Ciberseguridad y cumplimiento

Implantación técnica del ENS en Salamanca

La Diputación Provincial de Salamanca, el Ayuntamiento de Salamanca y la Universidad de Salamanca (USAL) están sujetos al Esquema Nacional de Seguridad regulado por el RD 311/2022 (BOE-A-2022-7191). Si tu empresa quiere licitar o prestar servicios tecnológicos a cualquiera de estos organismos, sus sistemas de información deben adecuarse al ENS con la misma exigencia que los del propio ente público. Summum Sistemas aborda esa adecuación desde el plano técnico-operativo: análisis de riesgos con metodología MAGERIT, modelado con las herramientas del Centro Criptológico Nacional (PILAR, INES), hardening de sistemas y aplicación de las 75 medidas del Anexo II del RD 311/2022. Sin inventar oficinas ni prometer certificaciones que sólo pueden emitir entidades acreditadas por ENAC.

NormativaRD 311/2022 · BOE-A-2022-7191
PerfilProveedores tecnológicos del sector público de Salamanca
MetodologíaMAGERIT · PILAR · INES · Anexo II ENS

El RD 311/2022, de 3 de mayo, extiende el Esquema Nacional de Seguridad más allá de las propias administraciones: toda entidad privada cuyos sistemas de información traten, transporten o soporten servicios del sector público queda obligada a adecuarse al mismo nivel de exigencia que la Administración contratante. En el entorno de Salamanca, esto afecta de forma directa a empresas que prestan servicios de software, infraestructura, telecomunicaciones, mantenimiento de redes o procesamiento de datos a la Diputación Provincial de Salamanca, al Ayuntamiento de Salamanca o a la Universidad de Salamanca, institución que, al pertenecer al sector público universitario español, también está sujeta al ENS con plena vigencia. El plazo general para adecuar los sistemas ya existentes finalizó el 5 de mayo de 2024; los sistemas puestos en marcha con posterioridad deben cumplir desde el primer día de operación. Operar fuera del ENS no sólo expone a la empresa a incumplimientos normativos, sino que puede impedir directamente el acceso a nuevas licitaciones del sector público salmantino.

El punto de partida técnico de cualquier proyecto de adecuación al ENS es el análisis de riesgos sobre los sistemas en alcance. El ENS no impone una metodología concreta, pero reconoce expresamente MAGERIT —la metodología elaborada por el Consejo Superior de Administración Electrónica— como referencia de facto del sector público español. Summum Sistemas trabaja con MAGERIT v3 para identificar y valorar activos, amenazas y vulnerabilidades, calcular el riesgo intrínseco y residual, y documentar las decisiones de tratamiento. Ese análisis se modeliza con PILAR, la herramienta del Centro Criptológico Nacional, que genera automáticamente los informes de riesgo en el formato que exigen tanto las entidades del sector público como las entidades de inspección acreditadas por ENAC que certifican los sistemas de categoría media y alta. INES, también del CCN, complementa el análisis permitiendo evaluar el grado de cumplimiento del ENS de forma estructurada y exportable.

El Anexo II del RD 311/2022 organiza las medidas de seguridad en tres marcos —organizativo, operacional y de protección— que articulan 16 familias y un total de 75 medidas. Para cada categoría de sistema —básica, media o alta— el Anexo determina qué medidas son obligatorias y en qué nivel de refuerzo (r1, r2 o r3). Desde Summum Sistemas nos ocupamos de la implantación técnica de las medidas operacionales y de protección: políticas de control de acceso (op.acc), gestión de la continuidad (op.cont), protección de comunicaciones (mp.com), protección de los soportes de información (mp.si), protección de los servicios (mp.s) y, especialmente, la familia op.nub, que regula la utilización de servicios de computación en nube y que resulta crítica para proveedores que alojan sus soluciones en infraestructura cloud. La implantación de controles técnicos se complementa con la preparación del paquete de evidencias —registros, logs, resultados de análisis de vulnerabilidades— que el auditor de conformidad necesita revisar para verificar que las medidas están efectivamente operativas, no sólo documentadas.

El proceso de Implantación técnica del ENS en Salamanca.

El proceso · cuatro tiempos
01

Categorización del sistema y alcance MAGERIT

Identificamos los sistemas de información que entran en el alcance ENS: aplicaciones, infraestructura, servicios cloud y comunicaciones que soporten o traten información del sector público salmantino. Determinamos la categoría del sistema —básica, media o alta— valorando el impacto en las cinco dimensiones CIDAT conforme al Anexo I del RD 311/2022. Paralelamente, iniciamos el inventario de activos MAGERIT: activos esenciales (servicios e información), activos de soporte (hardware, software, instalaciones, personal) y dependencias entre ellos, que servirán de base para el análisis de riesgos.

