Uno de los aspectos que más confusión genera en los proyectos de adecuación al Esquema Nacional de Seguridad es el ecosistema de metodologías y herramientas que el Centro Criptológico Nacional (CCN) pone a disposición de las organizaciones. Siglas como MAGERIT, PILAR, INES, AMPARO o CLARA aparecen en las guías CCN-STIC serie 800 y en los requisitos de los auditores de conformidad, pero no siempre queda claro qué hace cada una, cuándo hay que utilizarla y si es accesible para una empresa privada. Esta guía despeja esas dudas.
¿Qué es MAGERIT y por qué es el método de referencia para el análisis de riesgos del ENS?
MAGERIT —Metodología de Análisis y GEstión de Riesgos de los sistemas de Información de las Administraciones públicas— es la metodología oficial de análisis de riesgos publicada por el Ministerio de Hacienda y Función Pública. Aunque el Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191) no impone el uso de MAGERIT en exclusiva, las guías CCN-STIC 806 y 808 la referencian como metodología estándar, y los auditores de conformidad están formados para interpretar sus informes sin necesidad de adaptación.
MAGERIT estructura el análisis de riesgos en cuatro fases: inventario de activos (identificar y clasificar lo que tiene valor para la organización), valoración de amenazas (determinar qué puede dañar a cada activo), cálculo del impacto y del riesgo (probabilidad × impacto por dimensión de seguridad) y plan de tratamiento (decidir qué medidas aplicar para reducir el riesgo a un nivel aceptable). El resultado es el mapa de riesgos del sistema, que justifica directamente qué medidas del Anexo II deben implantarse, con qué nivel de refuerzo y en qué plazo.
La versión actual es MAGERIT v3, publicada en 2012 y todavía vigente. Se distribuye como documento libre en el portal del Ministerio de Hacienda y está organizada en tres libros: el Método, el Catálogo de elementos (tipos de activos, amenazas y salvaguardas) y la Guía de técnicas.
¿Cómo funciona la herramienta PILAR del CCN y qué aporta al proceso ENS?
PILAR —Procedimiento Informático Lógico para el Análisis de Riesgos— es la herramienta software que el CCN desarrolla y mantiene para automatizar el análisis de riesgos con metodología MAGERIT. Su función es central en el proceso de adecuación al ENS: sin un análisis de riesgos documentado y trazable, no es posible justificar la selección de medidas del Anexo II ni obtener la conformidad.
PILAR permite:
- Construir el inventario de activos del sistema de información con su árbol de dependencias.
- Valorar cada activo en las cinco dimensiones de seguridad CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad).
- Identificar y cuantificar las amenazas por tipo de activo, aplicando el catálogo de amenazas de MAGERIT.
- Calcular el riesgo intrínseco y el riesgo residual tras aplicar las salvaguardas existentes.
- Generar informes estructurados en el formato que los auditores de conformidad ENS esperan, incluyendo el mapa de riesgos y el plan de tratamiento.
PILAR se distribuye en distintas versiones: una versión básica gratuita con acceso mediante registro en el portal del CCN, adecuada para sistemas de categoría básica, y versiones más completas para sistemas complejos de categoría media y alta. El CCN actualiza la herramienta regularmente para mantenerla alineada con las guías CCN-STIC y con los cambios normativos.
¿Qué es INES y cuándo se utiliza en el ENS?
INES —Índice Nacional de Evaluación de la Seguridad— es la herramienta del CCN diseñada específicamente para la autoevaluación de sistemas de categoría básica. Guía a la organización a través de una secuencia de preguntas estructuradas sobre la implantación de las medidas del Anexo II aplicables a su categoría, valora el grado de cumplimiento de cada medida y genera un informe de resultados en el formato requerido para sustentar la declaración de conformidad autoevaluada.
La declaración de conformidad de categoría básica —el procedimiento regulado en la guía CCN-STIC 809— no requiere que un tercero acreditado por ENAC verifique los controles, pero sí exige que la autoevaluación sea rigurosa, trazable y esté documentada con evidencias reales. INES proporciona el marco estructurado para realizar esa autoevaluación con garantías y en el formato que las Administraciones contratantes pueden revisar.
INES también sirve como herramienta de diagnóstico preliminar: antes de iniciar el proyecto de adecuación, permite identificar rápidamente las brechas más críticas en sistemas de categoría básica y priorizar el trabajo de implantación.
