La certificacion ENS es un gran objetivo para muchas organizaciones.
Ya sea porque son organismos públicos o empresas privadas que trabajan para éstos y se ven obligados a cumplirlo.
Bien, ¿y qué asuntos claves debes de tener en cuenta para conseguirlo?
Bueno, pues en este artículo te voy a presentar las 9 claves fundamentales para conseguir la certificación ENS.
Son los 9 aspectos básicos que debes tener en cuenta antes de comenzar a trabajar con el ENS y durante el trabajo de implementación que estés realizando.
Te aseguro que si lees con atención este artículo te vas a ahorrar bastantes horas de trabajo y quizás algunos errores a la hora de cumplir con el ENS.
Contents
Qué es la certificacion ENS
La certificacion ENS es un reconocimiento oficial español que acredita que una organización cumple con el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Establece los principios y requisitos mínimos para garantizar la protección adecuada de la información en las entidades del sector público y en aquellas empresas privadas que prestan servicios para el sector público.
¿Por qué es exigible esta certificacion ENS al sector público?
Pues porque las entidades públicas, dentro de los servicios que prestan a la sociedad se incluye información personal y profesional de los ciudadanos.
En ese contexto, el ENS pretende que los servicios prestados por las entidades públicas se lleven a cabo bajo medidas de seguridad de la información sin interrupciones o modificaciones fuera de control por personas no autorizadas.
Por lo tanto lo que se debe de proteger son:
- Los sistemas de información,
- Datos,
- Las comunicaciones
- Los servicios electrónicos.
Pese a que se trata de un requisito legal, para muchas organizaciones representa una oportunidad para mejorar la seguridad de la información y ganar confianza de clientes y proveedores.
09 Claves para conseguir la certificacion ENS
Antes de comenzar a leer el Real Decreto 311/2022 y sumergirte en el cumplimiento de todos los requisitos, echa un vistazo a estas 09 claves que he preparado para que lo tengas en cuenta y trabajes de forma más eficiente.
Las 09 claves son estas:
Clave 1: Identificar el nivel de categoría de tus sistemas de información según el ENS
Se trata de lo primero que debes hacer, conocer cuál es el nivel de categoría de los sistemas de información de tu organización, y por lo tanto saber qué nivel de categoría deberás cumplir con el ENS:
- Categoría Básica.
- Categoría Media.
- Categoría Alta.
Para saber identificar el nivel de categoría del ENS deberás conocer primero que existen otros dos conceptos:
- Dimensiones de seguridad.
- el Nivel de seguridad de la información (datos, sistemas, comunicaciones, servicios)
El Anexo II del Esquema Nacional de Seguridad exige que se trabaje con 5 dimensiones de la seguridad:
- Confidencialidad (C).
- Integridad (I).
- Disponibilidad (D).
- Trazabilidad (T).
- Autenticidad (A).
Cualquier tipo de información o sistema de información puede verse afectado por alguna de estas dimensiones de seguridad.
Y a su vez cada dimensión de seguridad (C, I, D, T, A) debe asociarse a uno de estos niveles de seguridad: Bajo, Medio, Alto.
He escrito un artículo que se titula como establecer la categoría del Esquema Nacional de Seguridad.
En este artículo te explico el paso a paso para identificar este nivel de Categoría en tus sistemas de información.
Clave 2: Conocer las medidas de seguridad aplicables a cada categoría para conseguir la certificacion ENS
Una vez que conoces la categoria de tus sistemas de información, podrás ver cuáles son las medidas de seguridad que deberás de implementar en tu organización.
Estas medidas de seguridad están contenidas en el Anexo II del Real Decreto 311/2022 de 03 de mayo.
Están agrupadas en tres grandes bloques:
- Marco organizativo: Abarca la definición de la política de seguridad y diferentes procedimientos de seguridad.
- Marco operacional: Se centra en el control y la explotación de los sistemas de información.
- Medidas de protección: Este bloque está dirigido a proteger físicamente y de manera lógica los activos de información.
Para cada uno de dichos bloques deberás irte al nivel de categoría (BÁSICA, MEDIA, ALTA) según te haya salido la identificación del nivel de categoría que hiciste anteriormente.
Y con la información que lees para cada una de ellas implementar esa medida para poder demostrarlo durante la auditoría de externa.
En algunas de las medidas de seguridad te encontrarás con la simbología “+R1”, “+R2”, “+R3”, “+R4”
¿Qué significan esos “+R?
Pues que se debe de aplicar una mayor exigencia, es decir, Refuerzos de seguridad R, que se suman al requisito base de la medida de seguridad.
Por lo tanto, para ciertas medidas de seguridad, deberás de aplicar además del requisito, uno varios de esos Refuerzos “+R1”, “+R2”, “+R3”, “+R4”.
He preparado un artículo completo para hablar sobre las medidas de seguridad del Esquema Nacional de Seguridad.
Clave 3: Designar roles y responsabilidades claras
El ENS enfatiza la importancia de designar formalmente a personas y equipos con responsabilidades específicas en el ámbito de la seguridad de la información.
Concretamente, el artículo 11 del ENS detalla que los diferentes responsables deben ser:
- El responsable del servicio.
- El responsable de seguridad.
- El responsable de la información.
- El responsable del sistema.
Cada uno de estos roles tiene unas tareas, propósito y misión asignadas.
Este asunto es un aspecto super clave si quieres conseguir la certificacion ENS.
¿Por qué?
Pues porque en muchas organizaciones no existen recursos suficientes cómo para tener esta estructura de roles asignados a cuatro personas diferentes.
Esta problemática la trato en el artículo Responsables según el ENS.
En este artículo te explico qué puedes hacer para cumplir con una estructura mínima de roles si tu organización no tiene recursos suficientes como para tener un rol por personas.
