ENS Alto: Requisitos Técnicos de Ciberseguridad para Organizaciones
Esquema Nacional de Seguridad nivel Alto (RD 311/2022): requisitos técnicos detallados por dimensiones, medidas de seguridad obligatorias, marco operacional, y guía de implementación para organizaciones públicas y privadas que trabajan con la administración.
El ENS no es opcional
El Esquema Nacional de Seguridad es el marco normativo de obligado cumplimiento para toda entidad del sector público español y para las organizaciones privadas que presten servicios o gestionen información de la administración. Desde la publicación del Real Decreto 311/2022, que actualizó y derogó el RD 3/2010, los requisitos se han endurecido significativamente. La categoría Alta, la más exigente de las tres, exige controles técnicos que van mucho más allá de un firewall y un antivirus.
Este artículo desglosa los requisitos técnicos reales del ENS Alto: qué medidas son obligatorias, cómo se estructura el marco de seguridad, qué herramientas proporciona el CCN para facilitar el cumplimiento, y cómo se obtiene la certificación. Si trabajas en un SOC, gestionas infraestructura para la administración o asesoras a organizaciones que necesitan certificarse, aquí tienes la referencia técnica completa.
Qué es el ENS y de dónde viene
El Esquema Nacional de Seguridad nació con la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos. Se materializó en el Real Decreto 3/2010, que estableció por primera vez un marco común de seguridad para todas las administraciones públicas españolas. Tras más de una década de experiencia y la evolución del panorama de amenazas, el RD 311/2022 (publicado el 4 de mayo de 2022) introdujo una actualización profunda.
Ámbito de aplicación
El ENS aplica a:
- Administraciones públicas: Administración General del Estado, Comunidades Autónomas, Entidades Locales y sus organismos dependientes.
- Empresas del sector público: entidades de derecho público vinculadas o dependientes de las administraciones.
- Sector privado: empresas que presten servicios al sector público o manejen información de la administración. Esto incluye proveedores tecnológicos, consultoras, integradores de sistemas y cualquier organización que acceda a datos o sistemas públicos.
La obligación no es negociable. Si tu organización trata información del sector público o presta servicios a la administración, el ENS te aplica. La categoría (Básica, Media o Alta) determinará la exigencia de las medidas.
Estructura normativa
El RD 311/2022 se organiza en:
- Artículos 1 a 41: principios básicos, requisitos mínimos, categorización de sistemas, auditoría y respuesta a incidentes.
- Anexo I: categorías de seguridad y dimensiones de valoración (DICAT).
- Anexo II: medidas de seguridad (marco organizativo, operacional y de protección).
- Anexo III: auditoría de seguridad.
- Anexo IV: glosario de términos.
Las guías CCN-STIC del Centro Criptológico Nacional complementan el RD con instrucciones técnicas detalladas para cada medida.
Categorización de sistemas: las dimensiones DICAT
Antes de aplicar medidas, hay que categorizar el sistema. El ENS define cinco dimensiones de seguridad, conocidas por el acrónimo DICAT:
| Dimensión | Descripción | Pregunta clave |
|---|---|---|
| D (Disponibilidad) | Acceso cuando se necesita | ¿Qué pasa si el sistema no está disponible? |
| I (Integridad) | Datos sin alteración no autorizada | ¿Qué pasa si los datos se modifican sin control? |
| C (Confidencialidad) | Acceso solo a quien está autorizado | ¿Qué pasa si la información se filtra? |
| A (Autenticidad) | Verificación de identidad | ¿Qué pasa si no puedo verificar quién envió los datos? |
| T (Trazabilidad) | Registro de quién hizo qué y cuándo | ¿Qué pasa si no puedo reconstruir la secuencia de eventos? |
Cada dimensión se valora en tres niveles: Bajo, Medio y Alto, según el impacto potencial de un incidente. La categoría del sistema es la más alta de todas las dimensiones. Si una sola dimensión alcanza nivel Alto, el sistema completo se categoriza como Alto.
Criterios para nivel Alto
Un sistema se categoriza como Alto cuando un incidente en cualquiera de las cinco dimensiones podría causar:
- Perjuicio grave a las funciones de la organización, de manera que no pueda atender las necesidades básicas que tiene asignadas.
- Daño grave a los activos de la organización.
- Incumplimiento grave de alguna ley o regulación.
- Perjuicio grave para los derechos de las personas.
