Ciberseguridad y cumplimiento

Implantación técnica del ENS en Tenerife

El Cabildo de Tenerife, el Ayuntamiento de Santa Cruz de Tenerife, la Universidad de La Laguna y los municipios del archipiélago están sujetos al Esquema Nacional de Seguridad. Sus proveedores de tecnología, software y servicios digitales también lo están: el RD 311/2022 (BOE-A-2022-7191) exige que los sistemas de información de las entidades contratistas se adecúen al mismo nivel que los de la Administración con la que trabajan. Summum Sistemas acompaña a las empresas tecnológicas de Tenerife en la dimensión que más les exige el ENS: el plano técnico. Análisis de riesgos con metodología MAGERIT, modelado de activos y amenazas con la herramienta PILAR del CCN, implantación de las 75 medidas del Anexo II y preparación de la evidencia técnica que exige la auditoría de conformidad. Sin invención de cifras, sin oficinas ficticias: acompañamiento real en el terreno técnico y operativo.

NormativaRD 311/2022 · BOE-A-2022-7191
PerfilProveedores tecnológicos de la Administración en Tenerife
EnfoqueImplantación técnica: MAGERIT · PILAR · INES · Anexo II

El Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022 de 3 de mayo, no es únicamente un marco documental: su Anexo II recoge 75 medidas de seguridad distribuidas en tres marcos —organizativo, operacional y de protección— y 16 familias. La familia operacional incluye 7 subfamilias y 33 medidas, entre ellas op.nub (seguridad en servicios en la nube), que resulta especialmente relevante para las empresas tecnológicas que sirven infraestructura cloud a organismos públicos canarios. Para un proveedor del Cabildo de Tenerife o del Ayuntamiento de Santa Cruz, la adecuación al ENS no termina cuando se aprueba una política de seguridad: empieza de verdad cuando se implantan, verifican y documentan las medidas técnicas que sostienen esa política.

Tenerife concentra una parte significativa del sector público canario: el Cabildo de Tenerife como administración insular de referencia, el Ayuntamiento de Santa Cruz de Tenerife como capital de la comunidad autónoma, la Universidad de La Laguna (ULL) con sus sistemas de gestión académica e investigación, y decenas de municipios con sus propios servicios digitales. Las empresas que quieren licitar o seguir siendo proveedoras de estos organismos deben acreditar su adecuación al ENS en la categoría que corresponda a los sistemas que gestionan. El régimen económico especial de Canarias —con IGIC en lugar de IVA— no altera esta obligación: el ENS rige por igual en todo el territorio nacional, incluidas las islas.

Summum Sistemas aborda la adecuación desde el ángulo que define el trabajo real de implantación técnica. El primer paso es el análisis de riesgos con metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), el marco oficial del CCN para identificar activos, valorar amenazas, estimar el impacto y calcular el riesgo residual. Sobre ese análisis se construye la selección proporcional de medidas del Anexo II, con el apoyo de PILAR, la herramienta desarrollada por el Centro Criptológico Nacional que automatiza la valoración de activos y el cálculo de riesgo según MAGERIT, y de INES, la herramienta del CCN para la autoevaluación del cumplimiento del ENS. La combinación de metodología y herramientas oficiales garantiza que el análisis sea trazable, repetible y aceptado por los auditores de conformidad acreditados por ENAC.

El proceso de Implantación técnica del ENS en Tenerife.

El proceso · cuatro tiempos
01

Inventario de activos y análisis de riesgos MAGERIT

Levantamos el inventario completo de activos de información —sistemas, servicios, datos, aplicaciones, infraestructura— que entran en el alcance del ENS para los contratos con organismos públicos de Tenerife: Cabildo, ayuntamientos, ULL u otras entidades del sector público canario. Sobre ese inventario aplicamos la metodología MAGERIT v3 para valorar cada activo en las cinco dimensiones CIDAT, identificar las amenazas pertinentes según el catálogo del CCN y calcular el riesgo inherente y residual. El resultado es el informe de análisis de riesgos que fundamenta todas las decisiones técnicas posteriores y que los auditores de conformidad consideran el documento nuclear del expediente ENS.

