Esquema Nacional de Seguridad: Qué es, Cuándo es obligatorio, Quién lo certifica y Pasos para cumplirlo

por | ISO 27001 | 0 Comentarios

ENS_logo_pagina web del Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad se exige en España como un requisito de la seguridad de la información dentro del sector público y en algunos casos también en el sector privado.

Pero las preguntas básicas que, muy probablemente, te vienen a la mente son:

  • Qué es el Esquema Nacional de Seguridad.
  • Dónde se regula el Esquema Nacional de Seguridad
  • Cuándo es Obligatorio el ENS
  • Qué elementos constituyen el Esquema Nacional de Seguridad.
  • Quién certifica el Esquema Nacional de Seguridad.
  • Pasos básicos para cumplir con el ENS.

En este artículo te voy a responder a todas estas preguntas.

Si trabajas en la administración pública, como en el sector privado en una PYME o gran empresa, y te interesa el Esquema Nacional de Seguridad, tienes que leer este artículo con calma.

Contents

Qué es el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS) lo forman un conjunto medidas reguladas en un Real Decreto (que te menciono en el siguiente apartado), que tienen como propósito, el proteger la información y la continuidad de los servicios prestados por organismos públicos a través de medios electrónicos.

Todas estas medidas de seguridad del Esquema Nacional de Seguridad están reguladas en 41 artículos que más adelante te expondré.

Lo que se persigue es:

  • evitar accesos no autorizados,
  • pérdidas de información,
  • alteraciones o cualquier otra vulnerabilidad que pueda comprometer el funcionamiento de la administración digital.

En un principio el ENS está enfocado a la administración pública pero también aplica en algunas ocasiones a PYMES y grandes empresas. Esto te lo explico más adelante en otro epígrafe.

En términos muy generales, el ENS se compone de tres elementos fundamentales:

  1. Principios básicos: los principios del Esquema Nacional de Seguridad son los aspectos básicos sobre los que se sustenta el Esquema Nacional de Seguridad: seguridad como proceso integral, la gestión basada en los riesgos, la prevención, la detección, respuesta ante incidentes, etc.
  2. Políticas y Requisitos mínimos: Son las medidas concretas y operativas que deben implementarse para garantizar la seguridad de los sistemas. Estas medidas están descritas desde el artículo 12 al artículo al artículo 30. Te las detallo más adelante.
  3. Auditoría, informes e incidentes de seguridad: Compuesto por la auditoría que deben superar las empresas para obtener la certificación del ENS, un informe del estado de la seguridad con el resultado medio de las auditorías realizadas, y el protocolo de respuesta que tendrá el CCN-CERT (Computer Emergency Response Team) ante incidentes de seguridad comunicados por las administraciones públicas.

Dimensiones de seguridad y niveles de seguridad del ENS

El Esquema Nacional de Seguridad tiene ponderada la seguridad en dimensiones y niveles.

¿Qué es esto de las dimensiones de seguridad y los niveles de seguridad?

Mira, el Anexo II del Esquema Nacional de Seguridad exige que se trabaje con 5 dimensiones de la seguridad:

  • Confidencialidad (C).
  • Integridad (I).
  • Disponibilidad (D).
  • Autenticidad (A).
  • Trazabilidad (T).

Cualquier tipo de información o sistema de información puede verse afectado por alguna de estas dimensiones de seguridad.

Y a su vez cada dimensión de seguridad (C, I, D, A, T) debe asociarse a uno de estos niveles de seguridad:

Nivel BAJO: Cuando las consecuencias de un incidente de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Nivel MEDIO: cuando las consecuencias de un incidente de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Nivel ALTO: cuando las consecuencias de un incidente de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Por lo tanto, cuando se trabaja con el Esquema Nacional de Seguridad, se deben de tener en cuenta los tipos de información que se integran en un sistema de información para dividirlos en:

  • Niveles de seguridad para cada una de las dimensiones (C, I, D, A, T).
  • Categoría del sistema de información.

