Principios del Esquema Nacional de Seguridad – Impleméntalos Así en Tu Organización

Si estas pensando en implantar y certificar el Esquema Nacional de Seguridad querrás conocer cuáles son los principios básicos sobre los cuales se sustenta el Real Decreto 311/2022.

Se trata de principios básicos que tendrá que tener el sistema de gestión de seguridad de la información que deberás implementar en tu organización.

En este artículo te voy a detallar:

• Los principios del Esquema Nacional de Seguridad (ENS).
• Cada uno de ellos te los presentaré en un apartado diferente.
• El significado de cada principio y cómo puedes aplicarlo en tu organización.
• Los beneficios de trabajar bajo estos principios.

Si ya estás trabajando con el ENS o quieres implementarlo, no dejes de leer este artículo al completo.

Cuáles son los principios del Esquema Nacional de Seguridad

El capítulo II del Real Decreto 311/2022 detalla los diferentes principios del Esquema Nacional de Seguridad.

Se trata de una serie de principios básicos con la esencia que debe cumplir tu organización desde el punto de vista de la seguridad de la información.

Son los siguientes:

1. Seguridad como proceso integral.
2. Gestión de la seguridad basada en los riesgos.
3. Prevención, detección, respuesta y conservación.
4. Existencia de líneas de defensa.
5. Vigilancia continua.
6. Reevaluación periódica.
7. Diferenciación de responsabilidades.

Todos estos principios están definidos desde el artículo 6 al artículo 11 del Real Decreto 311/2022 de 03 de mayo por el que se regula el Esquema Nacional de Seguridad.

Te voy a presentar cada uno de ellos.

Principio: Seguridad como un Proceso Integral

El primer principio que vamos a analizar es el de “seguridad como un proceso integral”, definido en el Artículo 6 del Real Decreto.

Este concepto va mucho más allá de la simple implementación de medidas puntuales.

Se trata de tener una visión global de la seguridad de la información, en la que todos los elementos –humanos, técnicos, organizativos y jurídicos– se integren en un proceso continuo.

Porque la seguridad de la información no la componen sólo los recursos humanos o sólo la tecnología.

La seguridad de la información es un concepto que abarca todos estos elementos: humanos, técnicos, organizativos y jurídicos.

• Elementos humanos: los recursos humanos contribuyen a la seguridad de la información mediante su concienciación, formación y responsabilidad
• Elementos técnicos: podemos hablar de dispositivos técnicos como firewalls, antivirus, sistemas de cifrados, etc. Es la tecnología en hardware y software que te ayuda a proteger tus sistemas de información.
• Elementos organizativos: aquí estamos hablando de políticas, procedimientos de trabajo, protocolos que permiten definir quién hace qué y cómo se debe hacer.
• Elementos jurídicos: contratos, acuerdos con empleados y proveedores, en definitiva cualquier disposición jurídica que establezca responsabilidades legales ante la información que se trata en una organización.

¿Qué significa “proceso integral” en este principio?

Lo que quiere el Esquema Nacional de Seguridad es que no basta con aplicar controles de forma aislada.

Lo que se pretende que es que la seguridad se incorpore de manera transversal en todos los procesos y actividades de la organización.

Esto implica que en tu organización debe existir :

• Interrelación de elementos de seguridad: Todos los elementos que componen el sistema de gestión (humanos, técnicos, organizativos y jurídicos) deben funcionar de forma coordinada.
• Continuidad y actualización: La seguridad no es algo que se “instala” una vez y ya está. Debe ser un hábito el trabajar con seguridad de la información y adaptarse a la evolución de las amenazas y los cambios tecnológicos.
• Participación de todo el personal: Cada trabajador de la organización debe estar involucrado en el proceso de seguridad, asumiendo responsabilidades específicas según su rol.

Y hablando de participación de todo el personal, te paso un artículo de la BBC muy impactante en donde se puede ver cómo el compromiso, la cualificación y la responsabilidad son aspectos clave en los recursos humanos para mantener los sistemas de información seguros.

