Identificar el nivel de categoría de tu sistema de información es básico dentro del Esquema Nacional de Seguridad.
Pero existe cierta confusión entre:
- Nivel de categoría de un sistema de información.
- Nivel de seguridad de la información.
- Dimensiones de seguridad.
Estos tres conceptos están muy relacionados y son esenciales para que puedas definir cuál es la categoría de tus sistemas de información.
Si quieres certificar a tu organización con el Esquema Nacional de Seguridad y quieres saber cómo categorizar tus sistemas de información, este artículo te interesa.
Contents
Por qué es importante conocer la categoría de un Sistema de Información según el Esquema Nacional de Seguridad
La categoría de un sistema de seguridad según el Esquema Nacional de Seguridad (ENS) establece el certificado que van a emitir a tu empresa los organismos certificadores.
Son estas entidades de certificación las que certifican el Esquema Nacional de Seguridad y por tanto, ellas son las que emiten el certificado del ENS a tu organización.
Pero claro, el Esquema Nacional de Seguridad se certifica en base a tres tipos diferentes de Categorías:
- ALTA.
- MEDIA.
- BÁSICA.
Estos niveles de Categoría están siempre ligados a las Dimensiones de Seguridad de los Sistemas de Información que soportan los procesos de negocio de tu empresa.
Te lo repito resumido:
Categoría = Dimensión + Procesos
Esquemáticamente, quedaría algo así:
Imagina que tu empresa se dedica a realizar desarrollo y mantenimiento de software.
Bien, pues lo que se certifica en tu empresa sería lo siguiente:
“Los sistemas de información que dan soporte a los procesos de desarrollo y mantenimiento de software”.
Esos sistemas de información son los que están categorizados como ALTO, MEDIO, BASICO en función del tipo de información que contienen.
Por lo tanto, para Categorizar un Sistema de Información se necesita conocer:
- Las diferentes dimensiones de seguridad que existen según el Esquema Nacional de Seguridad.
- El tipo de información que está contenida en los Sistemas de Información.
- Los niveles de seguridad que están asociados a los tipos de información que se tratan en los Sistemas de Información.
Bien, pues de todo esto es lo que te voy a contar en los siguientes epígrafes.
Dimensiones de seguridad y niveles de seguridad (Paso previo a identificar la Categoría del ENS)
Dimensiones de Seguridad según el Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad tiene ponderada la seguridad en dimensiones y niveles.
Voy a explicarte qué relación existe entre las dimensiones de seguridad y los niveles de seguridad.
El Anexo II del Esquema Nacional de Seguridad exige que se trabaje con 5 dimensiones de la seguridad:
- Confidencialidad (C).
- Integridad (I).
- Disponibilidad (D).
- Trazabilidad (T).
- Autenticidad (A).
Cualquier tipo de información o sistema de información puede verse afectado por alguna de estas dimensiones de seguridad.
Niveles de seguridad según el Esquema Nacional de Seguridad
Si tienes claro cuáles son las dimensiones de seguridad, he de decirte que bajo el ENS, cada dimensión de seguridad (C, I, D, T, A) debe asociarse a uno de estos niveles de seguridad:
- Nivel BAJO: cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
- Nivel MEDIO: cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
- Nivel ALTO: cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
¿y que se entiende por perjuicio limitado, grave y muy grave?
Esto es lo que dice el Anexo II del ENS:
Perjuicio limitado:
- Capacidad reducida de la organización para desarrollar sus funciones.
- Causar daño menor en los activos de la organización.
- Incumplimiento formal de alguna ley o regulación, con carácter de subsanable.
- Causar perjuicio menor a algún individuo, que pueda ser fácilmente reparable.
Perjuicio grave:
- Capacidad significativamente reducida de la organización para desarrollar eficazmente sus funciones.
- Causar daño significativo en los activos de la organización.
- Incumplimiento material de alguna ley o regulación, que no sea subsanable.
- Causar perjuicio significativo a algún individuo, de difícil reparación
Perjuicio muy grave:
- Capacidad nula de la organización para desarrollar eficazmente sus funciones.
- Causar daño muy grave de los activos de la organización.
- Incumplimiento grave de alguna ley o regulación.
- Causar perjuicio grave a algún individuo, de difícil o imposible reparación.
Cómo saber qué nivel de seguridad tiene una Dimensión de un sistema de información que contenga diferentes tipos de información
Los niveles de seguridad son BAJO, MEDIO y ALTO, te los comenté en el apartado anterior.
El nivel de seguridad de un sistema de información concreto se aplica a cada una de sus dimensiones de seguridad: Confidencialidad (C), Integridad (I), Trazabilidad (T), Autenticidad (A). Disponibilidad (D).
