Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) es un marco de trabajo promulgado por el Gobierno de España y que establece una serie de medidas relacionadas con la seguridad de la información.

El ENS es de obligado cumplimiento para las administraciones públicas españolas a cualquier nivel de ámbito territorial, y también para las entidades y personas que estén relacionados con dichas administraciones. Por esta razón, aquellas personas o instituciones que trabajen en o para las administraciones públicas de España deben conocer el ENS.

El objetivo de este post es explicar qué es el ENS y referenciar distintas fuentes que lo definen.

Las normativas cambian y es posible que esta entrada quede desactualizada en caso de que haya cambios significativos en la legislación o recursos asociados. Este artículo fue revisado por última vez en abril de 2023.

Definición del Esquema Nacional de Seguridad

El ENS ha sido regulado través de varios decretos de ley. No ha tenido una definición única y definitiva, sino que ha sido actualizado a lo largo del tiempo.

El texto consolidado del ENS, que es una versión que incluye todas las modificaciones hasta la fecha, se encuentra en el siguiente enlace:

Texto consolidado del Real Decreto 3/2022, del 3 de mayo

Ésta debe ser nuestra referencia si queremos aprender o aplicar el Esquema Nacional de Seguridad.

Históricamente, los decretos que han regulado el Esquema Nacional de Seguridad son:

• Real Decreto 311/2022, del 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (II)
• Real Decreto 951/2015, de 23 de octubre, de modificación del ENS I
• Real Decreto 3/2010, del 8 de enero, del ENS I

El Esquema Nacional de Seguridad se estableció en el artículo 156.2 de la Ley 40/2015 de 1 de octubre, de Régimen Jurídico del Sector Público.

Adicionalmente, existe una guía que añade recomendaciones, pero que está fuera de la parte auditable. Este documento es el CNI-STIC 808 “ENS. Verificación del documento”.

La relación entre el ENS y la guía CNI-STIC 808 es similar a la de la ISO/IEC 27001 y la ISO/IEC 27002.

Quién debe cumplir el ENS

Deben cumplir el ENS tanto organismos públicos, como los privados cuando tengan una relación contractual. Se extiende además a toda la cadena de sunimistro.

Se define en el artículo 2 “Ámbito de aplicación”.

Acciones del ENS

• Elaborar política de seguridad (art. 12)
• Definir roles y asignar personas, entre ellas el Responsable de Seguridad (art. 3)
• Categorizar los sistemas (art. 28, art. 40, anexo I)
• Analizar los riesgos (art. 28)
• Seleccionar y elaborar la declaración de aplicabilidad (art. 28); implantar las medidas de seguridad (anexo III).
• Publicar la conformidad (art. 38)
• Informar del estado de la seguridad (art. 32)

Responsabilidad en el ENS

El artículo 11 “diferenciación de resonsabilidades” requiere nombrar:

• Responsable de la información
• Responsable del servicio
• Responsable de sistemas
• Responsable de seguridad

Los responsables de seguridad y sistemas deben ser distintos.

Dimensiones de seguridad según el ENS

Dimensiones de segurida consideradas en el ENS:

1. Disponibilidad
2. Autenticidad
3. Integridad
4. Confidencialidad
5. Trazabilidad

Categorías de los sistemas según el ENS

En el Anexo I del Real Decreto 311/2022, del 3 de mayo, donde se detalla el Esquema Nacional de Seguridad, se definen y desarrollan las distintas categorías que puede haber en el Esquema Nacional de Seguridad (ENS).

Se establecen tres categorías de sistemas de seguridad:

1. Básica
2. Media
3. Alta

Dependiendo de la categoría será obligatoria o no el realizar una auditoría, tal y como define el artículo 38:

• En la categoría básica es suficiente con que la organización realice una autoevaluación y la presente a la CCN.
• Para las categorías medias y altas, es necesario que se realice una auditoría externa. Solo el Centro Criptográfico Nacional (CCN) está autorizado para realizar estas auditorías.

