El Esquema Nacional de Seguridad (ENS) es el marco regulatorio español que establece los principios y requisitos mínimos para garantizar la seguridad de la información en el sector público y en organizaciones privadas que prestan servicios o manejan información para la Administración. Su enfoque se basa en asegurar un nivel adecuado de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.

A continuación se detallan los elementos esenciales que deben cubrirse para cumplir con el ENS.

1. Marco organizativo

Define la estructura y las responsabilidades necesarias para gestionar la seguridad.

Puntos esenciales

• Nombrar un Responsable de la Información, Responsable del Servicio y Responsable de Seguridad.
• Definir la política de seguridad de la organización.
• Establecer un comité de seguridad que supervise la implementación del ENS.
• Realizar formación, concienciación y difusión interna de normas y buenas prácticas.

Este marco garantiza que la seguridad esté gobernada adecuadamente y con roles asignados.

2. Marco operacional

Es la parte práctica del sistema, centrada en los procesos diarios.

Incluye

• Gestión de riesgos siguiendo el ciclo de vida del servicio.
• Procedimientos de operación segura, incluidos:
  • Gestión de identidades y control de accesos.
  • Gestión de incidencias.
  • Continuidad de negocio y recuperación ante desastres.
  • Registro de actividad y trazabilidad.
• Clasificación de la información y los sistemas.
• Gestión de proveedores y terceros.

El marco operacional debe documentarse y mantenerse actualizado.

3. Medidas de protección

El ENS establece 73 medidas distribuidas en varias familias, agrupadas en tres niveles: básico, medio y alto. Los sistemas deben aplicar las medidas del nivel que les corresponda según su categoría.

Principales familias de medidas

1. Marco organizativo

• Política de seguridad.
• Funciones y responsabilidades.
• Procedimientos y normativa interna.

2. Protección de instalaciones

• Control de acceso físico.
• Seguridad ambiental.
• Protección frente a desastres.

3. Medidas de protección lógica y tecnológica

• Control de accesos lógico.
• Segmentación de redes.
• Configuración segura de sistemas.
• Gestión del ciclo de vida del software.
• Copias de seguridad.
• Criptografía y certificados.

4. Explotación y operación

• Gestión de cambios.
• Monitorización continua.
• Respuesta y gestión de incidentes.
• Registro y conservación de evidencias.

5. Protección frente a situaciones de emergencia

• Planes de continuidad.
• Ensayos y pruebas periódicas.

4. Análisis y gestión de riesgos

Uno de los pilares del ENS es identificar el nivel de protección necesario.

Tareas clave

• Valorar el impacto de incidentes en la información.
• Asignar categoría al sistema (Básico, Medio, Alto).
• Alinear las medidas de seguridad exigidas a la categoría correspondiente.
• Elaborar un Plan de tratamiento del riesgo.

El análisis debe revisarse periódicamente o cuando cambie el sistema.

5. Declaración de Aplicabilidad (SoA)

Documento obligatorio donde se justifican:

• Las medidas ENS aplicadas.
• Las medidas excluidas y por qué.
• El nivel de cumplimiento actual.
• Los planes de mejora.

Es equivalente a la SoA de ISO 27001, pero ajustada a los requisitos del ENS.

6. Auditoría de seguridad

El ENS exige auditorías periódicas:

Frecuencia

• Sistemas de categoría Básica: cada 2 años.
• Sistemas de categoría Media o Alta: cada 1 año.

Objetivos

• Evaluar cumplimiento real de las medidas ENS.
• Identificar desviaciones, vulnerabilidades y mejoras.
• Emitir un Informe de Auditoría obligatorio.

7. Conformidad y declaración responsable

Para demostrar cumplimiento:

• La organización debe elaborar una Declaración de Conformidad.
• Debe publicar un Informe de Estado de Seguridad.
• Puede solicitar certificación ENS a través de un organismo acreditado.

Esto es crucial para entidades que trabajan con la Administración Pública.

Conclusión

El ENS es un marco sólido que combina gobernanza, procedimientos y medidas técnicas para garantizar la seguridad de los sistemas públicos. Su correcta adopción implica compromiso institucional, disciplina documental, análisis de riesgos y mejora continua. Cumplirlo no sólo es un requisito legal para muchas entidades, sino también una garantía de confianza y resiliencia.