Aplicación del principio “proceso integral” en tu organización

La implementación de la seguridad como un proceso integral la puedes desarrollar en diversas áreas dentro de tu organización:

• Planificación estratégica: Desde la dirección, se debe establecer una política de seguridad que defina objetivos claros, roles y responsabilidades. Esto se traduce en un documento que actúa como hoja de ruta para toda la organización.
• Procesos operativos: La integración de controles en la operación diaria, como la monitorización continua, la gestión de incidencias y la actualización de sistemas, es esencial. Por ejemplo, implementando protocolos de control de accesos y de respuesta ante incidentes que se revisen periódicamente.
• Formación y concienciación: La seguridad debe estar en la mente de cada empleado. Esto implica la realización de programas de formación y campañas de concienciación para fomentar una cultura de seguridad en toda la organización.

 Beneficios de un “proceso integral” en tu organización

Adoptar la seguridad como un proceso integral te aporta entre otros beneficios, los siguientes:

• Mejora continua: Al estar en constante revisión y actualización, tu organización puede adaptarse rápidamente a nuevas amenazas y tecnologías.
• Reducción de riesgos: La integración de medidas en todos los niveles permite detectar y mitigar riesgos de forma más eficaz, reduciendo la probabilidad de incidentes.
• Mayor coordinación: Con un enfoque integral favoreces la comunicación y coordinación entre los diferentes departamentos. Y esto se traduce en mayor facilidad para implementar medidas de seguridad.

Principio: Gestión de Seguridad Basada en Riesgos

El segundo principio fundamental es la gestión de la seguridad basada en riesgos, establecido en el Esquema Nacional de Seguridad en su artículo 7 del Real Decreto 311/2022.

Este principio parte de la premisa de que no existe una solución única para todas las situaciones, sino que la seguridad debe adaptarse al nivel de riesgo asociado a cada sistema de información.

La seguridad en una empresa no es un pull de documentos con el que copias, pegas y cambios el nombre de otra empresa para poner el nombre de la tuya.

¿Qué implica “seguridad basada en riesgos”?

La seguridad basada en riesgos consiste en identificar, evaluar y tratar los riesgos a los que está expuesto el sistema de información.

Y debe hacerse de manera continua.

Debes analizar y adaptar a la criticidad y vulnerabilidad que tiene cada activo en tu organización.

Para llevar a cabo esto tendrás que realizar:

• Una identificación de amenazas y vulnerabilidades: en software, hardware, aplicaciones, equipos, recursos humanos, etc que puedan afectar a la integridad, confidencialidad, disponibilidad, trazabilidad y autenticidad de la información.
• Evaluación de riesgos: Cada riesgo identificado lo debes de clasificar en función de la probabilidad y el impacto que puede tener en tu organización.
• Tratamiento de riesgos: Una vez evaluados, debes implementar medidas de seguridad proporcionales al nivel de riesgo que has identificado. Esto es: mitigar transferir o aceptar el riesgo, según corresponda.

 Aplicación del principio “seguridad basada en riesgos” en tu organización

Implementar la gestión de riesgos en una organización implica incorporar este pensamiento en diversos procesos:

• Evaluación de riesgos en proyectos: Antes de lanzar nuevos proyectos o sistemas, debes realizar un análisis de riesgos que identifique las amenazas potenciales y determines las medidas de mitigación necesarias.
• Integración en la gestión diaria: Tus procesos operativos deben incluir evaluaciones periódicas de riesgos, actualizando las medidas de seguridad en función de la evolución de las amenazas.
• Cultura organizacional: Es fundamental fomentar en tu organización una mentalidad orientada a la evaluación de riesgos entre todos los empleados.

Beneficios de una gestión basada en riesgos

Si consigues implementar un enfoque basado en riesgos, tu organización obtendrá como mínimo alguna de estas ventajas:

• Focalización de la seguridad: Cada sistema de información contará  con medidas de seguridad adaptadas a su criticidad.
• Prevención proactiva: Si consigues el hábito de identificar y evaluar riesgos de forma continua, en tu organización podrán anticiparse a incidentes antes de que ocurran.
• Optimización de recursos: Evitarás gastos innecesarios en medidas de seguridad que no sean proporcionales al riesgo, o gastos para llevar a cabo medidas correctivas después de sufrir un ataque a tus sistemas de información.