En la práctica, los sistemas que manejan datos sanitarios, judiciales, tributarios, de seguridad nacional o servicios esenciales para la ciudadanía suelen caer en categoría Alta.
Los 15 principios básicos del ENS
El RD 311/2022 establece principios que guían toda la implementación. No son opcionales: informan la interpretación de cada medida técnica.
- Seguridad como proceso integral: no es un producto que se compra, es un proceso continuo.
- Gestión de la seguridad basada en los riesgos: análisis de riesgos como base de toda decisión.
- Prevención, detección, respuesta y conservación: las cuatro fases de la seguridad operativa.
- Existencia de líneas de defensa: defensa en profundidad, nunca un solo punto de protección.
- Vigilancia continua: monitorización permanente del estado de seguridad.
- Reevaluación periódica: las medidas se revisan y actualizan.
- Diferenciación de responsabilidades: separación entre responsable de la información, del servicio, de la seguridad y del sistema.
- Función diferenciada: la seguridad no puede depender de quien opera el sistema.
- Proporcionalidad: las medidas deben ser proporcionales a los riesgos y la naturaleza de la información.
- Mínimo privilegio: cada usuario y proceso solo tiene los permisos estrictamente necesarios.
- Integridad y actualización del sistema: los sistemas se mantienen actualizados y se controla su integridad.
- Protección de la información almacenada y en tránsito: cifrado y controles en ambos estados.
- Prevención ante otros sistemas interconectados: protección frente a amenazas de sistemas conectados.
- Registro de actividad y detección de código dañino: logs completos y protección antimalware.
- Profesionalidad: el personal de seguridad debe tener la formación y cualificación adecuadas.
Marco organizativo: políticas, normativas y procedimientos
El Anexo II del ENS estructura las medidas en tres marcos. El primero es el organizativo, que establece la gobernanza de la seguridad.
Medidas del marco organizativo
| Código | Medida | Requisito en Alto |
|---|---|---|
| org.1 | Política de seguridad | Documento aprobado por la dirección. Revisión anual. Publicación interna. |
| org.2 | Normativa de seguridad | Conjunto de normas que desarrollan la política. Cubriendo todos los aspectos del Anexo II. |
| org.3 | Procedimientos de seguridad | Instrucciones operativas detalladas para cada proceso de seguridad. |
| org.4 | Proceso de autorización | Control formal de cambios en componentes del sistema. Trazabilidad completa. |
En nivel Alto, la política de seguridad debe incluir explícitamente: roles y responsabilidades, gestión de riesgos, gestión de personal, profesionalidad, autorización y control de accesos, protección de las instalaciones, adquisición de productos, seguridad por defecto, integridad y actualización, protección de la información, servicios externos, continuidad, mejora continua e incumplimiento.
Marco operacional: control del día a día
El marco operacional define las medidas técnicas y procedimentales para la operación segura de los sistemas.
Planificación (op.pl)
| Código | Medida | Requisito en Alto |
|---|---|---|
| op.pl.1 | Análisis de riesgos | Análisis formal con metodología reconocida (MAGERIT). Revisión anual y ante cambios significativos. |
| op.pl.2 | Arquitectura de seguridad | Documentación completa de la arquitectura con todos los componentes, interconexiones y puntos de acceso. |
| op.pl.3 | Adquisición de nuevos componentes | Evaluación de seguridad previa a la incorporación de cualquier componente. |
| op.pl.4 | Dimensionamiento/gestión de la capacidad | Monitorización de recursos y planificación de capacidad para evitar degradación del servicio. |
| op.pl.5 | Componentes certificados | Uso preferente de productos certificados (Common Criteria, LINCE, o catalogados por el CCN). |