Si quieres saber con todo detalle cómo identificar los distintos niveles de seguridad de las diferentes dimensiones con la información que trabajan tus sistemas y además saber la categoría que tendría tu sistema de información según el ENS, tienes que leer este artículo Cómo Identificar el Nivel de categoría según el Esquema Nacional de Seguridad.

Donde se regula el Esquema Nacional de Seguridad

La regulación del Esquema Nacional de Seguridad se encuentra detallado en el Real Decreto 311/2022, de 3 de mayo.

Este Real Decreto representa la actualización del antiguo Real Decreto 3/2010, y en el que se ha adaptado a:

  • la evolución tecnológica,
  • la transformación digital
  • y el creciente número de ciberamenazas que están impactando a las entidades públicas y privadas.

El Real Decreto 311/2022 que regula el ENS está estructurado de la siguiente manera:

  • Capítulo I: Disposiciones generales (desde el artículo 1 al artículo 4)
  • Capítulo II: Principios básicos (desde el artículo 5 al artículo 11).
  • Capítulo III: Política de seguridad y requisitos mínimos (desde el artículo 12 al artículo 30).
  • Capítulo IV: Seguridad de los sistemas (desde el artículo 31 al artículo 34)
  • Capítulo V: Normas de conformidad (desde el artículo 35 al artículo 38)
  • Capítulo VI: Actualización del Esquema Nacional de Seguridad (artículo 39)
  • Capítulo VII: Categorización de los sistemas de información (artículo 40 y 41)
  • Anexo I: Categorías de seguridad de los sistemas de información.
  • Anexo II: Medidas de Seguridad
  • Anexo III: Auditoría de la seguridad

El grueso de este Real Decreto y en dónde se indica qué debe hacer una empresa para cumplir con el Esquema Nacional de Seguridad se encuentra descrito en el Anexo I y Anexo II.

¿Cuándo es obligatorio el Esquema Nacional de Seguridad?

Según el artículo 2 del Real Decreto 311/2022, el ENS aplica, y por tanto es de obligatorio cumplimiento, a:

  • El sector público: La Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, cualquier entidad de derecho público o privado que vinculados o dependientes a las Administraciones Públicas.
  • Los sistemas de información que tratan información clasificada.
  • Los sistemas de información de las entidades del sector privado, cuando presten servicios o provean soluciones a las entidades del sector público para sus actividades de servicio a la ciudadanía.
  • Cuando las entidades del sector público lleven a cabo la instalación, despliegue y explotación de redes 5G o la prestación de servicios 5G.

Por lo tanto, la obligatoriedad no se limita sólo al sector público sino también al sector privado en determinadas circunstancias como te he mencionado.

¿Qué se persigue con todo esto?

Pues proteger los sistemas de información y redes de información que están relacionados con los servicios que prestan los organismos públicos a la ciudadanía.

Como todo se ve mejor con algunos ejemplos te voy a poner varios.

Ejemplo de impacto y obligatoriedad del ENS en un Ayuntamiento

Imagina un ayuntamiento que utiliza sus sistemas de información para gestionar trámites ciudadanos, expedición de licencias, pagos de impuestos y registros civiles.

Supongamos que un ciberataque consigue infiltrarse en este sistema a través del software, introduciendo ransomware que bloquea el acceso a la base de datos central.

Sería un caos que produciría, como mínimo, estos dos efectos:

  • Parálisis administrativa: La imposibilidad de acceder a los expedientes y registros electrónicos paralizaría la tramitación de solicitudes. También paralizaría la emisión de licencias, lo que afectaría a ciudadanos que necesitan realizar gestiones urgentes.
  • Retraso en pagos y cobros: La gestión de impuestos y tasas se vería afectada, lo que podría generar retrasos en la recaudación y en la prestación de servicios esenciales financiados con esos recursos.

Ejemplo de impacto y obligatoriedad del Esquema Nacional de Seguridad en una Diputación

Una diputación se encarga de coordinar y gestionar servicios intermunicipales, infraestructuras y recursos compartidos entre municipios.

Imagina que esta diputación utiliza un sistema de información para la planificación y el seguimiento de proyectos de inversión y obras públicas.

