Que son las medidas de seguridad del ENS
El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, establece en su Anexo II un conjunto de 75 medidas de seguridad que los sistemas de informacion del sector publico (y sus proveedores) deben implementar.
Estas medidas no son opcionales: constituyen los requisitos minimos de seguridad que cada sistema debe cumplir en funcion de su categoria (BASICA, MEDIA o ALTA). La seleccion concreta de medidas aplicables se documenta en la Declaracion de Aplicabilidad.
Cada medida describe que hay que proteger y con que nivel de exigencia, pero deja flexibilidad en el como. Esto permite a cada organizacion adaptar la implementacion a su contexto tecnologico, siempre que el resultado cumpla con el objetivo de seguridad definido.
Estructura: 3 marcos, 16 familias
Las 75 medidas se organizan en una estructura jerarquica de tres niveles. En el nivel superior encontramos los 3 marcos de seguridad. Cada marco agrupa varias familias, y cada familia contiene las medidas individuales. En total, el ENS define 16 familias:
org.*
Marco Organizativo
1 familia · 4 medidas
op.*
Marco Operacional
7 familias · 33 medidas
mp.*
Medidas de Proteccion
8 familias · 38 medidas
Marco Organizativo
El marco organizativo establece las bases de la gobernanza de seguridad. Contiene una unica familia con 4 medidas que definen la politica, la normativa, los procedimientos y el proceso de autorizacion. Son medidas transversales que aplican a todas las categorias, incluyendo la BASICA.
Sin una politica de seguridad aprobada y unos procedimientos documentados, el resto de medidas carece de contexto. Por eso el marco organizativo es el punto de partida de cualquier proceso de adecuacion al ENS.
Politica de seguridad
Define la estructura de gobierno, normativa interna, procedimientos operativos y el proceso de autorizacion de los sistemas.
- org.1 Politica de seguridad
- org.2 Normativa de seguridad
- org.3 Procedimientos de seguridad
- org.4 Proceso de autorizacion
Marco Operacional
El marco operacional agrupa las medidas tecnicas y de gestion necesarias para el funcionamiento seguro del sistema en el dia a dia. Con 7 familias y 33 medidas, es el bloque mas extenso y cubre desde la planificacion y el control de acceso hasta la monitorizacion y la continuidad del servicio.
Familias como op.exp (explotacion) contienen hasta 10 medidas individuales, lo que refleja la complejidad de mantener un sistema operativo de forma segura. La familia op.nub (servicios en la nube) fue introducida en la actualizacion del RD 311/2022 para cubrir los entornos cloud, cada vez mas habituales en la Administracion.
Planificacion
Analisis de riesgos, arquitectura de seguridad, seleccion de componentes certificados y dimensionamiento de la gestion.
- op.pl.1 Analisis de riesgos
- op.pl.2 Arquitectura de seguridad
- op.pl.3 Adquisicion de nuevos componentes
- op.pl.4 Dimensionamiento/gestion de la capacidad
- op.pl.5 Componentes certificados
Control de acceso
Identificacion, requisitos de acceso, segregacion de funciones, derechos de acceso y mecanismos de autenticacion.
- op.acc.1 Identificacion
- op.acc.2 Requisitos de acceso
- op.acc.3 Segregacion de funciones y tareas
- op.acc.4 Proceso de gestion de derechos de acceso
- op.acc.5 Mecanismo de autenticacion (usuarios externos)
- op.acc.6 Mecanismo de autenticacion (usuarios internos)
Explotacion
Inventario de activos, configuracion segura, gestion de cambios, proteccion frente a codigo danino, gestion de incidentes y registro de actividad.
- op.exp.1 Inventario de activos
- op.exp.2 Configuracion de seguridad
- op.exp.3 Gestion de la configuracion de seguridad
- op.exp.4 Mantenimiento y actualizaciones de seguridad
- op.exp.5 Gestion de cambios
- op.exp.6 Proteccion frente a codigo danino
- op.exp.7 Gestion de incidentes
- op.exp.8 Registro de la actividad
- op.exp.9 Registro de la gestion de incidentes
- op.exp.10 Proteccion de claves criptograficas
Servicios externos
Contratacion y acuerdos de nivel de servicio, gestion diaria y monitorizacion de servicios prestados por terceros.
- op.ext.1 Contratacion y acuerdos de nivel de servicio
- op.ext.2 Gestion diaria
- op.ext.3 Medios alternativos
Servicios en la nube
Proteccion de servicios en la nube y preparacion para la respuesta ante incidentes en entornos cloud.
- op.nub.1 Proteccion de servicios en la nube
- op.nub.2 Preparacion de la respuesta a incidentes de seguridad en la nube
Continuidad del servicio
Analisis de impacto, plan de continuidad y pruebas periodicas para garantizar la disponibilidad del sistema.
- op.cont.1 Analisis de impacto
- op.cont.2 Plan de continuidad
- op.cont.3 Pruebas periodicas
- op.cont.4 Medios alternativos
Monitorizacion del sistema
Deteccion de intrusiones, metricas de seguridad y vigilancia continua del sistema.
- op.mon.1 Deteccion de intrusion
- op.mon.2 Sistema de metricas
- op.mon.3 Vigilancia
Medidas de Proteccion
Las medidas de proteccion se centran en activos concretos: las instalaciones fisicas, el personal, los equipos, las comunicaciones, los soportes de informacion, las aplicaciones, la propia informacion y los servicios prestados. Con 8 familias y 38 medidas, es el bloque mas diverso del ENS.
La familia mp.sw (aplicaciones informaticas) es especialmente relevante para equipos de desarrollo, ya que exige practicas de desarrollo seguro, analisis estatico de codigo (SAST) y analisis de composicion de software (SCA). La familia mp.info cubre aspectos criticos como el cifrado, la firma electronica y las copias de seguridad.