Control de acceso (op.acc)
| Código | Medida | Requisito en Alto |
|---|---|---|
| op.acc.1 | Identificación | Identificación única de cada usuario. Sin cuentas compartidas. |
| op.acc.2 | Requisitos de acceso | Derechos de acceso documentados y aprobados por el responsable de la información. |
| op.acc.3 | Segregación de funciones y tareas | Separación de roles incompatibles. Ningún usuario con privilegios absolutos. |
| op.acc.4 | Proceso de gestión de derechos de acceso | Alta, baja y modificación de permisos con proceso formal y trazabilidad. |
| op.acc.5 | Mecanismo de autenticación | MFA obligatorio. Tokens, certificados o biometría como segundo factor. Longitud mínima de contraseñas. |
| op.acc.6 | Acceso local | Control de acceso físico y lógico a los equipos. |
| op.acc.7 | Acceso remoto | VPN con cifrado fuerte. Autenticación MFA. Registro de todas las sesiones remotas. |
Explotación (op.exp)
| Código | Medida | Requisito en Alto |
|---|---|---|
| op.exp.1 | Inventario de activos | Inventario completo y actualizado de todos los activos (hardware, software, datos, servicios). |
| op.exp.2 | Configuración de seguridad | Bastionado según guías CCN-STIC. Eliminación de servicios innecesarios. |
| op.exp.3 | Gestión de la configuración | Control de cambios formal. Toda modificación autorizada, documentada y reversible. |
| op.exp.4 | Mantenimiento y actualizaciones | Parches de seguridad aplicados en plazos definidos. Vulnerabilidades críticas: 72 horas. |
| op.exp.5 | Gestión de cambios | Entorno de preproducción obligatorio. Tests antes del paso a producción. |
| op.exp.6 | Protección frente a código dañino | Antimalware en todos los endpoints. Actualización de firmas. Análisis en tiempo real. |
| op.exp.7 | Gestión de incidentes | Procedimiento documentado. Notificación al CCN-CERT. Análisis post-incidente. |
| op.exp.8 | Registro de la actividad | Logs de todas las acciones relevantes. Retención mínima 5 años en nivel Alto. |
| op.exp.9 | Registro de la gestión de incidentes | Documentación completa de cada incidente: detección, análisis, contención, erradicación, recuperación, lecciones. |
| op.exp.10 | Protección de claves criptográficas | Gestión del ciclo de vida completo de claves. HSM para claves de alto valor. |
Servicios externos (op.ext)
| Código | Medida | Requisito en Alto |
|---|---|---|
| op.ext.1 | Contratación y acuerdos de nivel de servicio | SLA que incluyan requisitos de seguridad ENS. Derecho de auditoría. |
| op.ext.2 | Gestión diaria | Monitorización del cumplimiento de los SLA de seguridad. |
| op.ext.3 | Protección de la cadena de suministro | Evaluación de riesgos de proveedores. Requisitos de seguridad en toda la cadena. |
Continuidad del servicio (op.cont)
| Código | Medida | Requisito en Alto |
|---|---|---|
| op.cont.1 | Análisis de impacto | BIA (Business Impact Analysis) formal. RPO y RTO definidos. |
| op.cont.2 | Plan de continuidad | Plan documentado, probado y actualizado. Pruebas anuales como mínimo. |
| op.cont.3 | Pruebas periódicas | Ejercicios de continuidad con escenarios realistas. Documentación de resultados y mejoras. |
Monitorización del sistema (op.mon)
| Código | Medida | Requisito en Alto |
|---|---|---|
| op.mon.1 | Detección de intrusión | IDS/IPS en puntos clave. Correlación de eventos (SIEM). |
| op.mon.2 | Sistema de métricas | Indicadores de seguridad definidos, medidos y reportados. |
| op.mon.3 | Vigilancia | SOC 24/7 obligatorio para sistemas de categoría Alta. Monitorización continua. |
Medidas de protección: el Anexo II en detalle
Las medidas de protección (mp) son los controles técnicos específicos. En nivel Alto, todas las medidas del Anexo II son obligatorias sin excepciones. A continuación, las familias completas.
