y contratos con organismos públicos, cerrando la puerta a un mercado crucial para muchas empresas. Adicionalmente, el incumplimiento supone un riesgo sistémico de seguridad de la información, exponiendo a la entidad a brechas de datos, interrupción de servicios críticos y, en última instancia, a sanciones administrativas por parte de la Inspección de Servicios y la Agencia Española de Protección de Datos (AEPD), especialmente si se comprometen datos personales.
Este artículo se adentra en los fundamentos esenciales del Esquema Nacional de Seguridad (ENS), desglosando su estructura, los principios básicos que lo rigen y la hoja de ruta necesaria para garantizar el cumplimiento y la posterior certificación. Detallaremos cómo se abordan la clasificación de la información, el análisis de riesgos y la aplicación de medidas de seguridad en sus diferentes niveles. El objetivo es proporcionar una guía clara y experta, destacando el papel crucial de un servicio de esquema nacional de seguridad para transformar una obligación legal en una estrategia robusta de ciberseguridad.
¿Qué es el Esquema Nacional de Seguridad (ENS) y cuál es su principal objetivo?
El Esquema Nacional de Seguridad (ENS) es un conjunto de principios, requisitos y medidas de seguridad obligatorias que buscan establecer una política de seguridad unificada y eficaz para la Administración Pública y sus proveedores. Su objetivo principal es generar la confianza necesaria en el uso de los medios electrónicos, asegurando la seguridad de la información y la continuidad de los servicios públicos digitales.
Fundamentos del Esquema Nacional de Seguridad (ENS): principios básicos y requisitos
El ENS se articula sobre un conjunto de principios básicos y requisitos mínimos que deben ser asumidos por las entidades obligadas. Comprender estos fundamentos es el punto de partida para cualquier proyecto de cumplimiento.
Los principios básicos: el núcleo del ENS
El ENS, regulado por el Real Decreto 311/2022 (que actualiza el anterior RD 3/2010), se basa en una serie de principios que guían toda su implementación:
Seguridad como proceso integral: La seguridad debe ser considerada una parte inherente y continua de la gestión de los sistemas y servicios, no un añadido puntual.
Gestión de riesgos: La aplicación de las medidas de seguridad debe basarse en una gestión de riesgos que permita identificar amenazas, vulnerabilidades y el impacto potencial en la organización.
Prevención, detección y respuesta: El sistema debe estar diseñado para prevenir incidentes, detectar rápidamente las anomalías y permitir una respuesta rápida y eficaz para recuperar la normalidad.
Líneas de defensa: Los sistemas de seguridad deben aplicar un concepto de defensa en profundidad, utilizando múltiples capas de protección que dificulten la materialización de amenazas.
Reevaluación continua: El nivel de seguridad no es estático; debe revisarse y actualizarse periódicamente para adaptarse a la evolución de las amenazas y de la tecnología.
Requisitos mínimos obligatorios
El ENS establece requisitos que van más allá de la tecnología y que deben formalizarse a nivel organizativo:
Política de Seguridad: Documento formal aprobado por la alta dirección que define los compromisos y el marco de la seguridad.
Análisis de Riesgos: Documentación que identifica la criticidad de los activos y los riesgos asociados (utilizando metodologías como Magerit o similares).
Declaración de Aplicabilidad (SoA): Listado detallado de las medidas de seguridad del ENS implementadas o previstas, justificando las no aplicadas.
La categorización de los sistemas: definiendo el nivel de exigencia del ENS
El paso más importante, que determina el esfuerzo de implementación y si se requiere una auditoría externa, es la categorización del sistema de información. Este proceso se basa en la valoración de la información y los servicios que maneja.
Las cinco dimensiones de seguridad
Para establecer la criticidad, se evalúa el impacto que un incidente de seguridad tendría sobre cada una de las siguientes dimensiones. El impacto se califica como Bajo, Medio o Alto.
Confidencialidad: Protección de la información frente a la divulgación no autorizada.
Integridad: Salvaguarda de la exactitud y completitud de la información.
Disponibilidad: Garantía de que los usuarios autorizados tienen acceso a la información y a los servicios cuando es necesario.
Autenticidad: Garantía de la identidad de usuarios, sistemas y procesos.
Trazabilidad: Capacidad de seguir y reconstruir la secuencia de acciones en el sistema.
Determinación de los niveles de seguridad
El nivel de seguridad del sistema de información será el máximo nivel de impacto (Bajo, Medio o Alto) que se haya asignado a cualquiera de las cinco dimensiones.
| Nivel de Seguridad ENS | Requisito Principal | Tipos de Medidas Aplicadas | Auditoría Externa |
| Básico | Ninguna dimensión alcanza el nivel medio o alto. | Conjunto mínimo de medidas, el menos exigente. | No obligatoria, pero recomendada. |
| Medio | Al menos una dimensión alcanza el nivel medio. | Conjunto amplio y detallado de medidas (44 adicionales al básico). | Obligatoria cada dos años. |
| Alto | Al menos una dimensión alcanza el nivel alto. | Máximo nivel de exigencia, incluye medidas muy avanzadas. | Obligatoria cada dos años. |
Las empresas que prestan servicios a la Administración Pública a menudo se encuentran obligadas a alcanzar el ENS nivel medio debido a la criticidad de los datos que manejan.
