Ciberseguridad y cumplimiento

Implantación técnica del ENS en Las Palmas de Gran Canaria para proveedores de la Administración

Si tu empresa presta servicios tecnológicos al Gobierno de Canarias, al Cabildo de Gran Canaria, al Ayuntamiento de Las Palmas de Gran Canaria o a la Universidad de Las Palmas de Gran Canaria (ULPGC), el Esquema Nacional de Seguridad (RD 311/2022, BOE-A-2022-7191) exige que tus sistemas de información estén técnicamente adecuados. Summum Sistemas te acompaña desde el plano operativo: análisis de riesgos con metodología MAGERIT, modelado de amenazas con la herramienta PILAR del Centro Criptológico Nacional, implantación de las 75 medidas del Anexo II y generación del paquete de evidencias técnicas para tu declaración o certificación de conformidad. Adecuación real, licitación más sólida ante el sector público canario.

NormativaRD 311/2022 · BOE-A-2022-7191
ÁmbitoProveedores TIC de la Administración en Las Palmas de Gran Canaria
EnfoqueImplantación técnica · MAGERIT · PILAR · INES · Anexo II

El Real Decreto 311/2022, de 3 de mayo, que aprueba el Esquema Nacional de Seguridad, alcanza a mucho más que a la propia Administración: su artículo 2 extiende la obligación de adecuación a los sistemas de información de las entidades privadas que prestan servicios o suministran soluciones tecnológicas a cualquier entidad del sector público sujeta al ENS. En el entorno de Las Palmas de Gran Canaria eso incluye al Gobierno de Canarias —cuya Consejería de Administración Pública tiene competencias directas sobre la transformación digital del sector público regional—, al Cabildo de Gran Canaria, al Ayuntamiento de Las Palmas de Gran Canaria y a la Universidad de Las Palmas de Gran Canaria (ULPGC). Si tus sistemas de información entran en contacto con los de cualquiera de esas entidades —porque les prestas un servicio gestionado, les suministras software, procesas datos de ciudadanos por su cuenta o gestionas infraestructuras de comunicaciones que soportan sus sistemas—, la adecuación al ENS es una obligación legal. La disposición transitoria única del RD 311/2022 fijó el 5 de mayo de 2024 como límite para los sistemas ya existentes; a partir de esa fecha, operar sin adecuación supone un incumplimiento que puede bloquear el acceso a contratos públicos y comprometer la posición de la entidad contratante.

Summum Sistemas aborda la adecuación al ENS desde el ángulo técnico-operativo: la implantación efectiva de las medidas de seguridad del Anexo II del RD 311/2022. Ese Anexo agrupa 75 medidas en tres marcos y dieciséis familias. El marco organizativo establece la política de seguridad, la normativa y los procedimientos de seguridad, el proceso de autorización y la gestión de la adquisición de nuevos componentes. El marco operacional, con sus siete familias —planificación (op.pl), control de acceso (op.acc), explotación (op.exp), servicios externos (op.ext), gestión de incidencias (op.mon), continuidad del servicio (op.cont) y operación en la nube (op.nub)—, recoge las 33 medidas de mayor complejidad técnica, entre ellas las específicas para entornos cloud (op.nub), de alta relevancia en un mercado tecnológico como el canario, donde muchas empresas TIC trabajan con arquitecturas en la nube pública para dar servicio a organismos públicos. Las medidas de protección, en sus nueve familias, cubren instalaciones y entorno físico, gestión del personal, protección de los puestos de trabajo, protección de las comunicaciones, protección de los soportes de información, protección de las aplicaciones informáticas, protección de la información y protección de los servicios.

El análisis de riesgos con metodología MAGERIT y la herramienta PILAR del Centro Criptológico Nacional es el núcleo técnico del proceso de adecuación. MAGERIT permite identificar los activos del sistema de información —hardware, software, datos, servicios, comunicaciones e instalaciones—, valorar las dependencias entre ellos y calcular el impacto que cada amenaza materializada tendría sobre las cinco dimensiones de seguridad CIDAT: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. La herramienta PILAR, desarrollada y distribuida por el CCN, implementa esta metodología en un entorno guiado que genera informes directamente utilizables como evidencia técnica ante los auditores de conformidad. Junto a PILAR, el CCN proporciona INES (Índice Nacional de Evaluación de la Seguridad), que evalúa el nivel de madurez de implantación de cada medida del Anexo II y genera el cuadro de estado que acompaña a la declaración de conformidad o que prepara la auditoría por entidad acreditada ENAC. En Las Palmas de Gran Canaria, las empresas TIC del sector audiovisual, turístico, portuario y de servicios digitales encuentran en este acompañamiento técnico la palanca para diversificar su cartera de clientes incorporando contratos con la Administración Pública canaria sin tener que construir desde cero un equipo de seguridad especializado.

El proceso de Implantación técnica del ENS en Las Palmas de Gran Canaria para proveedores de la Administración.

