Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) es un marco de trabajo promulgado por el Gobierno de España y que establece una serie de medidas relacionadas con la seguridad de la información.

El ENS es de obligado cumplimiento para las administraciones públicas españolas a cualquier nivel de ámbito territorial, y también para las entidades y personas que estén relacionados con dichas administraciones. Por esta razón, aquellas personas o instituciones que trabajen en o para las administraciones públicas de España deben conocer el ENS.

El objetivo de este post es explicar qué es el ENS y referenciar distintas fuentes que lo definen.

Las normativas cambian y es posible que esta entrada quede desactualizada en caso de que haya cambios significativos en la legislación o recursos asociados. Este artículo fue revisado por última vez en septiembre de 2022.

Definición del Esquema Nacional de Seguridad

El ENS ha sido regulado través de varios decretos de ley. No ha tenido una definición única y definitiva, sino que ha sido actualizado a lo largo del tiempo.

El texto consolidado del ENS, que es una versión que incluye todas las modificaciones hasta la fecha, se encuentra en el siguiente enlace:

Texto consolidado del Real Decreto 3/2022, del 3 de mayo

Ésta debe ser nuestra referencia si queremos aprender o aplicar el Esquema Nacional de Seguridad.

Históricamente, los decretos que han regulado el Esquema Nacional de Seguridad son:

• Real Decreto 311/2022, del 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
• Real Decreto 3/2020, del 8 de enero
• Real Decreto 951/2015, de 23 de octubre

Categorías de los sistemas según el ENS

Se establecen tres categorías de sistemas de seguridad:

1. Baja
2. Media
3. Alta

En la categoría baja es suficiente con que la organización realice una auto evaluación y la presente a la CCN.

Para las categorías medias y altas, es necesario que se realice una auditoría externa. Solo la CCN está autorizada para realizar estas auditorías.

La asignación de un sistema a una categoría se realiza tal y como se define en los artículos 40 y 41 y en el anexo I de la Real Decreto 311/2022, del 3 de mayo. También se define en la guía CCN-STIC 803.

Existen dos indicadores asociados a un sistema según el ENS:

• Índice de madurez (IM): porcentaje que indica cuánto de seguro es un sistema.
• Índice de cumplimiento (IC): porcentaje que indica el nivel de formalismo de un sistema.

Dependiendo del la categoría del sistema, se exige un IM determinado para cumplir el ENS :

• Bajo: ≥50
• Medio: ≥80
• Alto: ≥90

A su vez, se establecen cinco dimensiones de seguridad:

1. Disponibilidad
2. Autenticidad
3. Integridad
4. Confidencialidad
5. Trazabilidad

Herramientas para aplicar el ENS

La referencia principal debe ser la legislación vigente relativa al Esquema Nacional de Seguridad.

Adicionalmente, las guías CCN-STIC (Seguridad de las Tecnologías de Información y Comunicaciones) son publicadas por el Centro Criptológico Nacional (CCN).

Entre las mismas existe la serie 800 que está dedicada al ENS. Puedes encontrar el índice de las guías CCN-STIC-800 para ENS en este enlace. Existen más de un centenar de guías en esta serie.

Las guías podrían quedar desactualizadas y por tanto se desaconsejaría su uso a partir de ese momento. Por ejemplo, con la aparición del Real Decreto 311/2022 todas las guías con fecha anterior a mayo de 2022 están desactualizadas.

De entre el centenar de guía, las más recomendadas y actualizadas son:

• CCN-STIC-803 Valoración de los sistemas
• CCN-STIC-807 Criptología de empleo en el ENS
• CCN-STIC-808 Verificación del cumplimiento de las medidas en el ENS
  • Anexo. Tabla de verificación del cumplimiento del ENS
• CCN-STIC-824. Informe Nacional del Estado de Seguridad de los Sistemas TIC

CCN-STIC-808 contiene un Excel donde puedes validar cada uno de los aspectos.

El Entorno de Validación del ENS (EVENS) es un entorno colaborativo o una guía basada en una red neuronal para compartir información, facilitar las relaciones y crear comunidad. Puedes entontrar más información en este enlace.

Auditoría de ENS

Si el nivel de ENS exige que sea auditable, esta auditoría debe realizarse cada 2 años.

La auditoría debe ser realizada por algún órgano autorizado por la Entidad Nacional de Certificación (ENAC). Puedes encontrar un listado de entidades acreditadas por la ENAC en este enlace.

La versión del ENS publicada en el Decreto Real más reciente sería la que aplicaría para la auditoría.

No obstante, la guía CCN-STIC-808 amplía detalles sobre qué se debe valorar en cada uno de los puntos.

Notificaciones de incidentes de seguridad en ENS

Las entidades públicas notifican directamente al CCN-CERT los incidentes de seguridad.

Existe una instrucción de notificación de incidentes de ciberseguridad, que es reseñado por el CCN dentro del marco normativo de la ENS.  La CCN también publica la Guía CCN-STIC 817 “Esquema Nacional de Seguridad. Gestión de ciberincidentes”.

Las organizaciones del sector privado bajo el ENS (aquellas que prestan servicios privados a las entidades públicas) o ciudadanos notificarán al INCIBE-CERT, quien lo pondrá inmediatamente en conocimiento del CCN-CERT.

Las instrucciones para informar al INCIBE-CERT se encuentran en la Guía nacional de notificación y gestión de ciberincidentes.

La SGAD autorizará la reconexión a los medios y servicios comunes comprendidos bajo su ámbito de responsabilidad, incluidos los compartidos o transversales, si un informe de superficie de exposición del CCN-CERT hubiere determinado que el riesgo es asumible.

Otros actores deberán coordinarse con el Ministerio de Interior a través de la OCC (RD-1 12/2018), ESPDEF-CERT e IGAE.

Aparentemente, el ENS no especifica un plazo máximo determinado para la notificación de incidentes. No obstante, pueden existir plazos dentro de otras normativas, como las 72 horas máximas de notificación que establece la Agencia Española de Protección de Datos (AEPD) en caso de brecha de datos personales.

Relación con otras normas

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales menciona en ENS en la disposición adicional primera “Medidas de seguridad en el ámbito del sector público”.

Regulaciones similares en otros países

En Reino Unido existen las certificaciones Cyber Essentials, que tienen una filosofía similar al ENS. Esa certificación es necesaria para trabajar con una organización británica de carácter público.

Referencias externas

• Portal de Administración Electrónica del Gobierno de España; “Esquema Nacional de Seguridad“
• es.wikipedia.org; “Esquema Nacional de Seguridad“