Categorias del ENS: BASICA, MEDIA y ALTA
El Esquema Nacional de Seguridad clasifica cada sistema de informacion en una de tres categorias segun el impacto que tendria un incidente de seguridad. Entender esta clasificacion es el primer paso para cumplir con el ENS de forma eficiente.
Que son las categorias del ENS
Las categorias del Esquema Nacional de Seguridad estan definidas en el Anexo I del Real Decreto 311/2022. Su objetivo es establecer el nivel de exigencia de las medidas de seguridad que debe aplicar un sistema de informacion en funcion del impacto que un incidente podria causar sobre la organizacion, sus usuarios o la sociedad.
Existen tres categorias: BASICA, MEDIA y ALTA. Cada una implica un conjunto diferente de medidas de seguridad y requisitos de cumplimiento. Cuanto mayor sea la categoria, mas estrictas seran las medidas y los controles que la organizacion debe implantar y mantener.
La categorizacion no es un ejercicio meramente administrativo: es la piedra angular de todo el proceso de adecuacion al ENS. Una categorizacion correcta garantiza que los recursos se dedican de forma proporcional al riesgo real, evitando tanto la sobreproteccion innecesaria como la exposicion a amenazas por una proteccion insuficiente.
Para determinar la categoria de un sistema, el ENS establece un metodo basado en el analisis del impacto potencial en cinco dimensiones de seguridad, conocidas como DACIT.
Las 5 dimensiones de seguridad: DACIT
El ENS evalua la seguridad de un sistema a traves de cinco dimensiones fundamentales. Cada dimension refleja una propiedad esencial que la informacion y los servicios deben preservar. La sigla DACIT agrupa las cinco:
D — Disponibilidad
Garantiza que los servicios y la informacion estan accesibles cuando se necesitan. Un fallo en disponibilidad podria significar, por ejemplo, que el portal de tramites electronicos de un ayuntamiento quede inoperativo durante horas, impidiendo a los ciudadanos realizar gestiones.
A — Autenticidad
Asegura que una entidad (persona, sistema o proceso) es realmente quien dice ser. Un fallo en autenticidad podria permitir que un atacante suplante la identidad de un funcionario para aprobar expedientes fraudulentos en un sistema de gestion documental.
C — Confidencialidad
Protege la informacion para que solo las personas autorizadas puedan acceder a ella. Una brecha de confidencialidad podria exponer datos personales de miles de ciudadanos almacenados en un sistema de padron municipal o en historiales clinicos de un sistema de salud.
I — Integridad
Asegura que la informacion no ha sido alterada de forma no autorizada. Un fallo en integridad podria suponer que los datos de un expediente de contratacion publica sean modificados sin dejar rastro, alterando importes o condiciones de un contrato.
T — Trazabilidad
Permite conocer quien hizo que, cuando y desde donde en un sistema. Sin trazabilidad, seria imposible investigar un incidente de seguridad o demostrar quien accedio a informacion sensible en un proceso de auditoria. Es esencial para la rendicion de cuentas y la auditoria del ENS.
Niveles de impacto: BAJO, MEDIO y ALTO
Para cada una de las cinco dimensiones DACIT, se debe evaluar el impacto que tendria un incidente de seguridad. El Anexo I del RD 311/2022 define tres niveles de impacto:
Impacto BAJO
El perjuicio es limitado y reversible. Puede causar alguna molestia menor a los afectados, pero no compromete de forma significativa la operativa de la organizacion ni los derechos de los ciudadanos. Ejemplo: indisponibilidad temporal de un servicio informativo no critico.
Impacto MEDIO
El perjuicio es significativo pero manejable. Puede causar un dano relevante a la organizacion o a los ciudadanos, afectar al cumplimiento normativo o generar una perdida economica considerable. Ejemplo: interrupcion prolongada de un servicio de tramitacion electronica.