El proceso · cuatro tiempos
01

Inventario de activos y determinación de la categoría ENS

Levantamos el inventario de activos de información —hardware, software, datos, servicios y comunicaciones— que forman parte del alcance ENS en tu organización, teniendo en cuenta los contratos de prestación de servicios con el Gobierno de Canarias, el Cabildo de Gran Canaria, el Ayuntamiento de Las Palmas de Gran Canaria o la ULPGC. A partir de ese inventario valoramos el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT para cada servicio en alcance y determinamos la categoría del sistema —básica, media o alta— conforme al Anexo I del RD 311/2022. Esta categoría define qué medidas del Anexo II son obligatorias y qué vía de conformidad corresponde: declaración autoevaluada (básica) o certificación por entidad acreditada ENAC (media o alta).

02

Análisis de riesgos con MAGERIT y modelado con PILAR

Ejecutamos el análisis de riesgos siguiendo la metodología MAGERIT v3: identificación y valoración de activos, árbol de dependencias, selección de amenazas del catálogo MAGERIT, estimación de frecuencia e impacto, cálculo del riesgo intrínseco y del riesgo residual tras salvaguardas. El modelado se realiza con la herramienta PILAR del CCN, que genera un informe estructurado de activos, amenazas y riesgos presentable como evidencia técnica ante los auditores de conformidad. El análisis de riesgos justifica la selección proporcional de medidas del Anexo II y es el documento más escrutado en el proceso de conformidad ENS.

03

Evaluación de madurez con INES y mapa de brechas técnicas

Aplicamos el cuestionario INES del CCN para evaluar el nivel de implantación actual de cada medida del Anexo II correspondiente a la categoría del sistema. El resultado es un mapa de madurez por familia de medidas —de L0 (inexistente) a L5 (optimizado)— y una lista priorizada de brechas técnicas con estimación de esfuerzo y dependencias. Este diagnóstico preciso evita sobreimplantar medidas que no corresponden a la categoría asignada y concentra los recursos en los controles que más impactan en el cierre de riesgos reales.

04

Implantación técnica de las medidas del Anexo II

Ejecutamos la implantación de los controles técnicos pendientes: bastionado (hardening) de sistemas operativos y servicios conforme a las guías CCN-STIC (511, 570, 610 y las específicas del fabricante), configuración de mecanismos de control de acceso y autenticación reforzada, implantación de sistemas de registro y monitorización de eventos de seguridad, gestión de vulnerabilidades con ciclo de parcheo documentado, cifrado de comunicaciones y datos en reposo, y configuración de copias de seguridad verificadas conforme a la medida mp.info.9. Para arquitecturas en la nube —habituales en el tejido TIC de Gran Canaria— trabajamos específicamente las medidas de la familia op.nub: evaluación del proveedor cloud, controles de acceso en entorno cloud y gestión de la cadena de suministro de servicios.

Qué incluye

Qué incluye Implantación técnica del ENS en Las Palmas de Gran Canaria para proveedores de la Administración.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de análisis de riesgos MAGERIT con PILAR

    Análisis formal de riesgos conforme a MAGERIT v3, ejecutado con la herramienta PILAR del CCN: inventario de activos, árbol de dependencias, valoración de amenazas e impactos en dimensiones CIDAT y cálculo del riesgo residual. Documento presentable como evidencia técnica ante auditores de conformidad ENS.

  • Evaluación de madurez INES por familia de medidas

    Informe de estado de implantación de las medidas del Anexo II generado con la herramienta INES del CCN, con nivel de madurez por familia (L0–L5) y mapa de brechas priorizado para cerrar antes de la auditoría de conformidad. Incluye las familias de mayor relevancia para servicios cloud (op.nub).

  • Hardening técnico documentado por sistema

    Aplicación de guías CCN-STIC sobre cada sistema operativo, servicio y componente en alcance: configuración de seguridad, eliminación de servicios innecesarios, gestión de privilegios mínimos y registro de cada cambio con versión y fecha. Cubre servidores, puestos de trabajo y componentes de red en alcance.

  • Implantación de monitorización y gestión de eventos

    Configuración de mecanismos de registro, correlación y alerta de eventos de seguridad conforme a las medidas op.mon y op.exp del Anexo II: fuentes de log, política de retención, alertas sobre eventos críticos y procedimiento de respuesta a incidentes técnicos documentado y verificable.

  • Plan y evidencias de gestión de vulnerabilidades

    Ciclo documentado de identificación, evaluación, priorización y remediación de vulnerabilidades técnicas: escaneos periódicos, criterios de priorización por criticidad y categoría ENS, registros de parches aplicados y validación de cierre. Cubre la medida op.exp.3 del Anexo II.

  • Paquete completo de evidencias para conformidad

    Conjunto estructurado de la documentación técnica requerida para la declaración de conformidad (categoría básica, CCN-STIC 809) o para la auditoría por entidad acreditada ENAC (categoría media o alta): informes, capturas, registros, actas y procedimientos ordenados por familia de medida del Anexo II.

Cluster Summum

Cómo se cruza con las hermanas.