Proteccion de las instalaciones
Areas separadas con control de acceso, identificacion de personas, acondicionamiento y proteccion frente a incidencias.
- mp.if.1 Areas separadas y con control de acceso
- mp.if.2 Identificacion de las personas
- mp.if.3 Acondicionamiento de los locales
- mp.if.4 Energia electrica
- mp.if.5 Proteccion frente a incendios
- mp.if.6 Proteccion frente a inundaciones
- mp.if.7 Registro de entrada y salida de equipamiento
Gestion del personal
Caracterizacion del puesto de trabajo, deberes y obligaciones, concienciacion y formacion continua en seguridad.
- mp.per.1 Caracterizacion del puesto de trabajo
- mp.per.2 Deberes y obligaciones
- mp.per.3 Concienciacion
- mp.per.4 Formacion
- mp.per.5 Personal alternativo
Proteccion de los equipos
Puesto de trabajo despejado, bloqueo de pantalla, proteccion de portatiles y dispositivos moviles.
- mp.eq.1 Puesto de trabajo despejado
- mp.eq.2 Bloqueo de puesto de trabajo
- mp.eq.3 Proteccion de dispositivos portatiles
- mp.eq.4 Otros dispositivos conectados a la red
Proteccion de las comunicaciones
Perimetro seguro, proteccion de la confidencialidad, autenticidad del otro extremo y segregacion de redes.
- mp.com.1 Perimetro seguro
- mp.com.2 Proteccion de la confidencialidad
- mp.com.3 Proteccion de la integridad y de la autenticidad
- mp.com.4 Segregacion de redes
Proteccion de los soportes de informacion
Etiquetado, cifrado, custodia, transporte y destruccion segura de soportes fisicos.
- mp.si.1 Etiquetado
- mp.si.2 Criptografia
- mp.si.3 Custodia
- mp.si.4 Transporte
- mp.si.5 Borrado y destruccion
Proteccion de las aplicaciones informaticas
Desarrollo seguro, aceptacion y puesta en servicio, evaluacion de vulnerabilidades (SAST/SCA) y actualizaciones.
- mp.sw.1 Desarrollo de aplicaciones
- mp.sw.2 Aceptacion y puesta en servicio
Proteccion de la informacion
Datos de caracter personal, calificacion, cifrado, firma electronica, sellos de tiempo, limpieza de documentos y copias de seguridad.
- mp.info.1 Datos de caracter personal
- mp.info.2 Calificacion de la informacion
- mp.info.3 Cifrado de la informacion
- mp.info.4 Firma electronica
- mp.info.5 Sellos de tiempo
- mp.info.6 Limpieza de documentos publicados
- mp.info.7 Copias de seguridad
Proteccion de los servicios
Proteccion del correo electronico, servidores web/aplicaciones, denegacion de servicio y otros servicios.
- mp.s.1 Proteccion del correo electronico
- mp.s.2 Proteccion de servicios y aplicaciones web
- mp.s.3 Proteccion de la denegacion de servicio
- mp.s.4 Otros servicios
Que medidas aplican segun tu categoria
No todos los sistemas necesitan implementar las 75 medidas. La cantidad y el nivel de exigencia dependen de la categoria del sistema, que se determina durante el proceso de categorizacion:
Categoria
BASICA
~30 medidas
Medidas fundamentales de cada familia. Suficiente para sistemas con impacto limitado.
Categoria
MEDIA
~55 medidas
Amplia la cobertura con medidas adicionales y refuerzos R1 en las medidas basicas.
Categoria
ALTA
75 medidas
Todas las medidas con refuerzos R2/R3. Maxima exigencia para sistemas criticos.
La seleccion exacta de medidas para tu sistema se documenta en la Declaracion de Aplicabilidad. Este documento es obligatorio y debe mantenerse actualizado. Es uno de los elementos que los auditores revisan durante la auditoria ENS.
Los refuerzos: R1, R2, R3...
Muchas medidas del Anexo II no son binarias (aplica / no aplica), sino que tienen niveles de refuerzo progresivos. Estos refuerzos se identifican como R1, R2, R3, etc., y cada uno anade requisitos adicionales a la medida base.
Por ejemplo, la medida op.acc.5 (mecanismo de autenticacion para usuarios externos) en su version base puede requerir contrasena robusta; el refuerzo R1 podria exigir autenticacion de doble factor; y el R2 podria requerir certificados digitales o mecanismos biometricos.
El nivel de refuerzo exigido depende de la categoria del sistema y de las dimensiones de seguridad afectadas. En general:
- Categoria BASICA: medida base sin refuerzos, o con requisitos minimos.
- Categoria MEDIA: medida base + refuerzo R1 en las medidas mas criticas.
- Categoria ALTA: medida con refuerzos R2 o R3, maxima exigencia.
Los refuerzos garantizan que el nivel de proteccion escale proporcionalmente al riesgo. NexENS selecciona automaticamente los refuerzos aplicables en funcion de la categorizacion de tu sistema.
Preguntas frecuentes sobre las medidas del ENS
Cuantas medidas de seguridad tiene el ENS?
Que diferencia hay entre un marco organizativo y uno operacional?
Que medidas aplican a un sistema de categoria BASICA?
Que son los refuerzos (R1, R2, R3...)?
Donde se define que medidas aplican a mi sistema?
Puedo gestionar las 75 medidas con una herramienta automatizada?
Descubre que medidas aplican a tu sistema
Categoriza tu sistema en minutos y obtendras automaticamente la lista de medidas aplicables, con sus refuerzos y tareas de cumplimiento. Sin consultoras, sin hojas de calculo.