Impacto ALTO
El perjuicio es muy grave o irreparable. Puede afectar gravemente los derechos fundamentales de las personas, causar un dano severo a la reputacion de la organizacion o comprometer la prestacion de servicios esenciales. Ejemplo: filtracion masiva de datos personales sensibles o caida de infraestructuras criticas.
Es importante recordar que la evaluacion se realiza para cada dimension por separado. Un mismo sistema puede tener impacto BAJO en disponibilidad pero ALTO en confidencialidad, por ejemplo si maneja datos de salud que no requieren acceso 24/7 pero cuya exposicion seria catastrofica.
Como se determina la categoria de un sistema
El proceso de categorizacion sigue un metodo claro y sistematico establecido en el Anexo I del RD 311/2022:
- Identificar la informacion que maneja el sistema y los servicios que presta.
- Evaluar el impacto (BAJO, MEDIO o ALTO) que tendria un incidente de seguridad en cada una de las 5 dimensiones DACIT.
- Determinar el nivel de cada dimension: el nivel de seguridad de cada dimension es igual al mayor nivel de impacto identificado para esa dimension.
- Asignar la categoria del sistema: viene determinada por la dimension con el nivel mas alto.
La regla de asignacion es sencilla:
- Categoria BASICA: todas las dimensiones tienen nivel BAJO. Ningun incidente tendria un impacto superior a limitado.
- Categoria MEDIA: al menos una dimension tiene nivel MEDIO y ninguna tiene nivel ALTO. Algun incidente podria causar un perjuicio significativo.
- Categoria ALTA: al menos una dimension tiene nivel ALTO. Un incidente en alguna dimension podria causar un perjuicio muy grave.
En otras palabras, la dimension mas critica arrastra la categoria del sistema completo hacia arriba. Esto es coherente con el principio de que la seguridad de un sistema es tan fuerte como su eslabon mas debil: si una sola dimension tiene un impacto potencial muy alto, todo el sistema debe protegerse en consecuencia.
Tabla comparativa: BASICA vs MEDIA vs ALTA
La siguiente tabla resume las principales diferencias entre las tres categorias del ENS en terminos de medidas, evaluacion y contexto de aplicacion:
| Aspecto | BASICA | MEDIA | ALTA |
|---|---|---|---|
| Nivel de impacto maximo | BAJO en todas las dimensiones | Al menos una MEDIO | Al menos una ALTO |
| Medidas de seguridad | ~40 medidas | ~55 medidas | ~73 medidas (todas) |
| Tipo de evaluacion | Autoevaluacion | Auditoria externa | Auditoria externa |
| Periodicidad | Cada 2 anos | Cada 2 anos | Cada 2 anos |
| Certificacion | Declaracion de conformidad | Certificacion de conformidad | Certificacion de conformidad |
| Organizacion tipica | Municipios pequenos, webs informativas | Diputaciones, universidades, CCAA | AGE, sanidad, infraestructuras criticas |
| Declaracion de Aplicabilidad | Obligatoria | Obligatoria | Obligatoria |
Implicaciones practicas de cada categoria
Categoria BASICA
Los sistemas de categoria BASICA deben cumplir con un subconjunto reducido de las medidas de seguridad del ENS, centrado en los controles fundamentales. La evaluacion se realiza mediante autoevaluacion: la propia organizacion verifica el cumplimiento sin necesidad de recurrir a un auditor externo. El resultado se formaliza en una Declaracion de Conformidad que se publica en la sede electronica.
Aunque el nivel de exigencia es menor, no significa que la seguridad sea opcional. Las medidas basicas cubren aspectos esenciales como la politica de seguridad, el control de accesos, la proteccion de las comunicaciones y la gestion de incidentes.
Categoria MEDIA
Los sistemas MEDIA anaden medidas adicionales relacionadas con la gestion de personal, la continuidad del servicio, la monitorizacion y controles mas estrictos de autenticacion. La diferencia mas relevante respecto a BASICA es que se requiere una auditoria externa realizada por una entidad acreditada cada 2 anos.