02

Análisis de riesgos con MAGERIT y modelado en PILAR

Valoramos activos, amenazas y vulnerabilidades según la metodología MAGERIT v3, calculamos el riesgo intrínseco y residual, y documentamos los criterios de aceptación de riesgo aprobados por la dirección. El análisis se modela en PILAR para generar los informes en formato CCN: perfil de riesgo del sistema, indicadores de cumplimiento del Anexo II y mapa de brechas priorizado. INES se utiliza para autoevaluar el nivel de madurez del ENS antes de iniciar la implantación, de modo que el esfuerzo se concentra donde el gap es mayor.

03

Implantación de medidas técnicas del Anexo II

Aplicamos las medidas del Anexo II que corresponden a la categoría del sistema: hardening de sistemas operativos y servicios según las guías CCN-STIC, configuración de controles de acceso y gestión de privilegios (op.acc), implantación o revisión de la gestión de claves criptográficas (mp.si), configuración de la monitorización y gestión de eventos de seguridad (op.mon), y adecuación de los servicios cloud al perfil op.nub del ENS, incluyendo la verificación del nivel de conformidad ENS del proveedor cloud utilizado.

04

Preparación del paquete de evidencias técnicas

Estructuramos el paquete de evidencias que acredita la implantación real de los controles técnicos: resultados de análisis de vulnerabilidades, informes de hardening, registros de eventos de seguridad, actas de pruebas de continuidad y recuperación, y trazas de gestión de usuarios y accesos. Todo queda organizado según el índice de evidencias que los auditores de conformidad ENS esperan revisar. La documentación técnica se coordina con el paquete normativo y organizativo que complementa Summum Calidad cuando el proyecto es integrado.

Qué incluye

Qué incluye Implantación técnica del ENS en Salamanca.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Inventario de activos y análisis de riesgos MAGERIT v3

    Identificación y valoración de activos esenciales y de soporte, análisis de amenazas y vulnerabilidades, cálculo de riesgo intrínseco y residual, y documentación de las decisiones de tratamiento, todo conforme a la metodología MAGERIT v3 reconocida por el CCN.

  • Modelado en PILAR e informes CCN

    Modelado del análisis de riesgos en la herramienta PILAR del Centro Criptológico Nacional, generando los informes de riesgo y cumplimiento ENS en el formato que exigen los auditores de conformidad y las entidades de inspección acreditadas por ENAC.

  • Autoevaluación de madurez ENS con INES

    Evaluación inicial del nivel de cumplimiento del Anexo II mediante la herramienta INES del CCN, que permite identificar las brechas de mayor impacto antes de iniciar la implantación y concentrar el esfuerzo donde el riesgo de no conformidad es más elevado.

  • Hardening y controles técnicos del Anexo II

    Implantación de las medidas técnicas del Anexo II: hardening de sistemas y servicios según guías CCN-STIC, configuración de controles de acceso (op.acc), gestión de claves criptográficas (mp.si), monitorización de eventos (op.mon) y adecuación de servicios cloud al perfil op.nub del ENS.

  • Paquete de evidencias técnicas para la auditoría

    Estructuración del paquete completo de evidencias técnicas: resultados de análisis de vulnerabilidades, informes de hardening, registros de eventos, actas de pruebas de continuidad y trazas de gestión de accesos, organizadas según el índice de revisión de los auditores de conformidad.

  • Revisión técnica pre-auditoría (categoría media y alta)

    Para sistemas de categoría media o alta, revisión interna que simula el escrutinio de la entidad acreditada ENAC: cobertura de cada medida del Anexo II, detección de desviaciones técnicas y corrección antes de la auditoría de conformidad, minimizando el riesgo de no conformidades.

Cluster Summum

Cómo se cruza con las hermanas.

La implantación técnica de las medidas del Anexo II que ejecuta Summum Sistemas se integra con el plano normativo y documental que desarrolla Summum Calidad: análisis de riesgos MAGERIT como base para el SGSI, evidencias técnicas que sostienen la Declaración de Aplicabilidad, y un único proyecto coordinado que cubre tanto la ingeniería de seguridad como el sistema de gestión. Para proveedores del sector público de Salamanca que necesitan también ISO 27001, los dos equipos trabajamos en paralelo desde el primer día.

