Ciberseguridad y cumplimiento

Implantación técnica del ENS en Burgos

La Diputación de Burgos, el Ayuntamiento de Burgos y la Universidad de Burgos (UBU) son entidades del sector público sujetas al Esquema Nacional de Seguridad. El RD 311/2022 (BOE-A-2022-7191) de 3 de mayo obliga también a sus proveedores y contratistas a adecuar sus sistemas de información. Si tu empresa licita o presta servicios tecnológicos a cualquiera de esos organismos, el ENS ya te aplica. Summum Sistemas te acompaña en la implantación técnica real de las 75 medidas del Anexo II: análisis de riesgos con metodología MAGERIT, uso de las herramientas del CCN (PILAR e INES), hardening de sistemas, monitorización de seguridad y preparación del paquete de evidencias técnicas. Sin documentación vacía: ingeniería aplicada que sostiene la declaración o certificación de conformidad.

NormativaRD 311/2022 · BOE-A-2022-7191
ÁmbitoProveedores y contratistas del sector público en Burgos
EnfoqueImplantación técnica: MAGERIT · PILAR · INES · Anexo II

El Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022 de 3 de mayo, no es una norma de gestión documental: es un marco técnico-operativo que exige la implantación real de medidas de seguridad sobre los sistemas de información. El Anexo II del RD 311/2022 organiza esas medidas en tres marcos —organizativo, operacional y de protección— articulados en 16 familias y 75 medidas concretas, con diferentes requisitos según la categoría del sistema (básica, media o alta). Las medidas operacionales incluyen la familia op.nub de computación en la nube, especialmente relevante para proveedores que ofrecen servicios SaaS o infraestructura cloud a la Administración burgalesa. Cumplir el ENS significa que esas medidas están técnicamente implantadas, configuradas y verificables, no solo redactadas en una política.

En Burgos, los principales organismos del sector público sujetos al ENS son la Diputación Provincial de Burgos, el Ayuntamiento de Burgos y la Universidad de Burgos (UBU). Los tres contratan servicios tecnológicos, software de gestión, conectividad y mantenimiento de sistemas a empresas privadas. Cuando una empresa burgalesa —o con proyección hacia la licitación pública en la provincia— quiere acceder a esa contratación, debe acreditar que sus propios sistemas cumplen el ENS en la categoría que corresponda al servicio prestado. No es una exigencia futura: la disposición transitoria única del RD 311/2022 fijó el 5 de mayo de 2024 como fecha límite para los sistemas existentes. Los nuevos sistemas deben cumplir desde su puesta en producción.

Summum Sistemas aborda la adecuación desde la ingeniería. El punto de partida es el análisis de riesgos con metodología MAGERIT (Metodología de Análisis y GEstión de Riesgos de los sistemas de Información de las Administraciones Públicas), la metodología de referencia del CCN para el ENS. La utilizamos con la herramienta PILAR (Procedimiento Informático-Lógico para el Análisis de Riesgos), desarrollada por el Centro Criptológico Nacional, que permite modelar activos, amenazas y salvaguardas de forma trazable y produce un informe de riesgos residuales directamente referenciable ante la entidad auditora. Una vez conocidos los riesgos, diseñamos e implantamos las salvaguardas técnicas del Anexo II que cierran las brechas detectadas: control de accesos (op.acc), continuidad del servicio (op.cont), monitorización y auditoría (op.mon), protección de las comunicaciones (mp.com) y protección del puesto de usuario (mp.eq), entre otras. Para la verificación del estado de conformidad usamos INES (Instrumento Nacional de Evaluación de la Seguridad), la plataforma del CCN que genera el informe de estado del ENS y sirve de base para la declaración de conformidad de categoría básica.

El proceso de Implantación técnica del ENS en Burgos.

El proceso · cuatro tiempos
01

Alcance y categorización técnica del sistema

Identificamos los sistemas de información en alcance, los servicios que prestas a los organismos públicos de Burgos —Diputación, Ayuntamiento, UBU u otros— y los flujos de datos con sus sistemas. Con esa información aplicamos el Anexo I del RD 311/2022 para determinar la categoría ENS (básica, media o alta) valorando el impacto potencial en las cinco dimensiones de seguridad CIDAT. La categoría define el subconjunto obligatorio de medidas del Anexo II y la vía de conformidad: declaración autoevaluada para básica, certificación por entidad acreditada ENAC para media o alta.