El resultado de la auditoria se materializa en una Certificacion de Conformidad que se inscribe en el registro del CCN. Este proceso es significativamente mas exigente y requiere aportar evidencias documentales de la implantacion efectiva de cada medida.
Categoria ALTA
Los sistemas ALTA representan el maximo nivel de exigencia del ENS. Se aplican todas las medidas del marco (aproximadamente 73), incluyendo controles avanzados como el cifrado de informacion clasificada, la proteccion frente a ataques de denegacion de servicio, mecanismos de deteccion de intrusiones y pruebas periodicas de penetracion.
La auditoria externa es igualmente obligatoria cada 2 anos, pero el nivel de detalle y la profundidad de la revision son superiores. Los organismos con sistemas ALTA suelen contar con equipos dedicados de ciberseguridad y centros de operaciones de seguridad (SOC).
Independientemente de la categoria, todos los sistemas deben elaborar una Declaracion de Aplicabilidad que documente que medidas aplican, cuales no y la justificacion correspondiente. NexENS genera esta declaracion automaticamente a partir de la categorizacion.
Como categorizar tu sistema con NexENS
Realizar la categorizacion de un sistema puede parecer complejo, pero con la herramienta adecuada se simplifica enormemente. NexENS incluye un wizard de categorizacion guiado que te lleva paso a paso por cada dimension DACIT, te ayuda a evaluar el impacto y determina automaticamente la categoria de tu sistema.
En apenas 2 minutos, tendras tu sistema categorizado, con su Declaracion de Aplicabilidad generada y un plan de accion con las medidas de seguridad que necesitas implantar. Todo basado en el RD 311/2022 y las guias del CCN.
Preguntas frecuentes sobre las categorias del ENS
Quien determina la categoria de un sistema en el ENS?
La responsabilidad recae sobre el responsable de la informacion y el responsable del servicio de cada organizacion, con el apoyo del responsable de seguridad. Ellos evaluan el impacto potencial en cada dimension de seguridad y, en funcion de los resultados, asignan la categoria correspondiente al sistema.
Se puede cambiar la categoria de un sistema una vez asignada?
Si. La categoria debe revisarse periodicamente y siempre que se produzcan cambios significativos en la informacion que maneja el sistema, en los servicios que presta o en el contexto legal. Si el impacto cambia, la categoria debe actualizarse en consecuencia.
Que diferencia hay entre categoria y nivel de seguridad?
La categoria (BASICA, MEDIA, ALTA) se aplica al sistema en su conjunto y determina el marco general de medidas exigibles. El nivel de seguridad se aplica a cada dimension individual (Disponibilidad, Autenticidad, Confidencialidad, Integridad, Trazabilidad) y puede variar entre dimensiones dentro de un mismo sistema.
Que ocurre si categorizo mi sistema incorrectamente?
Una categorizacion incorrecta puede tener consecuencias graves. Si se infravalora, el sistema no tendra las medidas de proteccion adecuadas y quedara expuesto a riesgos. Si se sobrevalora, la organizacion dedicara recursos innecesarios. En una auditoria, una categorizacion erronea seria una no conformidad que habria que corregir.
Las administraciones locales pequenas pueden ser categoria BASICA?
Si, muchas administraciones locales pequenas con sistemas que manejan informacion de bajo impacto pueden clasificarse en categoria BASICA. Sin embargo, si gestionan datos de caracter personal sensibles o servicios criticos para la ciudadania, la categoria podria elevarse a MEDIA o incluso ALTA.
Cada cuanto tiempo hay que auditar segun la categoria?
Los sistemas de categoria BASICA requieren una autoevaluacion periodica (al menos cada 2 anos). Los sistemas de categoria MEDIA y ALTA necesitan una auditoria formal externa realizada por un organismo o entidad acreditada, tambien con periodicidad bienal (cada 2 anos).
Categoriza tu sistema en 2 minutos
Nuestro wizard te guia paso a paso por las 5 dimensiones DACIT, evalua el impacto y determina la categoria de tu sistema automaticamente. Sin complicaciones.
Empezar gratis