El marco de medidas de seguridad: los tres pilares del cumplimiento del ENS
El corazón del Esquema Nacional de Seguridad (ENS) reside en sus 75 medidas, que se organizan en tres grandes marcos: marco de gestión, marco operacional y medidas de protección. El cumplimiento exige la aplicación de las medidas específicas que correspondan al nivel de seguridad determinado.
Marco de gestión (MG)
Este marco establece la estructura organizativa y los procesos de toma de decisiones en materia de seguridad.
Política de Seguridad (MG.1): Establece el tono de la seguridad y el compromiso de la alta dirección.
Gestión de Riesgos (MG.2): Proceso continuo de identificación, análisis, evaluación y tratamiento de los riesgos.
Roles y Responsabilidades (MG.3): Asignación de funciones clave como el Responsable de Seguridad y el Comité de Seguridad.
Marco operacional (MO)
Se centra en la operativa diaria, los procedimientos y la supervisión continua del sistema.
Gestión de la Configuración (MO.2): Control de los cambios en el hardware y software para evitar vulnerabilidades no controladas.
Control de Acceso (MO.3): Implementación de mecanismos de autenticación robustos y gestión de permisos basados en el principio del mínimo privilegio.
Gestión de Incidentes (MO.4): Capacidad para detectar, analizar y responder a los incidentes de seguridad de forma coordinada.
Medidas de protección (MP)
Son las medidas técnicas y físicas destinadas a proteger los activos. Para el nivel medio y alto, estas medidas son las que suelen requerir una mayor inversión tecnológica.
Protección frente a Código Malicioso (MP.2): Mecanismos actualizados de antivirus y prevención de intrusiones.
Copia de Seguridad y Recuperación (MP.5): Implementación de planes de backup y Disaster Recovery Plan (DRP) probados y documentados.
Criptografía (MP.6): Uso de algoritmos de cifrado y claves adecuados para proteger la confidencialidad e integridad de la información en reposo y en tránsito.
La certificación y el apoyo experto en el Esquema Nacional de Seguridad (ENS)
El cumplimiento del ENS culmina, para los niveles medio y alto, con la auditoría de certificación. Este proceso formal requiere un nivel de documentación y evidencia que solo la experiencia puede garantizar.
El proceso de certificación
Auditoría Externa: Debe ser realizada por una entidad de certificación acreditada (por ejemplo, AENOR o similar).
Informe de Auditoría: Detalla el grado de cumplimiento y las posibles No Conformidades (NCs).
Subsanación de NCs: La entidad debe corregir las desviaciones en un plazo definido y presentar las evidencias.
Emisión del Certificado: Una vez subsanadas las NCs, se emite el certificado, con una vigencia de dos años.
La complejidad del análisis de riesgos, la implementación de las medidas y la preparación de la documentación para la auditoría hacen que el apoyo especializado sea fundamental. Un servicio experto en esquema nacional de seguridad aporta la metodología probada para acelerar el proceso de adecuación, interpretar los requisitos específicos para su sector y garantizar que la documentación sea sólida y cumpla con las expectativas del auditor, minimizando el riesgo de no conformidad y asegurando la continuidad de su relación con la Administración Pública.
Preguntas frecuentes sobre Esquema Nacional de Seguridad (ENS)
¿Qué empresas privadas están obligadas a cumplir con el ENS?
Están obligadas a cumplir con el Esquema Nacional de Seguridad (ENS) todas aquellas empresas privadas que presten servicios o suministren soluciones de tecnología de la información a entidades del sector público que manejen información clasificada dentro del ámbito del ENS. Es una obligación contractual impuesta por la ley.
¿El ENS obliga a utilizar productos de seguridad homologados?
Sí, el ENS establece un requisito de seguridad en el ciclo de vida de los sistemas. Los sistemas que manejen información de nivel medio o alto deben utilizar productos de seguridad que hayan superado procesos de evaluación y certificación, como los evaluados por el Centro Criptológico Nacional (CCN) o aquellos con certificación Common Criteria.
¿Qué papel tiene el Responsable de Seguridad dentro del ENS?
El Responsable de Seguridad es un rol obligatorio dentro del ENS y es la figura clave designada por la organización para supervisar y mantener la política de seguridad, gestionar los riesgos y monitorizar la aplicación de las medidas. Es el principal punto de contacto en caso de incidentes o auditorías.
¿Qué es el Informe de Conformidad y quién debe emitirlo?
El Informe de Conformidad es el documento que acredita que el sistema de información cumple con el ENS. Para los sistemas de nivel Básico, este informe es emitido por la propia organización o por una auditoría interna. Para los sistemas de nivel Medio y Alto, el Informe de Conformidad es emitido por una Entidad de Certificación Acreditada tras la auditoría externa bienal.