02

Análisis de riesgos MAGERIT con herramienta PILAR

Ejecutamos el análisis de riesgos siguiendo la metodología MAGERIT con la herramienta PILAR del CCN. Modelamos los activos de información, sus dependencias, las amenazas aplicables y las salvaguardas existentes. El resultado es un informe de riesgos residuales que justifica técnicamente la selección de medidas del Anexo II y que forma parte del expediente de conformidad. Este análisis es obligatorio en sistemas de categoría media y alta, y altamente recomendable en categoría básica para tomar decisiones de implantación proporcionadas al riesgo real.

03

Implantación de medidas técnicas del Anexo II

Implantamos técnicamente las medidas operacionales y de protección del Anexo II que correspondan a la categoría del sistema: configuración segura de sistemas operativos y servicios (mp.sw, mp.eq), control de accesos y gestión de privilegios (op.acc), cifrado de comunicaciones y almacenamiento (mp.com, mp.si), copias de seguridad y recuperación (mp.si), monitorización de eventos de seguridad y registros de auditoría (op.mon), y gestión de la continuidad del servicio (op.cont). Para servicios en la nube aplicamos además las medidas de la familia op.nub, incluyendo la verificación de las condiciones contractuales con el proveedor cloud según los requisitos del ENS.

04

Verificación con INES y preparación del paquete de evidencias

Usamos INES (Instrumento Nacional de Evaluación de la Seguridad) para generar el informe de estado del sistema conforme al ENS. Este informe, producido por la herramienta del CCN, refleja el grado de implantación de cada medida del Anexo II y sirve de base para la declaración de conformidad de categoría básica o como documentación de partida para la auditoría ENAC en categorías media y alta. Compilamos además el paquete completo de evidencias técnicas: capturas de configuración, registros de auditoría, resultados de análisis de vulnerabilidades y actas de pruebas de continuidad.

Qué incluye

Qué incluye Implantación técnica del ENS en Burgos.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización ENS (Anexo I RD 311/2022)

    Documento técnico que justifica la categoría asignada —básica, media o alta— valorando el impacto en las cinco dimensiones CIDAT para cada servicio prestado a organismos públicos de Burgos, con metodología trazable y referencias explícitas al RD 311/2022.

  • Análisis de riesgos MAGERIT con informe PILAR

    Análisis completo de activos, amenazas y salvaguardas ejecutado con la herramienta PILAR del CCN, con informe de riesgos residuales y recomendaciones de salvaguardas priorizadas por nivel de riesgo y coste de implantación.

  • Plan de implantación técnica de medidas del Anexo II

    Hoja de ruta técnica que detalla las medidas del Anexo II a implantar o reforzar, con responsables, plazos, configuraciones objetivo y criterios de verificación para cada familia de controles aplicable a la categoría del sistema.

  • Configuraciones de seguridad y hardening documentado

    Documentación de las configuraciones de seguridad implantadas: bastionado de sistemas operativos y servicios, reglas de firewall, políticas de contraseñas y acceso, configuración de cifrado y parámetros de monitorización, conforme a las guías CCN-STIC aplicables.

  • Informe INES y paquete de evidencias técnicas

    Informe de estado del ENS generado con INES, complementado con el paquete de evidencias técnicas: capturas de configuración, registros de auditoría del sistema, resultados de análisis de vulnerabilidades y actas de pruebas de continuidad y recuperación.

  • Soporte en declaración de conformidad o auditoría ENAC

    Para categoría básica: preparación de la declaración de conformidad autoevaluada (CCN-STIC 809). Para media o alta: revisión técnica pre-auditoría, corrección de desviaciones y soporte técnico durante el proceso de auditoría de la entidad acreditada por ENAC.

Preguntas frecuentes sobre Implantación técnica del ENS en Burgos.