Preguntas frecuentes sobre Implantación técnica del ENS en Salamanca.

¿Por qué la Universidad de Salamanca (USAL) arrastra la obligación del ENS a sus proveedores?

La USAL es una universidad pública integrada en el sector público universitario español y, como tal, está sujeta al ámbito de aplicación del ENS definido en el artículo 2 del RD 311/2022. Cuando la USAL contrata servicios tecnológicos —software de gestión académica, infraestructura cloud, mantenimiento de sistemas o procesamiento de datos— los sistemas del proveedor que entran en contacto con los de la universidad quedan obligados al mismo nivel de adecuación ENS que corresponda al sistema universitario afectado. Operar sin esa adecuación puede impedir a la empresa ser adjudicataria de nuevos contratos con la USAL o con cualquier otro organismo público salmantino.

¿Qué diferencia hay entre la implantación técnica que hace Summum Sistemas y el acompañamiento normativo de Summum Calidad?

Summum Sistemas se ocupa del plano técnico-operativo: análisis de riesgos con MAGERIT, modelado en PILAR, hardening de sistemas, configuración de controles de acceso y monitorización, adecuación de servicios cloud al perfil op.nub del ENS, y preparación del paquete de evidencias técnicas. Summum Calidad se ocupa del plano normativo y documental: sistema de gestión de la seguridad de la información, Declaración de Aplicabilidad, política de seguridad conforme al artículo 12 del RD 311/2022 y coordinación de la declaración o certificación de conformidad. En un proyecto integrado, ambos equipos trabajan en paralelo para que la ingeniería de seguridad y el sistema de gestión sean coherentes y no generen duplicidades.

¿Qué herramientas del CCN se utilizan en el proyecto y para qué sirven?

Utilizamos principalmente PILAR e INES, ambas desarrolladas por el Centro Criptológico Nacional. PILAR es la herramienta de análisis y gestión de riesgos que implementa la metodología MAGERIT: permite modelar activos, amenazas y vulnerabilidades, calcular el riesgo intrínseco y residual, y generar los informes de riesgo y cumplimiento ENS en el formato que exigen los auditores de conformidad. INES es la herramienta de autoevaluación del ENS: permite medir el grado de cumplimiento de cada medida del Anexo II antes de iniciar la implantación, identificar las brechas de mayor impacto y generar el informe de madurez que sirve de punto de partida para el plan de trabajo.

¿Qué es la familia op.nub del Anexo II y por qué es relevante para proveedores de Salamanca?

La familia op.nub (utilización de servicios en la nube) es una de las siete familias del marco operacional del Anexo II del RD 311/2022. Regula los requisitos que deben cumplir los servicios de computación en nube utilizados en sistemas sujetos al ENS: el proveedor cloud debe tener su propio nivel de conformidad ENS o equivalente, y el cliente —en este caso el proveedor tecnológico del sector público salmantino— debe verificar y documentar esa conformidad. Es una familia especialmente relevante porque muchos proveedores de la Diputación, el Ayuntamiento o la USAL alojan sus soluciones en infraestructura cloud pública o privada, y la adecuación al ENS exige que esa capa también cumpla los requisitos de la norma.

¿Cuánto dura un proyecto de implantación técnica del ENS para un proveedor del sector público de Salamanca?

La duración depende de la categoría del sistema, la complejidad de la infraestructura y el punto de partida en materia de seguridad. Para sistemas de categoría básica con infraestructura relativamente sencilla, el análisis MAGERIT, la implantación de medidas del Anexo II y la preparación del paquete de evidencias puede completarse en tres a cinco meses. Para categoría media o alta, con sistemas más complejos o con componentes cloud extensos, el proyecto suele requerir entre ocho y catorce meses. En ambos casos, el plazo se reduce significativamente si la empresa ya tiene implantadas prácticas de seguridad documentadas, incluso sin certificación ISO 27001.

¿Summum Sistemas puede certificar o auditar oficialmente el cumplimiento del ENS?

No. La certificación de conformidad del ENS para sistemas de categoría media o alta sólo puede emitirla una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Para sistemas de categoría básica, la declaración de conformidad autoevaluada la emite la propia organización según el procedimiento de la CCN-STIC 809. Summum Sistemas no es una entidad acreditada por ENAC ni actúa como auditora de conformidad: nuestro papel es preparar los sistemas desde el plano técnico para que superen ese proceso con las mayores garantías, no emitir el certificado.