La implantación técnica de las medidas del Anexo II que ejecuta Summum Sistemas se coordina con el plano documental y normativo que gestiona Summum Calidad: categorización del sistema, Declaración de Aplicabilidad integrada con ISO 27001, política de seguridad y acompañamiento en el proceso de declaración o certificación de conformidad. Dos equipos, un único proyecto coordinado, cobertura completa del ENS para proveedores del sector público canario.

Preguntas frecuentes sobre Implantación técnica del ENS en Las Palmas de Gran Canaria para proveedores de la Administración.

¿Por qué necesito adecuarme al ENS si soy proveedor del Gobierno de Canarias o del Cabildo de Gran Canaria?

El artículo 2 del RD 311/2022 extiende la obligación del ENS a los sistemas de información de las entidades privadas que prestan servicios a entidades del sector público sujetas al propio ENS. El Gobierno de Canarias, el Cabildo de Gran Canaria, el Ayuntamiento de Las Palmas de Gran Canaria y la ULPGC son Administraciones Públicas sujetas al ENS. Si tus sistemas de información entran en contacto con los de cualquiera de estas entidades —porque les prestas un servicio, les suministras software o procesas datos de ciudadanos por su cuenta—, la adecuación al ENS es obligatoria y puede ser exigida en los pliegos de contratación pública. La disposición transitoria única del RD 311/2022 fijó el 5 de mayo de 2024 como límite para sistemas ya existentes.

¿Qué organismos públicos de Las Palmas de Gran Canaria requieren ENS a sus proveedores?

Cualquier entidad del sector público sujeta al ENS puede exigir adecuación a sus proveedores TIC. En Las Palmas de Gran Canaria los principales organismos contratantes son el Gobierno de Canarias (y sus consejerías, como la Consejería de Administración Pública, Justicia y Seguridad), el Cabildo de Gran Canaria, el Ayuntamiento de Las Palmas de Gran Canaria y la Universidad de Las Palmas de Gran Canaria (ULPGC). También se incluyen organismos autónomos y entes instrumentales de estas instituciones que gestionan sistemas de información propios. El ENS no distingue entre territorio peninsular e insular: la obligación y los requisitos técnicos son idénticos en Canarias que en el resto del Estado.

¿Tiene alguna particularidad la adecuación al ENS en Canarias respecto al resto de España?

Desde el punto de vista normativo el ENS es idéntico en todo el territorio nacional, incluido el archipiélago canario. El RD 311/2022 no establece ninguna excepción territorial ni régimen especial para Canarias. Sin embargo, el contexto económico sí tiene particularidades relevantes para la contratación: las empresas radicadas en Canarias tributan por el Impuesto General Indirecto Canario (IGIC) en lugar del IVA, lo que afecta a la estructura de costes de los proyectos de adecuación pero no a los requisitos técnicos del ENS. Tampoco afecta al IGIC la obligación de adecuación ni a la forma en que se documentan las evidencias o se acredita la conformidad ante los auditores.

¿Qué es MAGERIT y por qué es la metodología de referencia para el ENS?

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es el método de análisis de riesgos elaborado por el CCN y mantenido por el Ministerio de Hacienda y Función Pública. El ENS exige que la selección de medidas del Anexo II se sustente en un análisis formal de riesgos proporcional a la categoría del sistema. MAGERIT es la metodología de referencia del CCN para ese análisis en el contexto de la Administración española: permite identificar activos, modelar amenazas del catálogo oficial y calcular el riesgo residual de forma estructurada y trazable. Los auditores de conformidad ENS están familiarizados con sus informes, lo que facilita el proceso de declaración o certificación.

¿Cuántas medidas tiene el Anexo II del ENS y cuáles me afectan?

El Anexo II del RD 311/2022 recoge 75 medidas en tres marcos y dieciséis familias: el marco organizativo (4 medidas), el marco operacional con 7 familias y 33 medidas —incluida la familia op.nub para servicios en la nube, especialmente relevante para empresas TIC que usan infraestructura cloud— y las medidas de protección con 9 familias y 38 medidas. Qué medidas son obligatorias para tu empresa depende de la categoría del sistema (básica, media o alta) que resulte del análisis de impacto CIDAT. Summum Sistemas realiza el diagnóstico inicial que determina exactamente el subconjunto aplicable a tu caso, evitando tanto la sobreimplantación innecesaria como las brechas que puedan generar no conformidades.

¿Summum Sistemas emite la certificación o declaración de conformidad ENS?

No. Para sistemas de categoría básica, la declaración de conformidad la emite la propia organización de forma autoevaluada conforme al procedimiento de la CCN-STIC 809. Para sistemas de categoría media o alta, la certificación de conformidad la emite una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Sistemas no emite ningún certificado de conformidad; lo que hacemos es implantar técnicamente las medidas del Anexo II, ejecutar el análisis de riesgos MAGERIT con PILAR, evaluar el estado con INES y generar el paquete de evidencias que tus sistemas necesitan para superar ese proceso con las mayores garantías.