Donde se registran los plazos, presupuestos y avances de cada proyecto.

Ahora, supón que, mediante un ataque, se logra acceder y alterar los datos de este sistema.

En este escenario el impacto sería como mínimo el siguiente:

  • Descoordinación en obras y proyectos: La manipulación de datos críticos generaría una desorganización en la planificación de obras. Provocando además retrasos en proyectos fundamentales para el desarrollo regional.
  • Ineficiencia en la gestión de recursos: La alteración de la información podría llevar a la asignación errónea de recursos, provocando sobrecostes en esas inversiones y obras públicas.

Ejemplo de impacto y obligatoriedad del ENS en un Cabildo

Un cabildo, que administra asuntos de una isla. Un ataque a sus sistemas de información podría tener un impacto muy crítico.

Imagina que el cabildo de una isla utiliza un sistema centralizado de gestión de transporte público y emergencias. Y además integra en tiempo real la información de autobuses, taxis, rutas marítimas y centros de atención de emergencias.

Este sistema no solo organiza los horarios y rutas para que los ciudadanos se desplacen de forma segura, sino que también coordina respuestas ante incidencias, como accidentes o emergencias médicas.

Ahora, supongamos que un ciberataque logra introducir malware en ese sistema, alterando o bloqueando la transmisión de datos críticos.

En este escenario, se produciría la interrupción total de la información en tiempo real, lo que conllevaría:

  • Interrupción del transporte: Los ciudadanos no sabrían cuándo ni por dónde circulan los autobuses o taxis, lo que provocaría un caos en la movilidad.
  • Retrasos en emergencias: La coordinación entre centros de emergencia se vería afectada, lo que podría derivar en retrasos en la respuesta a situaciones de urgencia.

¿Qué elementos constituyen el Esquema Nacional de Seguridad?

Los elementos y aspectos básicos que componen el ENS son los siguientes

Principios Básicos del ENS:

El Real Decreto 311/2022, desde el artículo 5 al artículo 11, enumera los siguientes principios básicos:

    • Seguridad como proceso integral: La seguridad es un proceso continuo que involucra a todos los elementos (humanos, técnicos, organizativos, materiales y jurídicos).
    • Gestión de la seguridad basada en los riesgos: Las organizaciones deben identificar, analizar y tratar los riesgos de forma periódica, para mantener sus sistemas de información y redes seguros.
    • Prevención, detección, respuesta y conservación: Implementar medidas que eviten la materialización de amenazas, que detecten incidentes de forma rápida.
    • Existencia de líneas de defensa: Proteger la información mediante la protección con varias capas de seguridad. Por ejemplo para defenderse del acceso no autorizado: un firewall, luego un sistema monitorizado de detección de intrusiones y luego un control de acceso con multifactor de autenticación.
    • Vigilancia continua y reevaluación periódica: Monitorizar el estado de seguridad de forma constante y actualizar las medidas en función de la evolución de las amenazas.
    • Diferenciación de responsabilidades: Asignar de manera clara las funciones y responsabilidades según el ENS en materia de seguridad. Y evitar que se acumulen funciones críticas en una sola persona o entidad.

Los Requisitos Mínimos del Esquema Nacional de Seguridad:

Según los artículos del 12 al 30 del Real Decreto 311/2022 el conjunto de medidas que deben implementarse para cumplir con el Esquema Nacional de Seguridad es el siguiente:

  • Elaborar y aprobar una política de seguridad, que defina los objetivos, roles del comité de seguridad, funciones, y procedimientos relacionados con la seguridad de la información.
  • Organizar e implantar el proceso de seguridad, que implica designar responsables según el ENS y definir los procesos de coordinación y supervisión.
  • Analizar y gestionar riesgos, mediante metodologías reconocidas internacionalmente, que permitan identificar y tratar los riesgos de forma adecuada.
  • Gestionar el personal, que incluye la formación y concienciación de todos aquellos que intervienen en el sistema de información.
  • Autorización y control de los accesos, para garantizar que solo usuarios, procesos y dispositivos debidamente autorizados puedan acceder a los sistemas.
  • Proteger las instalaciones, para asegurar que los sistemas y la infraestructura de comunicaciones se encuentren en áreas controladas.
  • Adquirir productos de seguridad y contratar servicios de seguridad que cuenten con certificaciones y cumplan con requisitos de seguridad.
  • El principio del mínimo privilegio según ENS, que consiste en otorgar solo los accesos y funciones estrictamente necesarios.
  • Integrar y actualizar los sistemas de información.
  • Proteger la información almacenada y en tránsito.
  • Garantizar la continuidad de la actividad y la mejora continua del proceso de seguridad.

Las medidas de seguridad indicadas en el Anexo II

En el Anexo II apartado 2 se indican todas las medidas de seguridad que se deben aplicar por cada nivel de dimensión de seguridad y categoría de seguridad.

Estas medidas de seguridad se agrupan por  tres grandes grupos:

  • Medidas organizativas (org)
  • Medidas operacionales (op)
  • Medidas de protección (mp)

Y para cada grupo, existe una serie de subgrupos:

  • Medidas organizativas (org)
  • Medidas operacionales (op): Planificación, control de acceso, explotación, recursos externos, servicios en la nube, continuidad del servicio, monitorización del sistema
  • Medidas de protección (mp): protección de instalaciones e infraestructuras, gestión de personal, protección de equipos, protección de comunicaciones, protección de aplicaciones informáticas, protección de la información, protección de los servicios.

He escrito un artículo completo para detallarte todas las medidas de seguridad del ENS.

Gráficamente en una tabla podemos ver las diferentes medidas de seguridad:

medidas de seguridad ENS

medidas de seguridad ENS - parte II

¿Quién certifica el Esquema Nacional de Seguridad?

Una pregunta habitual cuando se quiere trabajar con el ENS es saber quién se encarga de la certificación de su cumplimiento.

En el caso de la certificación del ENS, son entidades de certificación las que realizan una auditoria para evaluar el cumplimiento de los artículos del Real Decreto 311/2022, y con ello las políticas y medidas de seguridad impuestas por el Esquema Nacional de Seguridad.

Lo importante al elegir una entidad de certificación es que está a su vez acreditada por ENAC (Entidad Nacional de Acreditación) para poder realizar estas auditorías, lo que permitirá a su vez, que el certificado emitido tenga validez en el mercado.

En la página web del Esquema Nacional de Seguridad están listadas las entidades que están acreditadas para realizar este trabajo.

Te paso el link por si te interesa: entidades que están acreditadas para expedir certificaciones de conformidad con el ENS.

Pasos básicos para cumplir con el Esquema Nacional de Seguridad

Para implementar, cumplir y certificar el ENS debes de trabajar con tiempo los diferentes aspectos que componen este Real Decreto.

De forma muy resumida deberás:

  1. Elaborar y aprobar una Política de Seguridad
  2. Implementar las medidas de seguridad descritas en el Anexo II
  3. Realizar un análisis y gestión de riesgos
  4. Llevar una buena gestión de personal y formación
  5. Controlar y Autorizar accesos a sistemas de información
  6. Proteger instalaciones físicas y activos
  7. Adquirir y contratar productos y servicios de seguridad
  8. Mantener y actualizar el sistema de seguridad
  9. Registrar actividades y detección incidentes
  10. Establecer un plan de continuidad y mejora continua

Bueno, espero que te haya servido este post para entender más lo que es el Esquema Nacional de Seguridad.

Si necesitas ayuda para el cumplimiento del ENS, nosotros podemos ayudarte.

Fecha: 11 marzo 2025

Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022

Fuente imagen principal: Imagen oficinal web ENS

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ive Consultores te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Iván Torres como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: gestión de los comentarios que realizas en este blog.

Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud.

Derechos de acceso: podrás rectificar, limitar y suprimir los datos en ivan.torres@iveconsultores.com así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: la encontrars en mi página web: http://www.iveconsultores.com, así como consultar mi política de privacidad.