La asignación de un sistema a una categoría se realiza tal y como se define en el artículo 4 del mencionado anexo I de la Real Decreto 311/2022, del 3 de mayo, y se expande en la guía CCN-STIC 803.

Se evaluará la categoría del sistema de seguridad para cada una de las 5 dimensiones por separado. Se tomará como categoría del sistema seguridad la categoría de mayor valor que haya habido en las 5 dimensiones.

Principios:

1. La seguridad como un proceso integral.
2. Gestión de la seguridad basada en los riesgos.
3. Prevención, detección, respuesta y conservación.
4. Existencia de líneas de defensa.
5. Vigilancia continua.
6. Reevaluación periódica.
7. Diferenciación de responsabilidades.

Existen dos indicadores asociados a un sistema según el ENS:

• Índice de madurez (IM): porcentaje que indica cuánto de seguro es un sistema.
• Índice de cumplimiento (IC): porcentaje que indica el nivel de formalismo de un sistema.

Dependiendo de la categoría del sistema, se exige un IM determinado para cumplir el ENS :

• Bajo: ≥50
• Medio: ≥80
• Alto: ≥90

Herramientas para aplicar el ENS

La referencia principal debe ser la legislación vigente relativa al Esquema Nacional de Seguridad.

Adicionalmente, las guías CCN-STIC (Seguridad de las Tecnologías de Información y Comunicaciones) son publicadas por el Centro Criptológico Nacional (CCN).

Entre las mismas existe la serie 800 que está dedicada al ENS. Puedes encontrar el índice de las guías CCN-STIC-800 para ENS en este enlace. Existen más de un centenar de guías en esta serie.

Las guías podrían quedar desactualizadas y por tanto se desaconsejaría su uso a partir de ese momento. Por ejemplo, con la aparición del Real Decreto 311/2022 todas las guías con fecha anterior a mayo de 2022 están desactualizadas.

De entre el centenar de guía, las más recomendadas y actualizadas son:

• CCN-STIC-803 Valoración de los sistemas
• CCN-STIC-807 Criptología de empleo en el ENS
• CCN-STIC-808 Verificación del cumplimiento de las medidas en el ENS
  • Anexo. Tabla de verificación del cumplimiento del ENS
• CCN-STIC-824. Informe Nacional del Estado de Seguridad de los Sistemas TIC

CCN-STIC-808 contiene un Excel donde puedes validar cada uno de los aspectos.

El Entorno de Validación del ENS (EVENS) es un entorno colaborativo o una guía basada en una red neuronal para compartir información, facilitar las relaciones y crear comunidad. Puedes entontrar más información en este enlace.

Conformidad y auditoría del ENS

Para determinar la conformidad con el ENS, será necesario realizar una autoevaluación en los sistemas de categoría baja mientras que necesitan una auditoría los de categoría alta y media.

La auditoría del ENS está recogida en el anexo II de la ley 311/2022.

Si el nivel de ENS exige que sea auditable, esta auditoría debe realizarse cada 2 años.

La auditoría debe ser realizada por algún órgano autorizado por la Entidad Nacional de Certificación (ENAC). Puedes encontrar un listado de entidades acreditadas por la ENAC en este enlace o en este otro.

Algunos certificadores son Bureau Veritas o BDO. A modo estimativo, el precio de una auditoría básica pueden ser 5.200 € en categoría básica y 6.500 € en categoría media.

La versión del ENS publicada en el Decreto Real más reciente sería la que aplicaría para la auditoría.

Guías CCN-STIC relacionadas con la auditoría:

• Guía CCN-STIC-802 “Guía de auditoría”
• Guía CCN-STIC-808 “Verificación del cumplimiento de las medidas en el ENS”:  amplía detalles sobre qué se debe valorar en cada uno de los puntos. Puedes encontrar esta guía en este enlace externo.

