Ciberseguridad y cumplimiento

Implantación técnica del ENS en Valladolid para proveedores de la Administración

Si tu empresa presta servicios tecnológicos a la Junta de Castilla y León, a la Diputación Provincial de Valladolid, al Ayuntamiento de Valladolid o a la Universidad de Valladolid, el Esquema Nacional de Seguridad (RD 311/2022, BOE-A-2022-7191) te exige adecuar tus sistemas de información a sus requisitos técnicos. Summum Sistemas te acompaña en ese proceso desde el plano operativo: análisis de riesgos con metodología MAGERIT, modelado de amenazas con la herramienta PILAR del CCN, implantación de las 75 medidas técnicas del Anexo II y generación del paquete de evidencias que necesitas para la declaración o certificación de conformidad. Licitación más sólida, seguridad real en tus sistemas.

NormativaRD 311/2022 · BOE-A-2022-7191
ÁmbitoProveedores TIC de la Administración en Valladolid
EnfoqueImplantación técnica · MAGERIT · PILAR · INES · Anexo II

El Real Decreto 311/2022, de 3 de mayo, que aprueba el Esquema Nacional de Seguridad, no es una norma exclusiva del sector público: su artículo 2 extiende la obligación de adecuación a los sistemas de información de las entidades privadas que presten servicios o suministren soluciones a las entidades del sector público sujetas al ENS. En el entorno de Valladolid eso significa que cualquier empresa proveedora de la Junta de Castilla y León —cuya sede central radica en la ciudad—, de la Diputación Provincial de Valladolid, del Ayuntamiento de Valladolid o de la Universidad de Valladolid debe adecuar sus sistemas antes de poder operar o licitar. La disposición transitoria única fijó el 5 de mayo de 2024 como fecha límite para los sistemas ya existentes; a partir de ese momento, operar sin adecuación supone un incumplimiento que puede bloquear el acceso a contratos públicos.

Summum Sistemas aborda la adecuación desde el ángulo que le es propio: la implantación técnica de las medidas de seguridad del Anexo II del RD 311/2022. Ese Anexo recoge 75 medidas organizadas en tres marcos —marco organizativo, marco operacional y medidas de protección— y dieciséis familias, siete de ellas dentro del bloque operacional, que incluye la familia op.nub específica para servicios en la nube. No basta con redactar políticas: hay que configurar sistemas, endurecer servicios, implantar monitorización, gestionar vulnerabilidades y demostrar que cada medida está efectivamente aplicada con evidencias técnicas verificables.

El análisis de riesgos es el núcleo del proceso. El ENS exige que la selección y proporcionalidad de las medidas de seguridad se base en un análisis formal de los riesgos a los que están expuestos los sistemas en alcance. Summum Sistemas emplea la metodología MAGERIT —la referencia oficial del CCN para el análisis de riesgos en el contexto de la Administración Pública española— y la apoya con la herramienta PILAR del propio CCN, que permite modelar activos, amenazas, vulnerabilidades e impactos de forma estructurada y generar los informes que los auditores de conformidad esperan encontrar. Para la evaluación del estado de implantación de las medidas, empleamos además INES (Informe Nacional del Estado de Seguridad), el instrumento de autoevaluación del CCN que proporciona un cuadro de madurez por familia y medida. El resultado es un análisis técnico trazable, referenciado a la normativa y presentable ante cualquier entidad acreditada por ENAC.

El proceso de Implantación técnica del ENS en Valladolid para proveedores de la Administración.

El proceso · cuatro tiempos
01

Inventario de activos y determinación de la categoría ENS

Levantamos el inventario de activos de información —hardware, software, datos, servicios y comunicaciones— que forman parte del alcance del ENS en tu organización. A partir de ese inventario valoramos el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) para cada servicio prestado a la Administración, y determinamos la categoría del sistema —básica, media o alta— conforme al Anexo I del RD 311/2022. Esta categoría es el punto de partida que determina qué medidas del Anexo II son obligatorias y qué vía de conformidad debes seguir.