Protección de las instalaciones e infraestructuras (mp.if)
| Código | Medida | Requisito en Alto |
|---|---|---|
| mp.if.1 | Áreas separadas y con control de acceso | Zonas de seguridad con control de acceso físico. CPD en zona restringida. |
| mp.if.2 | Identificación de las personas | Control de identidad en el acceso a zonas de seguridad. Registro de visitantes. |
| mp.if.3 | Acondicionamiento de los locales | Climatización, protección contra incendios, SAI y grupo electrógeno. |
| mp.if.4 | Energía eléctrica | SAI para servidores críticos. Grupo electrógeno para continuidad prolongada. |
| mp.if.5 | Protección frente a incendios | Detección y extinción automática en CPD. |
| mp.if.6 | Protección frente a inundaciones | Medidas contra riesgo de agua en instalaciones. |
| mp.if.7 | Registro de entrada y salida de equipamiento | Trazabilidad de todo equipo que entra o sale de las instalaciones. |
Gestión del personal (mp.per)
| Código | Medida | Requisito en Alto |
|---|---|---|
| mp.per.1 | Caracterización del puesto de trabajo | Perfil de seguridad para cada puesto con acceso a información. |
| mp.per.2 | Deberes y obligaciones | Compromiso de confidencialidad firmado. Conocimiento de las normas de seguridad. |
| mp.per.3 | Concienciación | Programa de concienciación periódico. Ejercicios de phishing simulado. |
| mp.per.4 | Formación | Formación técnica específica según el rol. Actualización anual. |
Protección de los equipos (mp.eq)
| Código | Medida | Requisito en Alto |
|---|---|---|
| mp.eq.1 | Puesto de trabajo despejado | Política de escritorio limpio. Bloqueo automático de sesión. |
| mp.eq.2 | Bloqueo de puesto de trabajo | Bloqueo tras inactividad (máximo 5 minutos en Alto). Cierre de sesión obligatorio. |
| mp.eq.3 | Protección de dispositivos portátiles | Cifrado de disco completo. Borrado remoto. Control de acceso reforzado. |
| mp.eq.4 | Otros dispositivos conectados a la red | Control y autorización de todo dispositivo que se conecte. NAC (Network Access Control). |
Protección de las comunicaciones (mp.com)
| Código | Medida | Requisito en Alto |
|---|---|---|
| mp.com.1 | Perímetro seguro | Firewall, DMZ, segmentación de red. |
| mp.com.2 | Protección de la confidencialidad | Cifrado TLS 1.2/1.3 obligatorio en todas las comunicaciones. VPN para acceso remoto. |
| mp.com.3 | Protección de la integridad y de la autenticidad | Protocolos con verificación de integridad. Firma digital en comunicaciones críticas. |
| mp.com.4 | Segregación de redes | Segmentación VLAN. Microsegmentación en entornos críticos. |
Protección de los soportes de información (mp.si)
| Código | Medida | Requisito en Alto |
|---|---|---|
| mp.si.1 | Etiquetado | Clasificación de seguridad visible en todos los soportes. |
| mp.si.2 | Criptografía | Cifrado AES-256 o equivalente para soportes con información de nivel Alto. |
| mp.si.3 | Custodia | Control de acceso a soportes almacenados. Inventario actualizado. |
| mp.si.4 | Transporte | Cifrado y medidas de protección física durante el transporte. |
| mp.si.5 | Borrado y destrucción | Borrado seguro (NIST 800-88). Destrucción física certificada para soportes dados de baja. |
Protección de las aplicaciones informáticas (mp.sw)
| Código | Medida | Requisito en Alto |
|---|---|---|
| mp.sw.1 | Desarrollo | Ciclo de vida de desarrollo seguro (SDLC). Revisión de código. SAST/DAST. |
| mp.sw.2 | Aceptación y puesta en servicio | Tests de seguridad previos al despliegue en producción. Entorno de pruebas separado. |
Protección de la información (mp.info)
| Código | Medida | Requisito en Alto |
|---|---|---|
| mp.info.1 | Datos de carácter personal | Cumplimiento RGPD. EIPD cuando proceda. DPO designado. |
| mp.info.2 | Calificación de la información | Sistema de clasificación aplicado a toda la información. |
| mp.info.3 | Cifrado | Cifrado en reposo obligatorio para información de categoría Alta. |
| mp.info.4 | Firma electrónica | Firma electrónica cualificada para documentos que lo requieran. |
| mp.info.5 | Sellos de tiempo | Sellos de tiempo cualificados para garantizar la trazabilidad temporal. |
| mp.info.6 | Limpieza de documentos | Eliminación de metadatos antes de la distribución. |
| mp.info.9 | Copias de seguridad | Backups cifrados. Pruebas de restauración periódicas. Copias offsite. |
Protección de los servicios (mp.s)
| Código | Medida | Requisito en Alto |
|---|---|---|
| mp.s.1 | Protección del correo electrónico | Antispam, antimalware, SPF, DKIM, DMARC. Cifrado de correo sensible. |
| mp.s.2 | Protección de servicios y aplicaciones web | WAF. Cabeceras de seguridad HTTP. HTTPS obligatorio. Protección contra OWASP Top 10. |
| mp.s.3 | Protección de la navegación web | Filtrado de contenido. Proxy. Protección DNS. |
| mp.s.4 | Protección frente a denegación de servicio | Mitigación DDoS. Redundancia. CDN con protección. |
Protección de los registros de actividad (mp.log)
| Código | Medida | Requisito en Alto |
|---|---|---|
| mp.log.1 | Registro de actividad del usuario | Logs de acceso, cambios de datos y acciones administrativas. |
| mp.log.2 | Protección de los registros de actividad | Logs protegidos contra manipulación. Almacenamiento en sistema separado. |
| mp.log.3 | Revisión de los registros de actividad | Revisión periódica (automatizada con SIEM y manual para incidentes). |
Requisitos técnicos específicos de nivel Alto
Más allá de las medidas del Anexo II, el nivel Alto impone requisitos técnicos que no aplican a categorías Básica o Media.
