ENS para proveedores públicos: plan de adecuación

·

Un proveedor debe aplicar el ENS cuando sus sistemas forman parte de la prestación de servicios públicos dentro del ámbito del Real Decreto 311/2022 y según lo pactado en el contrato. La adecuación no consiste en comprar herramientas: exige delimitar el sistema, categorizarlo, analizar los riesgos, aprobar una declaración de aplicabilidad, implantar medidas, reunir evidencias y someterse al mecanismo de conformidad correspondiente.

Confirmar el alcance

Se identifican:

No toda la empresa tiene que entrar en el alcance si el servicio puede delimitarse, pero no se excluyen las dependencias críticas.

Roles

Rol Responsabilidad
Responsable de la información Requisitos y clasificación de la información
Responsable del servicio Requisitos del servicio
Responsable de seguridad Decisiones y supervisión de la seguridad
Responsable del sistema Operación y controles
Dirección Política, recursos y riesgo

Las funciones deben estar formalizadas y evitar conflictos incompatibles entre sí.

Categorizar el sistema

Se valoran las dimensiones de seguridad previstas en el ENS: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. El impacto determina la categoría básica, media o alta.

La categorización debe acordarse con el cliente cuando existan interdependencias. No se elige una categoría inferior por motivos de coste.

Política y normativa

La política define principios, organización, obligaciones, gestión de riesgos, incidentes, continuidad, personal y mejora continua. Se complementa con normativa y procedimientos operativos.

Debe reflejar el sistema real; una plantilla genérica no demuestra la implantación.

Análisis de riesgos

El análisis identifica activos, amenazas, vulnerabilidades, impacto, probabilidad y controles. Se actualiza ante cambios, incidentes y de forma periódica.

Debe incluir la cadena de suministro, la nube, los accesos remotos, el ransomware, la pérdida de claves y la continuidad del servicio.

Declaración de aplicabilidad

La Declaración de Aplicabilidad (DoA) recoge las medidas aplicables, su estado, la evidencia y la justificación. Si se utilizan medidas compensatorias, debe demostrarse una protección igual o superior conforme al marco y a las guías aplicables.

Medida Estado Evidencia Responsable Brecha
Control de acceso Implantada Matriz y logs IT Revisión trimestral
Copias de seguridad Parcial Configuración Operación Falta prueba de restauración

La DoA es un documento vivo y debe coincidir con lo verificado en la auditoría.

Medidas técnicas y organizativas

Las áreas clave son:

Se priorizan las medidas básicas de mayor impacto: inventario, MFA, gestión de parches, copias de seguridad, registros, segregación de funciones y capacidad de respuesta.

Accesos privilegiados

Los accesos administrativos usan cuentas nominativas, MFA, mínimo privilegio, un sistema bastión cuando proceda, registro y revisión periódica. Los accesos de soporte se habilitan de forma temporal.

No deben existir cuentas compartidas sin trazabilidad.

Nube y proveedores

Se revisan:

La certificación del proveedor cloud no certifica automáticamente la configuración del cliente.

Desarrollo y cambios

Si se desarrolla software, deben cubrirse:

Cada cambio relevante debe actualizar el análisis de riesgos y la evidencia correspondiente.

Incidentes

El procedimiento define detección, clasificación, contención, comunicación, recuperación y lecciones aprendidas. Los plazos contractuales deben permitir al organismo público cumplir los suyos.

Se ensayan escenarios de ransomware, fuga de información, caída del servicio y compromiso de un proveedor.

Continuidad

Se establecen RTO/RPO, copias de seguridad, redundancia, personal y comunicación. La restauración se prueba de forma efectiva: una copia sin capacidad de recuperación no demuestra continuidad.

Conformidad

El mecanismo depende de la categoría y de los requisitos aplicables. Para determinados sistemas se exige la certificación por una entidad acreditada; en otros puede proceder una declaración de conformidad según las reglas correspondientes.

Debe consultarse el portal ENS del CCN y el organismo certificador. No se comunica «certificado» antes de obtenerlo ni fuera de alcance.

Herramientas CCN

El CCN ofrece guías CCN-STIC y herramientas de gobernanza como INES, AMPARO y MARGA. Deben utilizarse según el alcance del sistema y nunca como sustituto del juicio profesional.

Plan de 120 días

Días 1-30

Alcance, roles, categoría y análisis de brecha.

Días 31-60

Riesgos, DoA, políticas y medidas prioritarias.

Días 61-90

Implantación, pruebas, incidentes y continuidad.

Días 91-120

Auditoría interna, correcciones y conformidad.

Evidencias

Errores frecuentes

  1. Empezar por comprar tecnología.
  2. No delimitar el sistema.
  3. Elegir la categoría por presupuesto.
  4. Copiar una declaración de aplicabilidad ajena.
  5. Confiar solo en el certificado del proveedor cloud.
  6. Compartir cuentas de acceso.
  7. No probar la restauración de las copias.
  8. Ignorar a los subcontratistas.
  9. Auditar antes de implantar.
  10. Comunicar el certificado fuera de alcance.

Checklist

Preguntas frecuentes

¿Todo proveedor público necesita ENS?

Depende del servicio y de los sistemas utilizados para prestar servicios públicos, además del contrato y del ámbito del Real Decreto 311/2022.

¿ISO 27001 sustituye al ENS?

No. Puede aportar controles útiles, pero hay que mapearlos y cumplir igualmente los requisitos propios del ENS. Si tu empresa ya cuenta con un SGSI, nuestro servicio de certificación ISO 27001 ayuda a aprovechar ese trabajo previo.

¿El cloud certificado basta?

No. La configuración, la operación y el alcance del servicio del proveedor también deben cumplir el ENS.

En Summum Calidad acompañamos todo el proceso: desde la delimitación del alcance y el análisis de riesgos hasta la declaración de aplicabilidad, la implantación de medidas y la auditoría interna previa a la certificación. Conoce nuestro servicio de adecuación al ENS.