¿El ENS obliga a mi empresa si solo presto servicios al Ayuntamiento de Burgos o a la UBU?

Sí. El artículo 2 del RD 311/2022 establece que el ENS aplica a los sistemas de información de las entidades del sector público y a los de las entidades privadas que les presten servicios o suministren soluciones. El Ayuntamiento de Burgos y la Universidad de Burgos (UBU) son entidades del sector público sujetas al ENS. Si tu empresa gestiona datos de esos organismos, opera software en sus infraestructuras o presta servicios en los que sus sistemas interactúan con los tuyos, el ENS te aplica con independencia del tamaño de tu empresa o del importe del contrato.

¿Qué aporta PILAR frente a hacer el análisis de riesgos con una hoja de cálculo?

PILAR es la herramienta de análisis de riesgos desarrollada por el Centro Criptológico Nacional (CCN) específicamente para el ENS. Implementa la metodología MAGERIT de forma estructurada, con catálogos de activos, amenazas y salvaguardas alineados con el Anexo II del RD 311/2022, y genera informes en el formato que esperan los auditores de conformidad. Un análisis en hoja de cálculo no es rechazado por la norma, pero aumenta el riesgo de inconsistencias metodológicas y dificulta la trazabilidad entre amenazas, riesgos y medidas aplicadas, lo que puede generar observaciones durante la auditoría de conformidad ENAC.

¿Qué es INES y para qué sirve en el proceso de adecuación al ENS?

INES (Instrumento Nacional de Evaluación de la Seguridad) es la herramienta del CCN que permite registrar y verificar el estado de implantación de las medidas del Anexo II del ENS. Genera un informe de estado que refleja el grado de cumplimiento de cada medida, diferenciado por nivel (básico, medio o alto), y sirve de base documental para la declaración de conformidad autoevaluada en sistemas de categoría básica. Para sistemas de categoría media o alta, el informe INES es parte del expediente que se presenta a la entidad auditora acreditada por ENAC.

¿La Diputación de Burgos exige el ENS a sus proveedores en todos los contratos?

La exigencia varía según el tipo de servicio y el pliego de condiciones de cada licitación. La Diputación de Burgos, como administración sujeta al ENS, debe velar por que sus proveedores tecnológicos también cumplan el marco. En la práctica, los contratos de servicios TIC, desarrollo de software, alojamiento de sistemas y tratamiento de datos para la Diputación incluyen cada vez con mayor frecuencia cláusulas que exigen la acreditación ENS del proveedor. No disponer de esa acreditación puede inhabilitar la oferta en la fase de solvencia técnica o generar incumplimientos contractuales durante la ejecución del servicio.

¿Cuántas medidas del Anexo II son obligatorias para un sistema de categoría básica?

El Anexo II del RD 311/2022 organiza 75 medidas en 16 familias y tres marcos (organizativo, operacional y de protección). Para sistemas de categoría básica, no todas las medidas son obligatorias en su nivel máximo: cada medida tiene un nivel de exigencia diferenciado según la categoría del sistema (B/M/A o n.a. cuando no aplica). En la práctica, un sistema de categoría básica tiene que aplicar el nivel básico de las medidas marcadas como exigibles en ese nivel, lo que supone entre 40 y 50 medidas activas según el alcance del sistema. El análisis de riesgos con PILAR determina cuáles aplican en cada caso concreto.

¿Qué diferencia hay entre acompañamiento de Summum Sistemas y contratar una auditoría de certificación ENS?

Summum Sistemas no es una entidad de inspección acreditada por ENAC y no emite certificados de conformidad ENS. Nuestro trabajo es técnico y preparatorio: analizamos riesgos con MAGERIT/PILAR, implantamos las medidas del Anexo II, generamos las evidencias con INES y preparamos el sistema para que supere la auditoría de conformidad. El certificado lo emite el tercero acreditado por ENAC (ISO/IEC 17065) que la empresa contrate. La diferencia práctica es que llegar a esa auditoría con los sistemas técnicamente implantados y el paquete de evidencias preparado reduce notablemente el riesgo de no conformidades y el coste total del proceso.