02

Análisis de riesgos con MAGERIT y modelado con PILAR

Ejecutamos el análisis de riesgos siguiendo la metodología MAGERIT v3 del CCN: identificación de activos, dependencias, amenazas aplicables del catálogo MAGERIT, valoración de frecuencia e impacto, y cálculo del riesgo residual tras la aplicación de salvaguardas. El modelado lo realizamos con la herramienta PILAR del CCN, que genera un informe estructurado de activos, amenazas y riesgos directamente utilizable como evidencia técnica en el proceso de conformidad ENS. El resultado es la base objetiva sobre la que se seleccionan y priorizan las medidas del Anexo II.

03

Evaluación de madurez con INES y mapa de brechas técnicas

Aplicamos el cuestionario INES (Informe Nacional del Estado de Seguridad) para evaluar el nivel de implantación actual de cada una de las 75 medidas del Anexo II en las familias que corresponden a la categoría asignada. El resultado es un mapa de madurez por familia —desde L0 (inexistente) hasta L5 (optimizado)— y una lista priorizada de brechas técnicas que hay que cerrar, con estimación de esfuerzo y dependencias entre medidas. Así sabes exactamente en qué estado estás y qué tienes que hacer, sin atajos y sin sobreimplantar.

04

Implantación técnica de las medidas del Anexo II

Ejecutamos la implantación de las medidas técnicas pendientes: hardening de sistemas operativos y servicios conforme a las guías CCN-STIC (511, 570, 610 y las específicas del fabricante), configuración de mecanismos de control de acceso y autenticación reforzada, implantación de sistemas de registro y monitorización de eventos de seguridad, gestión de vulnerabilidades con ciclo de parcheo documentado, cifrado de comunicaciones y almacenamiento, y configuración de copias de seguridad conforme a la medida mp.info.9 del Anexo II. Para servicios en la nube, trabajamos las medidas de la familia op.nub: evaluación del proveedor, gestión de la cadena de suministro y controles de acceso específicos del entorno cloud.

Qué incluye

Qué incluye Implantación técnica del ENS en Valladolid para proveedores de la Administración.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de análisis de riesgos MAGERIT con PILAR

    Análisis formal de riesgos conforme a MAGERIT v3, ejecutado con la herramienta PILAR del CCN: inventario de activos, árbol de dependencias, valoración de amenazas e impactos y cálculo del riesgo residual. Documento presentable como evidencia técnica ante auditores de conformidad ENS.

  • Evaluación de madurez INES por familia de medidas

    Informe de estado de implantación de las medidas del Anexo II generado con la herramienta INES del CCN, con nivel de madurez por familia (L0-L5) y mapa de brechas priorizado para cerrar antes de la auditoría de conformidad.

  • Hardening técnico documentado por sistema

    Aplicación de las guías CCN-STIC pertinentes sobre cada sistema operativo, servicio y componente en alcance: configuración de seguridad, eliminación de servicios innecesarios, gestión de privilegios mínimos y evidencia de cada cambio aplicado con registro de versión y fecha.

  • Implantación de monitorización y gestión de eventos

    Configuración de los mecanismos de registro, correlación y alerta de eventos de seguridad conforme a las medidas op.mon y op.exp del Anexo II: fuentes de log, retención, alertas sobre eventos críticos y procedimiento de respuesta a incidentes técnicos documentado.

  • Plan y evidencias de gestión de vulnerabilidades

    Ciclo documentado de identificación, evaluación, priorización y remediación de vulnerabilidades técnicas: escaneos periódicos, criterios de priorización por criticidad y categoría ENS, registros de parches aplicados y validación de cierre. Cubre la medida op.exp.3 del Anexo II.

  • Paquete completo de evidencias para conformidad

    Conjunto estructurado de toda la documentación técnica requerida para la declaración de conformidad (categoría básica, conforme a CCN-STIC 809) o para la auditoría por entidad acreditada ENAC (categoría media o alta): informes, capturas, registros, actas y procedimientos ordenados por familia de medida.

Cluster Summum

Cómo se cruza con las hermanas.

La implantación técnica de las medidas del Anexo II se complementa con el plano documental y normativo que gestiona Summum Calidad: política de seguridad, Declaración de Aplicabilidad integrada con ISO 27001 y preparación de la declaración o certificación de conformidad. Los dos equipos trabajan de forma coordinada en un único proyecto, sin duplicidades y con un interlocutor único para el cliente.