Principio: Prevención, Detección, Respuesta y Conservación

El tercer principio, recogido en el Artículo 8 del ENS es fundamental para garantizar que, en caso de incidentes de seguridad, la organización disponga de mecanismos que prevengan, detecten los ataques y que también respondan de forma eficaz.

Prevención

La prevención consiste en implementar medidas que disuadan o eviten que las amenazas se materialicen. Esto implica reducir la superficie de exposición y eliminar o minimizar los factores de riesgo.

¿Cómo aplicar el principio de Prevención en tu organización?

• Con políticas y procedimientos preventivos.
• Mediante la capacitación.
• Implementando controles técnicos: Uso de firewalls, antivirus y sistemas de prevención de intrusiones, por ejemplo.

Algunos de los beneficios que obtendrá tu organización son:

• Disminución de incidentes.
• Ahorro en gastos por acciones correctivas: Al evitar incidentes, reducirás los costes asociados a la recuperación y reparación de sistemas.
• Confianza y reputación.

 Detección

La detección se centra en descubrir la presencia de un incidente en el momento en que ocurre, para tener la capacidad de ofrecer una respuesta rápida.

¿Cómo aplicar el principio de Detección en tu organización?

• Con sistemas de monitorización: Puedes implementar herramientas que analicen en tiempo real el tráfico y las actividades de los sistemas de información.
• Mediante alertas automáticas: Configura alertas que notifiquen a los responsables cuando se detecten comportamientos anómalos o accesos no autorizados.
• Con análisis de logs: Puedes realizar revisiones periódicas de los registros de actividad para identificar patrones o incidentes que puedan haber pasado desapercibidos.

Algunos beneficios de implementar una detección eficiente son:

• Tener una respuesta rápida.
• Identificar vulnerabilidades.

Respuesta

La respuesta se refiere a las acciones que se deben tomar para mitigar y recuperar el sistema afectado por un incidente de seguridad.

Como lo has detectado de forma rápida, también podrás responder de forma rápida.

¿Cómo aplicar el principio de Respuesta en tu organización?

• Desarrollando un protocolo para respuestas a incidentes.
• Asignar roles y responsabilidades: Asigna claramente quién debe actuar en cada fase de la respuesta, desde la detección hasta la recuperación.
• Realizar simulacros y pruebas: Realiza pruebas periódicas del plan para asegurar que, en caso real de un desastre, la respuesta sea rápida y eficaz.

 Algunos beneficios que obtiene tu organización si implementas respuestas rápidas ante incidentes:

• Minimizar el impacto del incidente.
• Aprendizaje y mejora:
• Confianza en la capacidad de actuación si un día se materializa un desastre real.

Conservación

La conservación implica garantizar que la información en tu organización se mantenga íntegra y disponible a largo plazo.

¿Cómo aplicar el principio de Conservación en tu organización?

• Realizando copias de seguridad.
• Revisión y actualización de copias.
• Planes de recuperación: Elaborar planes que aseguren la restauración de la información en caso de pérdida o alteración.

Algunos beneficios de implementar un buen método de conservación:

• Continuidad operativa: podrás garantizar que, a pesar de un incidente, tu organización pueda recuperar la información y continuar operando sin mayores interrupciones en poco tiempo.
• Protección de la información digital y física.
• Reducir el riesgo de pérdida.

Principio: Existencia de Líneas de Defensa

El cuarto principio se centra en la existencia de líneas de defensa, establecido en el Artículo 9 del Real Decreto.

Este principio es crucial para asegurar que, si una medida de seguridad falla, existan otras barreras que continúen protegiendo el sistema de gestión.

¿Qué significa “líneas de defensa”?

El concepto de líneas de defensa implica que apliques en tu organización múltiples capas de medidas de seguridad.

Estas capas se deben complementar mutuamente para ofrecer una protección robusta.

¿Qué significa esto?