El Auditor Jefe o líder del equipo auditor del ENS deberá asegurar según la guía CCN-STIC-802 que:

• Dispone de los conocimientos técnicos necesarios para abordar la auditoría de una forma eficiente.
• Se realizan las acciones necesarias, en la etapa preliminar, para garantizar que todos los integrantes del equipo entienden y conocen la estructura organizativa y técnica del sistema a auditar, los servicios que presta, y el objetivo y el alcance de la auditoría.
• Todos los auditores conocen el RD 3/2010 (o su actualización RD 311/2022) y, en la medida de las tareas asignadas, los requisitos de seguridad de otra legislación aplicable, y en particular, la relativa a tratamiento de datos de carácter personal.
• Se ha llevado a cabo el plan de auditoría previsto y aprobado, y que las desviaciones al programa, o sus modificaciones, están debidamente fundamentadas y registradas

Los informes de auditoría serán analizados por el responsable de la seguridad, que presentará sus conclusiones al responsable del sistema para que adopte medidas.

Notificaciones de incidentes de seguridad en ENS

Las entidades públicas notifican directamente al CCN-CERT los incidentes de seguridad.

Existe una instrucción de notificación de incidentes de ciberseguridad, que es reseñado por el CCN dentro del marco normativo de la ENS.  La CCN también publica la Guía CCN-STIC 817 “Esquema Nacional de Seguridad. Gestión de ciberincidentes”.

Las organizaciones del sector privado bajo el ENS (aquellas que prestan servicios privados a las entidades públicas) o ciudadanos notificarán al INCIBE-CERT, quien lo pondrá inmediatamente en conocimiento del CCN-CERT.

Las instrucciones para informar al INCIBE-CERT se encuentran en la Guía nacional de notificación y gestión de ciberincidentes.

La SGAD autorizará la reconexión a los medios y servicios comunes comprendidos bajo su ámbito de responsabilidad, incluidos los compartidos o transversales, si un informe de superficie de exposición del CCN-CERT hubiere determinado que el riesgo es asumible.

Otros actores deberán coordinarse con el Ministerio de Interior a través de la OCC (RD-1 12/2018), ESPDEF-CERT e IGAE.

Aparentemente, el ENS no especifica un plazo máximo determinado para la notificación de incidentes. No obstante, pueden existir plazos dentro de otras normativas, como las 72 horas máximas de notificación que establece la Agencia Española de Protección de Datos (AEPD) en caso de brecha de datos personales.

Consecuencias de incumplimiento

Las consecuencias de incumplimiento del ENS varían en función de si se tratada de entidades públicas o privadas.

Consecuencias de incumplimiento para entidades privadas

En el FAQ del CCN del ENS, disponible desde este enlace externo, se incluyen las siguientes notas referentes al incumplimiento del ENS:

2.4 ¿Qué responsabilidades se derivan del incumplimiento del ENS?

Las responsabilidades derivadas del incumplimiento del ENS serían las que correspondieren a cada caso concreto, en virtud de lo dispuesto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

[…]

7.3 En el Anexo I del ENS se hace referencia en muchas ocasiones al “incumplimiento formal” y al “incumplimiento material” de una ley, lo que condicionaría el nivel de seguridad que le correspondería a la dimensión de que se trate.

Sin pretender examinar todas las posibilidades y consecuencias jurídicas de ambos términos, diremos, a los efectos del ENS, lo siguiente:

• Se entiende que existe incumplimiento material de una ley, cuando el obligado a observarla no lo hace. Es decir: no cumple con la obligación expresada en la norma y, por consiguiente, no se alcanza el objetivo perseguido por la misma.
• Se entiende que existe incumplimiento formal de una ley, cuando el obligado a llega efectivamente a cumplirla, pero haciéndolo sin acomodarse al procedimiento explícitamente señalado en la norma (o implícitamente contemplado por ella). En este caso, por tanto, puede alcanzarse el objetivo perseguido por la norma, pero no de la manera (forma) que prescribe el precepto. En general, se trata de un incumplimiento menos grave que el anterior.