¿y si en un sistema de información se manejan y tratan diferentes tipos de información?
Pues deberás estudiar los distintos tipos de información que existen e identificar el nivel de seguridad para cada una de las dimensiones de seguridad de ese sistema de información.
¿Se entiende hasta aquí?
Tienes que identificar por cada tipo de información las dimensiones de seguridad.
Y, el nivel de seguridad de cada dimensión, lo marcará siempre el nivel más alto con el que se categorice cada tipo de información.
Si estamos analizando la dimensión “confidencialidad” dentro de un sistema de información y existen 3 tipos de información distintas, por ejemplo:
- Un tipo información 1 = NIVEL medio.
- Otro tipo información 2 = NIVE medio.
- Un tercer tipo información 3 = NIVEL alto.
La dimensión “confidencialidad” del sistema de información tiene un nivel alto.
Ejemplo en un Ayuntamiento para saber qué nivel de seguridad tiene una Dimensión de un sistema de información
Te voy a poner un ejemplo concreto:
Un ayuntamiento que utiliza un único sistema de información para gestionar:
- Datos generales de los ciudadanos (como nombres, direcciones y datos administrativos)
- Coordinación de emergencias (por ejemplo, la gestión de incidencias en tiempo real durante desastres o emergencias sanitarias).
Imagina que estamos analizando sólo la Dimensión “Disponibilidad” en estos dos tipos de información…
Bien, la Dimensión “Disponibilidad” podrían tener estos niveles de seguridad:
- Datos generales de los ciudadanos: NIVEL medio
- Coordinación de emergencias: NIVEL alto.
¿Bien hasta aquí?
Vale, pues la Dimensión “Disponibilidad” del Sistema de Información de este ayuntamiento tendría un nivel de seguridad “alto”.
Ahora sabiendo cómo se determina el nivel de seguridad de cada dimensión, te voy a explicar cómo se determina la categoría de seguridad de un sistema de información completo.
Y ojo que para este sistema de información de este ayuntamiento la dimensión “Disponibilidad” tiene un nivel “alto”.
Pero la dimensión “integridad” para este sistema de información, podría tener por ejemplo un nivel “medio”.
Recuerda que cada dimensión de la seguridad puede tener un nivel de seguridad diferente.
Y se identifica en base a los tipos de información y/o servicios que se manejan en cada una de las dimensiones de seguridad (C, I, T, A, D)
Cómo determinar la categoría de seguridad de un sistema de información completo
El apartado 4 del Anexo I del Real Decreto 311/2022 establece tres tipos de categorías de seguridad para un sistema de información: BÁSICA, MEDIA, ALTA.
Concretamente dice que Un Sistema de Información es de Categoría:
- ALTA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad ALTO.
- MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad MEDIO, y ninguna alcanza un nivel de seguridad superior.
- BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
Por lo tanto, ya tenemos la secuencia para determinar la categoría de un sistema de información completo.
Te lo explico en el siguiente apartado.
Secuencia y pasos para determinar la categoría de seguridad de un sistema de información
Ya sabemos cómo identificar el nivel de seguridad de cada dimensión dentro de un sistema de información.
Bien pues ahora queda categorizar un sistema de información completo.
Gráficamente sería así:
Sólo son estos dos grandes pasos:
1º Identificar el nivel de seguridad correspondiente a cada dimensión (de la información tratada los sistemas de información): teniendo en cuenta el nivel más alto de la información o servicio para cada dimensión.
2º Determinar la categoría general del sistema de información en base al nivel de seguridad que hemos identificado en las dimensiones de seguridad: teniendo en cuenta el nivel más alto de las dimensiones evaluadas.
Bueno, espero haberte ayudado a que sepas cómo identificar cuál es la categoría del Esquema Nacional de Seguridad en tu organización.
Fecha: 17 marzo 2025
Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022
Fuente imagen principal: Elaboración propia usando Inteligencia Artificial
- Licenciado en Administración y Dirección de Empresas,
- Colegiado nº1498 por el colegio de economistas de Las Palmas de Gran Canaria,
- IRCA Certified ISO 9001 Lead Auditor con nº ENR-00555531
- Experto en Customer Experience Management
En mi web podrás encontrar información gratuita de mucho valor que comparto para mejorar la gestión de las empresas.
También encontrarás otros recursos como libros y otras herramientas que ofrezco al mercado para profundizar en las áreas que conozco y ayudar así a las organizaciones a ser más competitivas.
Autor del libro Como Implantar ISO 9001:2015 Paso a Paso.
Autor de la Academia Online IVE Academy