Un proveedor debe aplicar el ENS cuando sus sistemas forman parte de la prestación de servicios públicos dentro del ámbito del Real Decreto 311/2022 y según lo pactado en el contrato. La adecuación no consiste en comprar herramientas: exige delimitar el sistema, categorizarlo, analizar los riesgos, aprobar una declaración de aplicabilidad, implantar medidas, reunir evidencias y someterse al mecanismo de conformidad correspondiente.
Confirmar el alcance
Se identifican:
- Entidad pública cliente.
- Servicio y contrato.
- Sistemas y centros.
- Datos y comunicaciones.
- Personal con acceso.
- Nube y subcontratistas.
- Integraciones.
- Responsabilidades compartidas.
No toda la empresa tiene que entrar en el alcance si el servicio puede delimitarse, pero no se excluyen las dependencias críticas.
Roles
| Rol | Responsabilidad |
|---|---|
| Responsable de la información | Requisitos y clasificación de la información |
| Responsable del servicio | Requisitos del servicio |
| Responsable de seguridad | Decisiones y supervisión de la seguridad |
| Responsable del sistema | Operación y controles |
| Dirección | Política, recursos y riesgo |
Las funciones deben estar formalizadas y evitar conflictos incompatibles entre sí.
Categorizar el sistema
Se valoran las dimensiones de seguridad previstas en el ENS: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. El impacto determina la categoría básica, media o alta.
La categorización debe acordarse con el cliente cuando existan interdependencias. No se elige una categoría inferior por motivos de coste.
Política y normativa
La política define principios, organización, obligaciones, gestión de riesgos, incidentes, continuidad, personal y mejora continua. Se complementa con normativa y procedimientos operativos.
Debe reflejar el sistema real; una plantilla genérica no demuestra la implantación.
Análisis de riesgos
El análisis identifica activos, amenazas, vulnerabilidades, impacto, probabilidad y controles. Se actualiza ante cambios, incidentes y de forma periódica.
Debe incluir la cadena de suministro, la nube, los accesos remotos, el ransomware, la pérdida de claves y la continuidad del servicio.
Declaración de aplicabilidad
La Declaración de Aplicabilidad (DoA) recoge las medidas aplicables, su estado, la evidencia y la justificación. Si se utilizan medidas compensatorias, debe demostrarse una protección igual o superior conforme al marco y a las guías aplicables.
| Medida | Estado | Evidencia | Responsable | Brecha |
|---|---|---|---|---|
| Control de acceso | Implantada | Matriz y logs | IT | Revisión trimestral |
| Copias de seguridad | Parcial | Configuración | Operación | Falta prueba de restauración |
La DoA es un documento vivo y debe coincidir con lo verificado en la auditoría.
Medidas técnicas y organizativas
Las áreas clave son:
- Política y organización.
- Activos.
- Acceso.
- Explotación.
- Protección de las comunicaciones.
- Protección de la información.
- Servicios externos.
- Continuidad.
- Monitorización.
- Incidentes.
Se priorizan las medidas básicas de mayor impacto: inventario, MFA, gestión de parches, copias de seguridad, registros, segregación de funciones y capacidad de respuesta.
Accesos privilegiados
Los accesos administrativos usan cuentas nominativas, MFA, mínimo privilegio, un sistema bastión cuando proceda, registro y revisión periódica. Los accesos de soporte se habilitan de forma temporal.
No deben existir cuentas compartidas sin trazabilidad.
Nube y proveedores
Se revisan:
- Alcance de la certificación del proveedor.
- Responsabilidad compartida.
- Regiones.
- Subcontratistas.
- Cifrado y gestión de claves.
- Logs.
- Continuidad.
- Notificación.
- Salida (reversibilidad).
La certificación del proveedor cloud no certifica automáticamente la configuración del cliente.
Desarrollo y cambios
Si se desarrolla software, deben cubrirse:
- Requisitos de seguridad.
- Repositorios y ramas.
- Revisión de código.
- Gestión de dependencias.
- Gestión de secretos.
- Pruebas.
- Entornos separados.
- Aprobación y capacidad de rollback.
Cada cambio relevante debe actualizar el análisis de riesgos y la evidencia correspondiente.
Incidentes
El procedimiento define detección, clasificación, contención, comunicación, recuperación y lecciones aprendidas. Los plazos contractuales deben permitir al organismo público cumplir los suyos.
Se ensayan escenarios de ransomware, fuga de información, caída del servicio y compromiso de un proveedor.
Continuidad
Se establecen RTO/RPO, copias de seguridad, redundancia, personal y comunicación. La restauración se prueba de forma efectiva: una copia sin capacidad de recuperación no demuestra continuidad.
Conformidad
El mecanismo depende de la categoría y de los requisitos aplicables. Para determinados sistemas se exige la certificación por una entidad acreditada; en otros puede proceder una declaración de conformidad según las reglas correspondientes.
Debe consultarse el portal ENS del CCN y el organismo certificador. No se comunica «certificado» antes de obtenerlo ni fuera de alcance.
Herramientas CCN
El CCN ofrece guías CCN-STIC y herramientas de gobernanza como INES, AMPARO y MARGA. Deben utilizarse según el alcance del sistema y nunca como sustituto del juicio profesional.
Plan de 120 días
Días 1-30
Alcance, roles, categoría y análisis de brecha.
Días 31-60
Riesgos, DoA, políticas y medidas prioritarias.
Días 61-90
Implantación, pruebas, incidentes y continuidad.
Días 91-120
Auditoría interna, correcciones y conformidad.
Evidencias
- Alcance y arquitectura.
- Categorización.
- Riesgos.
- Política y DoA.
- Inventario.
- Accesos.
- Parches.
- Copias y restauración.
- Logs.
- Incidentes.
- Proveedores.
- Formación.
- Auditorías.
Errores frecuentes
- Empezar por comprar tecnología.
- No delimitar el sistema.
- Elegir la categoría por presupuesto.
- Copiar una declaración de aplicabilidad ajena.
- Confiar solo en el certificado del proveedor cloud.
- Compartir cuentas de acceso.
- No probar la restauración de las copias.
- Ignorar a los subcontratistas.
- Auditar antes de implantar.
- Comunicar el certificado fuera de alcance.
Checklist
- Alcance contractual definido.
- Roles formalizados.
- Categoría aprobada.
- Riesgos actualizados.
- Política y DoA aprobadas.
- Medidas y evidencias reunidas.
- Nube y cadena de suministro revisadas.
- Incidentes y continuidad probados.
- Auditoría interna realizada.
- Conformidad aplicable obtenida.
Preguntas frecuentes
¿Todo proveedor público necesita ENS?
Depende del servicio y de los sistemas utilizados para prestar servicios públicos, además del contrato y del ámbito del Real Decreto 311/2022.
¿ISO 27001 sustituye al ENS?
No. Puede aportar controles útiles, pero hay que mapearlos y cumplir igualmente los requisitos propios del ENS. Si tu empresa ya cuenta con un SGSI, nuestro servicio de certificación ISO 27001 ayuda a aprovechar ese trabajo previo.
¿El cloud certificado basta?
No. La configuración, la operación y el alcance del servicio del proveedor también deben cumplir el ENS.
En Summum Calidad acompañamos todo el proceso: desde la delimitación del alcance y el análisis de riesgos hasta la declaración de aplicabilidad, la implantación de medidas y la auditoría interna previa a la certificación. Conoce nuestro servicio de adecuación al ENS.