La Generalitat de Cataluña emitió el Informe 12/2020 “Consecuencias para las empresas licitadoras de la falta de acreditación del cumplimiento de conformidad con el Esquema Nacional de Seguridad”. Este informe está accesible navegando desde este enlace externo.

Relación con otras normas

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) menciona en ENS en la disposición adicional primera “Medidas de seguridad en el ámbito del sector público”.

ENS y la nube

Existe una guía CCN-STIC 823 titulada “Utilización de servicios en la nube”.

Cumplimiento del ENS en los principales proveedores de servicios en la nube:

• AWS está certificado en categoría alta, según este enlace externo
• Microsoft está certificado en ENS para Office 365 y Azure en categoría alta, según este enlace externo.
• Google Cloud ENS está certificado en ENS, según este enlace externo
• Oracle Cloud Infrastructure (OCI), según este enlace externo
• IBM Cloud está certificado en ENS, según este enlace externo

There is no reference about Esquema Nacional de Seguridad (ENS) in the websites of Alibaba Cloud.

Documentación para el desarrollo del ENS

Documentación principal para el desarrollo del ENS:

• Instrucciones Técnicas de Seguridad
• Guías CCN-STIC

Instrucciones Técnicas de Seguridad

Instrucción técnica de seguridad (ITS) son mencionadas en el ENS II como esenciales para implantar los requisitos y medidas.

Instrucciones Técnicas de Seguridad disponibles:

• Informe del Estado de la Seguridad
• Conformidad con el ENS
• Auditoría de seguridad
• Notificación de incidentes

Cada uno de ellos cuenta con una resolución de una Secretaría de Estado y está desarrollado en una o varias guías CCN-STIC-800. En este link externo a las ITS en el PAe puedes encontrar más información sobre dichos documentos.

Informe de Estado de la Seguridad

La aplicación del CCN-STIC llamada INES (Informe Nacional del Estado de Seguridad) está relacionado con esta ITS.

Guías CCN-STIC-800

La serie CCN-STIC-800 establece las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el Esquema Nacional de Seguridad.

.Pertenecen a la serie CCN-STIC-800 al menos:

• Guía CCN-STIC-801 “ESQUEMA NACIONAL DE SEGURIDAD RESPONSABILIDADES Y FUNCIONES”
• Guía CCN-STIC-802 “Guía de auditoría”
• Guía CCN-STIC-808 “Verificación del cumplimiento de las medidas en el ENS”:  amplía detalles sobre qué se debe valorar en cada uno de los puntos. Puedes encontrar esta guía en este enlace externo.

El Administrador de Seguridad de Sistemas (ASS) es definido en el 801.

Aplicaciones para el cumplimiento del ENS

Aplicaciones que sirven de ayuda en el cumplimiento del ENS:

• INES
• PILAR

INES se emplea para la elaboración de política de seguridad, determinación de alcance o categorización del sistema.

PILAR se emplea en en análisis de riesgo.

Relación con otros marcos de trabajo de Seguridad de la información

La guía CCN-STIC 825 trata sobre la compatibilidad entre la ISO/IEC 27001 y el ENS.

Regulaciones similares en otros países

En Estados Unidos:

• El Federal Information Security Management Act (FISMA), publicado en 2002, require que las agencias federales implementen un programa de seguridad de la información que cubra sus operaciones.
• Los proveedores en la nube requieren que trabajan con administraciones públicas deben tener la certificación FedRAMP.

En Reino Unido existen las certificaciones Cyber Essentials, que tienen una filosofía similar al ENS. Esa certificación es necesaria para trabajar con una organización británica de carácter público.

Quizás también te interese…

• Seguridad de la información en el sector público en España

Referencias externas

• Portal de Administración Electrónica del Gobierno de España; “Esquema Nacional de Seguridad“
• es.wikipedia.org; “Esquema Nacional de Seguridad“; Wikipedia