Pues que el sistema de información no debe depender de un único mecanismo de seguridad; si uno falla, otros seguirán funcionando para evitar que tu sistema de información se vea comprometido.

Por ejemplo, si quieres proteger un servidor o sistema de red, podrías aplicar las siguientes capas de seguridad:

Capa 1: Seguridad Física

• Controlas el acceso a la sala de servidores mediante cerraduras biométricas y videovigilancia.
• Y así evitar que personas no autorizadas accedan físicamente a los equipos críticos.

Capa 2: Seguridad Perimetral

• Usas firewalls y VPN para filtrar el tráfico de red y asegurar las conexiones externas.
• Y así impedir ataques desde Internet alcancen la red interna.

Capa 3: Seguridad en el Punto Final

• Instalas antivirus, anti-malware y políticas de actualización automática en todos los dispositivos.
• Y así detectas amenazas que logren pasar el firewall, protegiendo cada dispositivo individualmente.

Capa 4: Monitorización y Detección

• Implementas sistemas IDS/IPS y soluciones SIEM que analizan el tráfico y los logs en tiempo real.
• Y así permites detectar comportamientos anómalos o intentos de intrusión

Capa 5: Seguridad de Aplicaciones y Datos

• Implementas sistemas de acceso con autenticación multifactor, cifrado de datos tanto en tránsito como en reposo y políticas de control de acceso basadas en roles.
• Y así proteges la integridad y confidencialidad de la información, asegurando que solo usuarios autorizados puedan acceder a datos sensibles.

La idea es que ninguna única capa, incluida la seguridad física, sea el único punto de protección; todas deben trabajar juntas para minimizar el riesgo global.

Aplicación del principio “líneas de defensa” en tu organización

Puedes coger el ejemplo anterior la manera de implementar este principio en tu organización.

De tal manera que puedas estructurarlo de la siguiente forma:

• Establecer Primera línea: Implementar medidas organizativas y técnicas básicas, como la implementación de firewalls y sistemas de autenticación robusta.
• Establecer Segunda línea: Implementar herramientas de detección y monitorización, como sistemas de detección de intrusiones (IDS/IPS) y software de análisis de logs, los cuales actúan de forma reactiva ante la actividad anómala.
• Establecer Tercera línea: segregar redes mediante el uso de VLANs y firewalls internos.

Cada línea de defensa debe estar pensada para cubrir posibles vulnerabilidades en las anteriores, creando un sistema de seguridad en capas que refuerza la protección global del sistema de información.

Beneficios de aplicar líneas de defensa

Implementar diferentes líneas de defensa en tu organización te aportará:

• Redundancia: Permite que si falla una capa no comprometa la seguridad total del sistema.
• Mitigación de riesgos: Ya que se reparte el riesgo entre múltiples mecanismos de protección.
• Robustez: Una estructura en capas permite a tu organización ser más resistente a los ciberataques.

Principio: Vigilancia Continua y Reevaluación Periódica

El quinto y sexto principio que establece el ENS es la vigilancia continua y reevaluación periódica, recogidos en el Artículo 10 del Real decreto 311/2022.

Estos principios son esenciales para asegurar que el sistema de seguridad se mantenga eficaz a lo largo del tiempo.

¿En qué consiste la Vigilancia Continua y Reevaluación Periódica?

La vigilancia continua consiste en monitorear de forma constante el estado de los sistemas de información.

La reevaluación periódica, por su parte, implica revisar y actualizar las medidas de seguridad para garantizar que sigan siendo adecuadas ante nuevos riesgos o cambios en el entorno tecnológico.

Cómo aplicar el principio de vigilancia continua y reevaluación en tu organización

Puedes conseguirlo, por ejemplo:

• Utilizando herramientas de monitorización en tiempo real: como SIEM, IDS/IPS que permitan detectar de inmediato cualquier anomalía.
• Revisando políticas de seguridad.
• Integrando alertas y reportes en el día a día.

Beneficios de implementar la vigilancia continua y reevaluación:

Algunos de los beneficios que obtendrás si implementas este principio son:

• Responder rápidamente ante incidentes.
• Adaptarte a la aparición de nuevas amenazas.
• Identificar áreas de mejora.

