El Anexo II del Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad, recoge las medidas de seguridad que deben aplicar los sistemas de información sujetos al ENS, agrupadas en tres marcos: marco organizativo (políticas, roles y responsabilidades), marco operacional (planificación, control de acceso, explotación, servicios externos, gestión de incidencias y continuidad) y medidas de protección (instalaciones, sistemas, comunicaciones, soportes de información, aplicaciones y usuarios). Cada medida se aplica en función de la categoría del sistema —básico, medio o alto— y se detalla en las guías de la serie CCN-STIC 800, especialmente en la CCN-STIC 808 para la verificación del cumplimiento de las medidas. Implantar estas medidas de forma efectiva y demostrable requiere conocimiento técnico del marco normativo español, experiencia en los sistemas y aplicaciones más habituales en entornos de contratación pública, y dominio de las herramientas que el propio CCN proporciona para facilitar el proceso.
Summum Sistemas utiliza la metodología MAGERIT v3 —el método de Análisis y GEstión de Riesgos de los sistemas de Información de las Administraciones públicas, mantenido por el Ministerio de Hacienda— y la herramienta PILAR (Procedimiento Informático Lógico para el Análisis de Riesgos), desarrollada y distribuida por el CCN, para realizar el análisis de riesgos que sustenta la selección de medidas del Anexo II. Este análisis parte del inventario de activos del sistema de información, valora su dependencia entre sí y determina el impacto que una amenaza materializada tendría sobre las cinco dimensiones de seguridad CIDAT. El resultado —el mapa de riesgos con su tratamiento— justifica qué medidas del Anexo II deben aplicarse, con qué nivel de refuerzo y en qué plazo, y constituye uno de los documentos que los auditores de conformidad revisan con mayor detenimiento.
Para los sistemas de categoría básica, el CCN proporciona la herramienta INES (Índice Nacional de Evaluación de la Seguridad), que guía la autoevaluación requerida para la declaración de conformidad y genera el informe de resultados. Para categoría media y alta, la herramienta AMPARO (Aplicación de Medidas de Protección y Análisis de Riesgos y Organización) facilita la gestión continua del sistema de seguridad una vez implantado. Y para preparar la auditoría de conformidad —tanto la interna previa como el proceso con la entidad acreditada ENAC— el CCN dispone de CLARA (CHECKlist-based Lightweight Assessments for Reviewing Administration), que estructura las listas de verificación del auditor. Summum Sistemas tiene experiencia en el uso de todas estas herramientas y las integra en su flujo de trabajo para que el proceso de adecuación sea trazable, eficiente y directamente utilizable en la auditoría de conformidad.