02

Modelado con PILAR e informe INES

Ejecutamos el análisis en PILAR (herramienta oficial del CCN), introduciendo los activos, sus dependencias y su valoración CIDAT para obtener el perfil de seguridad requerido y la selección automática de medidas del Anexo II proporcionales al riesgo y a la categoría del sistema. Paralelamente, completamos la herramienta INES con el estado actual de cumplimiento de cada medida para obtener un mapa de brecha preciso: qué está implantado, qué está parcialmente cubierto y qué falta por acometer, con el nivel de madurez de cada control según la escala L0–L5.

03

Implantación de medidas técnicas del Anexo II

Ejecutamos la implantación de las medidas técnicas pendientes en los tres marcos del Anexo II: en el marco operacional, configuramos los controles de acceso (op.acc), la explotación segura de los sistemas (op.exp), la continuidad del servicio (op.cont) y la monitorización de eventos de seguridad (op.mon); en el marco de protección, aplicamos el hardening de dispositivos (mp.com, mp.si), la protección de las comunicaciones (mp.com) y el cifrado de la información sensible (mp.info); en lo que respecta a servicios en la nube (op.nub), verificamos que el modelo de responsabilidad compartida con el proveedor cloud está documentado y que los controles aplicables al arrendatario están efectivamente implantados.

04

Ciberseguridad operativa: monitorización y respuesta

La adecuación al ENS no es un proyecto de un solo disparo: la norma exige vigilancia continua. Configuramos o revisamos los mecanismos de monitorización de eventos de seguridad (SIEM, registros de auditoría, alertas de anomalías) y establecemos los procedimientos de gestión de incidentes conforme al Esquema. Cuando el organismo público contratante —Cabildo, ayuntamiento, ULL— exige notificación de incidentes al CCN-CERT, verificamos que el proveedor tiene los canales y procedimientos necesarios para cumplir ese requisito en los plazos que marca la normativa.

Qué incluye

Qué incluye Implantación técnica del ENS en Tenerife.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de análisis de riesgos MAGERIT con PILAR

    Documento de análisis de riesgos elaborado con metodología MAGERIT v3 y ejecutado en la herramienta PILAR del CCN: inventario de activos valorados en dimensiones CIDAT, identificación de amenazas del catálogo CCN, cálculo de riesgo inherente y residual, y perfil de seguridad requerido para los sistemas en alcance con organismos públicos de Tenerife.

  • Informe de brecha INES con mapa de madurez L0–L5

    Resultado de la autoevaluación en la herramienta INES del CCN: estado actual de cada medida del Anexo II para el sistema evaluado, nivel de madurez L0–L5 por control, brecha respecto al perfil requerido y priorización del plan de cierre según impacto en la categoría del sistema.

  • Implantación técnica documentada de medidas del Anexo II

    Registro de la configuración e implantación de los controles técnicos de los tres marcos del Anexo II: hardening de sistemas operativos y servicios, configuración de controles de acceso, monitorización de eventos, protección de comunicaciones y cifrado, con evidencias trazables de cada medida implantada.

  • Procedimientos de gestión de incidentes y monitorización

    Procedimientos operativos de seguridad (SOP) para la detección, clasificación, respuesta y notificación de incidentes de seguridad, incluyendo los canales de comunicación con el CCN-CERT cuando el contrato con el organismo público canario lo exige, y los umbrales de alerta del sistema de monitorización.

  • Informe de cumplimiento op.nub para servicios cloud

    Para proveedores que sirven infraestructura o plataforma cloud a organismos como el Cabildo de Tenerife o la ULL: análisis del modelo de responsabilidad compartida, verificación de los controles op.nub del Anexo II aplicables al arrendatario y documentación del acuerdo de seguridad con el proveedor cloud.

  • Paquete de evidencias técnicas para auditoría de conformidad

    Expediente estructurado de evidencias técnicas listo para presentar ante una entidad acreditada por ENAC (categoría media o alta) o para sustentar la declaración de conformidad autoevaluada (categoría básica): capturas de configuración, registros de auditoría, resultados de análisis de vulnerabilidades y actas de revisión de controles.

Preguntas frecuentes sobre Implantación técnica del ENS en Tenerife.

¿El ENS obliga a las empresas que solo trabajan con el Cabildo de Tenerife o con ayuntamientos canarios?