Principio: Diferenciación de Responsabilidades

El último principio es la diferenciación de responsabilidades, definido en el Artículo 11 del Esquema Nacional de Seguridad.

Este principio se enfoca en la importancia de separar las funciones relacionadas con la seguridad de la información, evitando la concentración de conocimiento y poder.

¿Qué significa diferenciar responsabilidades?

La diferenciación de responsabilidades según el ENS implica asignar las funciones en el ámbito de la seguridad de la información.

Según el Real Decreto, se deben distinguir al menos cuatro figuras:

• Responsable de la información: Es el encargado de determinar los requisitos de la información que se trata.
• Responsable del servicio: Es quien define los requisitos de los servicios que se prestan.
• Responsable de la seguridad: Es el encargado de tomar las decisiones necesarias para satisfacer los requisitos de seguridad y supervisar su implementación.
• Responsable del sistema: Es quien se encarga de implementar y mantener el sistema de seguridad de forma operativa, pudiendo delegar funciones, pero sin perder la supervisión general.

Bien, ahora es cuando seguro que te estas preguntando…

¿esto es viable en una organización pequeña?

En una organización pequeña es complicado implementar la diferenciación completa de las cuatro figuras.

Sin embargo, esto no significa que el principio no lo puedas cumplir.

Estoy seguro que si trabajas en una organización pequeña, una misma persona deba asumir más de una de esas figuras o roles.

En este caso, debes aplicar medidas compensatorias. Por ejemplo:

• Evitar acumular roles con controles/tareas: Aunque una misma persona pueda asumir más de un rol, debes establecer la segregación de tareas críticas entre varias personas con un nivel de gerencia o alto cargo.
• Realizar auditorías externas: contratar a un tercero de forma periódica, para revisar que no se concentran tareas críticas en una misma persona.
• Revisión periódica de funciones: Establecer reuniones de revisión y un sistema de supervisión interna (aunque no exista una división formal de puestos) permite detectar posibles conflictos de intereses y reforzar la separación de responsabilidades.
• Uso de herramientas tecnológicas: Implementar sistemas que limiten el acceso a funciones críticas (por ejemplo, controles de acceso basados en roles).

Cómo aplicar el principio Diferenciación de Responsabilidades en la organización

Puedes aplicar este principio de esta forma:

• Establecimiento de roles claros: Define y documenta las responsabilidades de cada rol en materia de seguridad, por ejemplo en forma de descripción de puestos de trabajo.
• Comunicación y coordinación: Facilita la coordinación entre las distintas áreas, ya que cada responsable sabe a quién acudir en caso de incidencias. Por ejemplo mediante un plan de comunicación.
• Implementación de controles y auditorías: Lleva a cabo auditorías internas y/o externas para cada área, lo que te permite detectar desviaciones o errores en la aplicación de las medidas de seguridad y, en consecuencia, tomar medidas correctivas.

Beneficios de la diferenciación de responsabilidades

• Claridad y transparencia: Cada miembro de la organización sabe exactamente cuál es su función en materia de seguridad, lo que reduce la ambigüedad y mejora la coordinación interna.
• Eficiencia en la respuesta: En situaciones de incidencia, la existencia de roles claramente definidos facilita una respuesta rápida y eficaz, ya que no hay dudas sobre quién debe actuar en cada momento.
• Reducción de conflictos: La separación de funciones evita la concentración de tareas críticas en una sola persona, lo que reduce el riesgo de errores o abusos.
• Mejora de la auditoría: La diferenciación permite realizar auditorías más precisas y focalizadas, facilitando la identificación de áreas de mejora en la implementación de las medidas de seguridad.

Bueno, espero que te haya quedado más claro ahora cuáles son los principios del Esquema Nacional de Seguridad y cómo aplicarlos en tu organización.

Si tienes dudas escríbeme, yo te respondo.

Fecha: 01 abril 2025

Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022

Fuente imagen principal: Elaboración propia usando Inteligencia Artificial