Preguntas frecuentes sobre Implantación técnica del ENS en Valladolid para proveedores de la Administración.

¿Por qué necesito adecuarme al ENS si soy proveedor de la Junta de Castilla y León o del Ayuntamiento de Valladolid?

El artículo 2 del RD 311/2022 extiende la obligación del ENS a los sistemas de información de las entidades privadas que presten servicios a entidades del sector público sujetas al propio ENS. La Junta de Castilla y León, la Diputación Provincial de Valladolid, el Ayuntamiento de Valladolid y la Universidad de Valladolid están todas ellas sujetas al ENS como Administraciones Públicas. Si tus sistemas de información entran en contacto con los de cualquiera de estas entidades —porque les prestas un servicio, les suministras software o procesas datos por su cuenta—, la adecuación al ENS es obligatoria y constituye un requisito que puede ser exigido en los pliegos de contratación pública.

¿Qué es MAGERIT y por qué el ENS lo exige?

MAGERIT es la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por el CCN. El ENS exige que la selección y aplicación de las medidas del Anexo II se base en un análisis formal de riesgos proporcional a la categoría del sistema. MAGERIT es la metodología de referencia del CCN para ese análisis en el contexto de la Administración española: permite identificar activos, modelar amenazas y calcular el riesgo residual de forma estructurada y trazable. Los auditores de conformidad ENS conocen y esperan encontrar este enfoque metodológico en la documentación del análisis de riesgos.

¿Qué es PILAR y qué aporta al proceso de adecuación?

PILAR es la herramienta de análisis de riesgos desarrollada por el CCN que implementa la metodología MAGERIT. Permite modelar los activos del sistema, sus dependencias, las amenazas aplicables del catálogo MAGERIT y las salvaguardas implantadas, y genera informes estructurados de riesgos y madurez. Su uso en el proceso de adecuación ENS es muy valorado por los auditores de conformidad porque aporta trazabilidad y objetividad al análisis: los resultados son reproducibles, comparables entre periodos y directamente presentables como evidencia técnica en la auditoría.

¿Cuántas medidas tiene el Anexo II del ENS y cuáles son obligatorias para mi empresa?

El Anexo II del RD 311/2022 recoge 75 medidas organizadas en tres marcos y dieciséis familias: el marco organizativo (4 medidas), el marco operacional —con 7 familias y 33 medidas, incluyendo la familia op.nub para servicios en la nube— y las medidas de protección —con 9 familias y 38 medidas—. Qué medidas son obligatorias para tu empresa depende de la categoría del sistema (básica, media o alta) que resulte del análisis de impacto sobre las cinco dimensiones CIDAT. Para cada medida, el Anexo II especifica si aplica a nivel básico, medio o alto. Summum Sistemas realiza el diagnóstico para determinar exactamente el subconjunto aplicable a tu caso.

¿En qué consiste la familia op.nub del Anexo II y cuándo me afecta?

La familia op.nub (operación en la nube) del marco operacional del Anexo II regula los requisitos de seguridad específicos para los servicios de computación en la nube. Aplica cuando el sistema en alcance usa servicios IaaS, PaaS o SaaS como parte de su arquitectura. Las medidas de op.nub cubren la evaluación de los proveedores cloud, la segregación de entornos, la gestión de accesos en el entorno de la nube y la cadena de suministro de servicios cloud. En el contexto de proveedores TIC de la Junta de Castilla y León o del Ayuntamiento de Valladolid que usan infraestructura cloud pública, esta familia es especialmente relevante y debe quedar explícitamente tratada en el análisis de riesgos y en el plan de adecuación.

¿Summum Sistemas emite la certificación o declaración de conformidad ENS?

No. Para sistemas de categoría básica, la declaración de conformidad la emite la propia organización de forma autoevaluada, conforme al procedimiento de la CCN-STIC 809. Para sistemas de categoría media o alta, la certificación de conformidad la emite una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Sistemas no emite ningún certificado de conformidad —eso es competencia exclusiva de las entidades acreditadas por ENAC—. Lo que hacemos es implantar las medidas técnicas del Anexo II, generar el paquete de evidencias y preparar tus sistemas para que superen ese proceso de conformidad con las mayores garantías.