Sí. El artículo 2 del RD 311/2022 establece que el ENS aplica a las entidades del sector público y a los sistemas de información de los proveedores que les presten servicios o suministren soluciones. El Cabildo de Tenerife, los ayuntamientos de la isla y la Universidad de La Laguna son entidades del sector público sujetas al ENS. Sus contratistas tecnológicos —empresas de software, servicios en la nube, mantenimiento de sistemas, procesamiento de datos— deben adecuarse al mismo nivel que los sistemas de la Administración con la que trabajan. El régimen fiscal especial de Canarias (IGIC en lugar de IVA) no modifica esta obligación: el ENS es normativa estatal y rige en todo el territorio nacional, incluido el archipiélago.

¿Qué es MAGERIT y por qué el CCN la exige para el análisis de riesgos del ENS?

MAGERIT es la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por el Ministerio de Administraciones Públicas y mantenida por el CCN. El RD 311/2022 no obliga a usar MAGERIT de forma explícita, pero la guía CCN-STIC 803 (Valoración de sistemas en el ENS) establece MAGERIT como la referencia metodológica oficial para el análisis de riesgos y la categorización del sistema. La herramienta PILAR, desarrollada por el CCN, implementa MAGERIT de forma automatizada y genera los informes de riesgo en el formato que los auditores de conformidad acreditados por ENAC esperan encontrar. Usar MAGERIT y PILAR no es obligatorio por ley, pero es la vía que garantiza trazabilidad, reproducibilidad y aceptación en el proceso de certificación.

¿Qué diferencia hay entre la declaración de conformidad básica y la certificación ENAC?

Para sistemas de categoría básica, la organización puede autoevaluar su cumplimiento del ENS y emitir una declaración de conformidad propia, siguiendo el procedimiento de la CCN-STIC 809. No requiere un tercero externo: la responsabilidad es de la propia organización. Para sistemas de categoría media o alta, la conformidad debe certificarla una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Sistemas no emite ningún certificado de conformidad —eso es competencia exclusiva de las entidades acreditadas por ENAC—; nuestro papel es preparar los sistemas para que superen ese proceso con las evidencias técnicas en orden.

¿La seguridad en la nube (op.nub) es una exigencia relevante para proveedores de la ULL o del Cabildo de Tenerife?

Sí, y cada vez más. La familia op.nub del Anexo II del ENS regula los requisitos de seguridad cuando los sistemas en alcance utilizan infraestructura, plataforma o software como servicio de terceros. Para un proveedor que sirve una aplicación SaaS al Cabildo de Tenerife o a la Universidad de La Laguna y que tiene esa aplicación alojada en un proveedor cloud, op.nub exige documentar el modelo de responsabilidad compartida, verificar los controles aplicables al arrendatario y asegurarse de que el proveedor cloud dispone de las certificaciones o informes de seguridad (como el Esquema Nacional de Seguridad para proveedores cloud del CCN) que permiten confiar en la cadena de custodia. Summum Sistemas revisa y documenta este aspecto como parte de la implantación técnica.

¿Cuánto tiempo lleva la implantación técnica del ENS para un proveedor tecnológico de tamaño mediano en Tenerife?

Depende de la categoría del sistema, el grado de madurez técnica previo y el número de sistemas en alcance. Para un proveedor con sistemas de categoría básica y prácticas de seguridad parcialmente implantadas, la implantación técnica puede completarse en tres a cinco meses. Para categoría media, con sistemas más complejos y sin hardening previo documentado, el plazo habitual está entre seis y doce meses, incluyendo el análisis MAGERIT/PILAR, la implantación de medidas técnicas y la compilación del paquete de evidencias. En todos los casos, la coordinación con Summum Calidad para el plano documental se hace en paralelo, sin alargar el plazo total.

¿Pueden las empresas del sector tecnológico de Canarias usar el IGIC en los contratos de adecuación al ENS con organismos públicos?

El régimen del IGIC (Impuesto General Indirecto Canario) aplica a las empresas establecidas en Canarias que prestan servicios en el archipiélago. En los contratos entre una empresa tecnológica canaria y un organismo público canario (Cabildo, ayuntamiento, ULL), la facturación se rige por las normas del IGIC, no del IVA peninsular. Esto afecta a la fiscalidad de los servicios de implantación técnica del ENS que Summum Sistemas presta en Tenerife, pero no modifica ni el contenido de los requisitos del ENS ni el calendario de adecuación. El RD 311/2022 rige en todo el territorio nacional con independencia del régimen fiscal autonómico.