Cifrado obligatorio
- En tránsito: TLS 1.2 como mínimo (recomendado 1.3). VPN IPsec o WireGuard para interconexiones. mTLS para comunicaciones entre servicios internos.
- En reposo: AES-256 o algoritmos de fortaleza equivalente. Las claves de cifrado se gestionan en HSM (Hardware Security Module) o sistema de gestión de claves certificado.
- Algoritmos aceptados: los que figuren en el Catálogo de Productos de Seguridad de las TIC (CPSTIC) del CCN, o los aprobados en las guías CCN-STIC 807 (criptología de empleo en el ENS).
Autenticación multifactor (MFA)
Obligatorio para:
- Todo acceso administrativo a sistemas.
- Acceso remoto (VPN, escritorio remoto).
- Acceso a información de nivel Alto.
- Operaciones críticas (cambios de configuración, gestión de usuarios privilegiados).
Factores aceptados: certificado digital (DNIe, FNMT), token hardware (FIDO2/U2F), OTP basado en tiempo (TOTP), biometría como factor adicional.
SOC 24/7 y monitorización continua
Los sistemas de categoría Alta requieren monitorización ininterrumpida. Esto implica:
- Centro de Operaciones de Seguridad operativo 24 horas, 7 días a la semana.
- SIEM con correlación de eventos en tiempo real.
- IDS/IPS en puntos estratégicos de la red.
- Alertas con tiempos de respuesta definidos: incidentes críticos en menos de 1 hora.
- Integración con el CCN-CERT para notificación y coordinación de incidentes.
Gestión de vulnerabilidades
- Escaneos de vulnerabilidades al menos mensuales (trimestrales no son suficientes en Alto).
- Parches de seguridad críticos aplicados en un máximo de 72 horas.
- Pentesting anual por equipo independiente.
- Gestión de vulnerabilidades zero-day con procedimiento específico.
Retención de logs
- Mínimo 5 años para registros de auditoría en nivel Alto (frente a 2 años en Medio y 1 en Básico).
- Los logs deben ser íntegros: almacenados en sistema separado del sistema monitorizado, con protección contra manipulación (write-once, firma digital o blockchain de auditoría).
- Deben incluir: quién, qué, cuándo, desde dónde y resultado de la acción.
Proceso de certificación ENS
Quién certifica
La certificación ENS la realizan entidades de certificación acreditadas por ENAC (Entidad Nacional de Acreditación). AENOR es la entidad más conocida, pero no la única. El CCN mantiene un registro de entidades acreditadas para certificar ENS.
Proceso
- Autoevaluación inicial: la organización evalúa su nivel de cumplimiento actual usando la herramienta INES del CCN.
- Plan de adecuación: si hay gaps, se elabora un plan con plazos para alcanzar el cumplimiento.
- Implementación: despliegue de las medidas técnicas y organizativas.
- Auditoría interna: verificación interna del cumplimiento de todas las medidas del Anexo II.
- Auditoría de certificación: una entidad acreditada realiza la auditoría formal. Revisa documentación, entrevista al personal y verifica controles técnicos.
- Emisión del certificado: si la auditoría es satisfactoria, se emite la Declaración/Certificación de Conformidad.
- Seguimiento: auditorías de seguimiento anuales. Renovación cada 2 años.