Clave 4: Crear el Comité de Seguridad en la certificacion ENS
El artículo 12.1 d) del Real Decreto 311/2022 detalla la necesidad de crearse un comité de seguridad en las organizaciones para cumplir con el ENS.
La Guía CCN-STIC-801 profundiza en las responsabilidades que debe asumir el Comité de Seguridad, resaltando que dicho comité es el encargado de:
- coordinar los esfuerzos,
- asegurar la implantación de los controles
- revisar periódicamente el cumplimiento de la política de seguridad
La creación del comité de seguridad está muy relacionada con los roles necesarios que deben existir en las organizaciones que quieran cumplir con el ENS.
Por lo tanto, la estructura ideal del comité debe estar compuesto por los responsables que te indiqué anteriormente.
Pero puede existir una estructura mínima para organizaciones pequeñas.
He redactado un artículo en el que detallo este asunto del comité de seguridad según el ENS, cómo lo puedes componer si tu organizaciones es pequeña y no es viable tener una persona diferente para cada rol.
Clave 5: Evaluar los riesgos para cumplir con el ENS
El ENS promueve un enfoque proactivo hacia la seguridad, lo que implica que debes realizar un análisis de riesgos de forma periódica.
Cuando hagas la evaluación de riesgos ten en cuenta de que debes de incluir tipos de activos como:
- Software y aplicaciones instalados.
- Hardware.
- Software usados como servicios.
- Infraestructuras como servicios.
- Instalaciones y estructura de red.
- Servicios prestados por tu organización.
- Proveedores.
- Recursos humanos.
Y respecto a las dimensiones de seguridad que evalúes para cada activo recuerda que deben ser:
- Criticidad
- Integridad.
- Disponibilidad.
- Trazabilidad.
- Autenticidad.
Respecto al criterio y metodología utilizada, el artículo 14 del ENS no especifica que deba usarse un método concreto.
Cada organización debe usar el criterio que considere más adecuado a los sistemas de información que serán evaluados. No obstante, el artículo 14 del ENS sí que indica que se debe emplear alguna metodología reconocida internacionalmente.
Podrías usar la metodología PILAR o alguna otra reconocida internacionalmente para cumplir con el artículo 14 y conseguir la certificacion ENS.
Clave 6: Implementar medidas de seguridad adecuadas
Sabiendo cuál será el nivel de categoría que tendrá la certificacion ENS en tu organización y realizando la identificación y evaluación de riesgos, es cuando comienzas a llevar a cabo la implementación de las medidas de seguridad que le toquen a tu organización: BÁSICA, MEDIA, ALTA.
Para algunas medidas de seguridad las podrás evidenciar con:
- Procedimientos de trabajo.
- Herramientas utilizadas.
- Formación y concienciación.
Recuerda que debes de tener evidencias para mostrar el cumplimiento del ENS durante la auditoría de certificación y conseguir el certificado ENS.
Clave 7: Establecer planes de contingencia para obtener la certificacion ENS
Las medidas de seguridad codificadas con “op.cont” contemplan las medidas que deberás de implementar para garantizar la continuidad de los servicios de tu organización.
Esto implica que deberás de diseñar un plan de continuidad ante desastres que pueden dejar a tu organización sin poder prestar servicio.
Además ese plan de continuidad deberás probarlo periódicamente. Y probar concretamente todos los escenarios de desastres que hayas contemplado en un periodo de tiempo concreto.
Yo te recomiendo que pruebas un escenario cada año y dejes bien documentado el simulacro que has probado, con las conclusiones finales.
Clave 8: Realizar auditorías internas periódicas
Para conseguir la certificacion ENS en tu organización, además de tener que superar una auditoría externa por parte de un organismo certificador, deberías de realizar una auditoría interna del cumplimiento del ENS.
Esta auditoría interna te servirá como guía para conocer el grado de cumplimiento que tiene tu organización.
Te recomiendo que esta auditoría la lleve a cabo un tercero que sea completamente independiente de tu organización. Nosotros podemos ayudarte a realizar una auditoría interna y a cumplir con ENS.
Clave 9: Fomentar la formación y concienciación para conseguir la certificacion ENS
Un aspecto crucial es la formación y concienciación en materia de seguridad para todos los miembros de tu organización.
Esto ayuda a garantizar que todos los empleados identifiquen sus responsabilidades, los posibles peligros y las buenas prácticas en seguridad de la información que deben ejecutar en su día a día.
Existe un portfolio enorme de formación desde el punto de vista de seguridad de la información.
Un recurso muy bueno y gratuito son los cursos que puedes encontrar en la página Angeles.
Angeles se trata de una plataforma de formación que pertenece al Centro Criptológico Nacional. Echale un vistazo porque existe una amplia gama de cursos de formación.
Bueno espero haberte ayudado a entender mejor la certificacion ENS y qué debes hacer para conseguirlo.
Fecha : 09 de junio de 2025
Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022
Fuente imagen principal: Web Esquema Nacional de Seguridad/distintivos
- Licenciado en Administración y Dirección de Empresas,
- Colegiado nº1498 por el colegio de economistas de Las Palmas de Gran Canaria,
- IRCA Certified ISO 9001 Lead Auditor con nº ENR-00555531
- Experto en Customer Experience Management
En mi web podrás encontrar información gratuita de mucho valor que comparto para mejorar la gestión de las empresas.
También encontrarás otros recursos como libros y otras herramientas que ofrezco al mercado para profundizar en las áreas que conozco y ayudar así a las organizaciones a ser más competitivas.
Autor del libro Como Implantar ISO 9001:2015 Paso a Paso.
Autor de la Academia Online IVE Academy