Categoría Básica vs Media vs Alta en certificación
| Aspecto | Básica | Media | Alta |
|---|---|---|---|
| Tipo de evaluación | Autoevaluación | Auditoría formal | Auditoría formal |
| Frecuencia | Cada 2 años | Cada 2 años | Cada 2 años |
| Seguimiento | No obligatorio | Anual | Anual |
| Entidad certificadora | Propia organización | Acreditada ENAC | Acreditada ENAC |
| Publicación | INES | INES + sello | INES + sello |
Herramientas del CCN para el cumplimiento
El Centro Criptológico Nacional proporciona herramientas gratuitas que facilitan el cumplimiento del ENS. Conocerlas es fundamental porque los auditores esperan que se utilicen.
PILAR
Herramienta de análisis de riesgos basada en la metodología MAGERIT. Permite modelar activos, amenazas, salvaguardas y calcular el nivel de riesgo residual. Es la herramienta de referencia para el análisis de riesgos que exige op.pl.1.
INES
Sistema de Informe Nacional del Estado de Seguridad. Permite a las organizaciones reportar su nivel de cumplimiento del ENS. Es obligatorio para las administraciones públicas. Genera métricas agregadas que el CCN usa para evaluar el estado de seguridad del sector público.
LUCIA
Sistema de gestión de ciberincidentes. Permite registrar, clasificar y gestionar incidentes de seguridad según la taxonomía del CCN-CERT. Facilita la notificación obligatoria de incidentes (op.exp.7) y genera las métricas que exige op.mon.2.
ADA
Plataforma de auditoría de cumplimiento del ENS. Automatiza la verificación de medidas técnicas en sistemas Windows y Linux. Complementa la auditoría manual con evidencias técnicas objetivas.
REYES
Plataforma de intercambio de ciberinteligencia del CCN. Permite compartir indicadores de compromiso (IOCs) entre organismos públicos. Relevante para la vigilancia (op.mon.3) y la gestión de incidentes (op.exp.7).
CARMEN
Centro de Análisis de Registros y Minería de Eventos. Herramienta SIEM del CCN para la detección de amenazas persistentes avanzadas (APT). Especialmente relevante para la detección de intrusión (op.mon.1).
Relación del ENS con NIS2, DORA y otras normativas
El ENS no existe en aislamiento. Se articula con el marco regulatorio europeo y otras normativas españolas.
ENS y NIS2
La Directiva NIS2 (2022/2555) amplía las obligaciones de ciberseguridad a sectores esenciales e importantes en toda la UE. En España, la transposición de NIS2 se apoya en el ENS como marco técnico de referencia. Las organizaciones que cumplan ENS Alto tendrán una base sólida para cumplir NIS2, aunque la directiva europea añade requisitos específicos de notificación de incidentes (24 horas para la alerta inicial) y de gestión de la cadena de suministro.
ENS y DORA
El Reglamento DORA (2022/2554) aplica al sector financiero. Las entidades financieras españolas que ya cumplen ENS encuentran que DORA refuerza áreas como las pruebas de resiliencia operativa (TLPT, Threat-Led Penetration Testing) y la gestión de riesgos TIC de terceros. DORA es más prescriptivo que el ENS en testing avanzado.
ENS y RGPD
El ENS y el RGPD son complementarios. El ENS proporciona el marco técnico para proteger datos personales en el sector público, mientras que el RGPD establece los derechos de los interesados y las obligaciones de tratamiento. Las medidas mp.info.1 (datos de carácter personal) y mp.info.6 (limpieza de documentos) conectan directamente con RGPD.
ENS e ISO 27001
ISO 27001 es un estándar internacional voluntario. El ENS es obligatorio en España. Hay solapamiento significativo: ambos exigen análisis de riesgos, políticas de seguridad, gestión de incidentes y auditoría. Muchas organizaciones mantienen ambas certificaciones. La guía CCN-STIC 825 establece la correspondencia entre controles ENS y controles ISO 27001:2022.
Guía de implementación: de cero a ENS Alto
Implementar ENS Alto es un proyecto que típicamente requiere entre 12 y 24 meses. Estas son las fases habituales.
Fase 1: Diagnóstico (meses 1 a 3)
- Inventario completo de activos y sistemas.
- Categorización de sistemas según dimensiones DICAT.
- Análisis de riesgos con PILAR/MAGERIT.
- Gap analysis contra las medidas del Anexo II.
- Informe de situación y plan de adecuación.
Fase 2: Diseño (meses 3 a 6)
- Redacción de la política de seguridad y normativa derivada.
- Diseño de la arquitectura de seguridad objetivo.
- Definición de roles y responsabilidades (responsable de seguridad, del sistema, de la información, del servicio).
- Selección de tecnología: SIEM, IDS/IPS, NAC, HSM, backup, antimalware.
- Planificación del SOC (interno, externalizado o híbrido).
Fase 3: Implementación (meses 6 a 15)
- Despliegue de controles técnicos por prioridad de riesgo.
- Bastionado de sistemas según guías CCN-STIC.
- Configuración del SIEM y reglas de correlación.
- Implantación de MFA en todos los accesos requeridos.
- Cifrado de datos en reposo y verificación de cifrado en tránsito.
- Formación y concienciación del personal.
- Desarrollo de procedimientos operativos (gestión de incidentes, continuidad, gestión de cambios).
Fase 4: Verificación (meses 15 a 18)
- Auditoría interna de cumplimiento.
- Pentesting por equipo independiente.
- Ejercicio de continuidad.
- Corrección de no conformidades.
- Reporte en INES.
Fase 5: Certificación (meses 18 a 24)
- Auditoría de certificación por entidad acreditada.
- Resolución de hallazgos de auditoría.
- Obtención de la Declaración/Certificación de Conformidad.
- Publicación del sello ENS.
Recursos y referencias
Guías CCN-STIC esenciales para ENS Alto
| Guía | Título | Relevancia |
|---|---|---|
| CCN-STIC 801 | Responsabilidades y funciones en el ENS | Roles obligatorios |
| CCN-STIC 802 | Auditoría del ENS | Proceso de auditoría |
| CCN-STIC 803 | Valoración de sistemas en el ENS | Categorización DICAT |
| CCN-STIC 804 | Medidas de implantación del ENS | Guía técnica principal |
| CCN-STIC 805 | Política de seguridad de la información | Plantilla de política |
| CCN-STIC 807 | Criptología de empleo en el ENS | Algoritmos y longitudes de clave |
| CCN-STIC 808 | Verificación del cumplimiento del ENS | Checklists de verificación |
| CCN-STIC 809 | Declaración y certificación de conformidad | Proceso de certificación |
| CCN-STIC 811 | Interconexión en el ENS | Protección de interconexiones |
| CCN-STIC 817 | Gestión de ciberincidentes | Proceso de respuesta |
| CCN-STIC 825 | ENS y la certificación ISO 27001 | Correspondencia de controles |
| CCN-STIC 884 | Guía de configuración segura de Azure | Bastionado cloud |
Enlaces oficiales
- BOE: Real Decreto 311/2022 (búsqueda en boe.es)
- CCN-CERT: ccn-cert.cni.es (portal principal, guías CCN-STIC, herramientas)
- INES: ines.ccn-cert.cni.es (reporte de cumplimiento)
- ENAC: enac.es (entidades certificadoras acreditadas)
- CPSTIC: oc.ccn.cni.es/es/productos-certificados (catálogo de productos de seguridad certificados)
Metodología MAGERIT
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología oficial del Gobierno de España para el análisis de riesgos. La versión 3.0 está disponible en el portal del PAe (Punto de Acceso General de la Administración Electrónica). Consta de tres libros: Método, Catálogo de Elementos y Guía de Técnicas.
Conclusión: ENS Alto como ventaja competitiva
Cumplir ENS Alto es costoso y exigente. Pero para las organizaciones que operan en el entorno del sector público español, no es solo una obligación legal: es una ventaja competitiva. En las licitaciones públicas, la certificación ENS es cada vez más un requisito de solvencia técnica. Las empresas que pueden demostrar ENS Alto acceden a contratos que sus competidores no certificados no pueden optar.
Desde la perspectiva de seguridad real (no solo compliance), un sistema que cumple ENS Alto tiene defensas en profundidad, monitorización continua, gestión de vulnerabilidades activa y capacidad de respuesta a incidentes. No es inmune a ataques, pero detecta y responde significativamente más rápido que una organización sin estas medidas.
El ENS es, en definitiva, lo que toda organización debería hacer con su seguridad. La diferencia es que en España, para el sector público, es obligatorio hacerlo bien.
Preguntas frecuentes
Artículos relacionados
CERTs en España: INCIBE-CERT, CCN-CERT, BCSC y Estructura Nacional
NIS2: Nueva Directiva Europea de Ciberseguridad y sus Obligaciones (2024-2026)
DORA: Resiliencia Operativa Digital para el Sector Financiero
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.