¿Para qué sirve AMPARO en sistemas ENS de categoría media y alta?
AMPARO —Aplicación de Medidas de Protección y Análisis de Riesgos y Organización— es la herramienta del CCN orientada a la gestión continua de la seguridad en sistemas de categoría media y alta una vez que la adecuación inicial ha concluido. A diferencia de INES, que es una herramienta de evaluación puntual, AMPARO está diseñada para el seguimiento continuado del estado de seguridad del sistema a lo largo del ciclo bienal de conformidad.
AMPARO permite gestionar el plan de tratamiento de riesgos, registrar el estado de implantación de cada medida del Anexo II, documentar los cambios en el sistema que puedan afectar a la categorización y generar informes periódicos del estado de seguridad. Esta información es especialmente valiosa cuando llega la auditoría de renovación bienal: el auditor de la entidad acreditada ENAC puede comprobar no solo el estado actual de los controles, sino también su evolución en el tiempo, lo que refuerza la credibilidad del sistema de gestión de la seguridad.
¿Qué es CLARA y cómo facilita la auditoría de conformidad ENS?
CLARA —CHECKlist-based Lightweight Assessments for Reviewing Administration— es la herramienta del CCN que estructura las listas de verificación del auditor para la revisión de la conformidad ENS. Proporciona un conjunto de comprobaciones organizadas por medida del Anexo II, con el nivel de refuerzo correspondiente a la categoría del sistema, que el auditor interno o externo puede utilizar para sistematizar su revisión.
Desde el punto de vista de la organización que se prepara para la auditoría, CLARA es un activo valioso: permite realizar una auditoría interna previa siguiendo exactamente la misma secuencia de comprobaciones que utilizará el auditor externo, detectando con antelación las desviaciones que podrían dar lugar a no conformidades. Para sistemas de categoría media y alta, una revisión pre-auditoría con CLARA antes de que llegue la entidad acreditada ENAC reduce significativamente la probabilidad de sorpresas y, por tanto, el coste y el plazo del proceso de certificación.
¿Puede una empresa privada acceder y utilizar estas herramientas del CCN?
Sí. El CCN pone PILAR, INES, AMPARO y CLARA a disposición de cualquier organización que necesite adecuarse al ENS —tanto entidades del sector público como empresas privadas proveedoras—, con acceso sujeto a registro en el portal del CCN. El acceso es gratuito y los propios organismos del CCN proporcionan documentación de uso actualizada.
Existen, sin embargo, aspectos prácticos que conviene tener en cuenta:
- La curva de aprendizaje de PILAR es moderada: construir un árbol de activos y dependencias coherente con la realidad del sistema requiere conocimiento de la metodología MAGERIT y experiencia en el tipo de sistema analizado.
- Los informes de PILAR son el input del análisis de riesgos que los auditores de conformidad revisan con mayor detalle; un análisis superficial o con activos mal valorados es uno de los motivos más frecuentes de no conformidad.
- La integración de los resultados de PILAR, INES y AMPARO en la documentación global del sistema de gestión requiere criterio técnico para que el conjunto sea coherente y directamente utilizable en la auditoría.
Por esas razones, las organizaciones con sistemas de categoría media o alta habitualmente trabajan con un equipo especializado que domine las herramientas y la normativa. Como se explica en detalle en la guía sobre las medidas de seguridad del Anexo II del ENS, la implantación técnica de los controles y la generación de evidencias son procesos que requieren conocimiento tanto normativo como técnico.
¿Cómo integra Summum Sistemas estas herramientas en el proceso de adecuación al ENS?
En Summum Sistemas integramos MAGERIT, PILAR, INES, AMPARO y CLARA como herramientas de trabajo cotidianas en nuestros proyectos de adecuación al ENS, no como anexos documentales. El flujo de trabajo es el siguiente:
- Construimos el inventario de activos del sistema del cliente en PILAR, con las dependencias y valoraciones CIDAT justificadas documentalmente.
- Ejecutamos el análisis de riesgos completo con MAGERIT v3, obteniendo el mapa de riesgos residuales que determina la selección de medidas del Anexo II.
- Elaboramos el plan de adecuación con CCN-STIC 806, priorizando las medidas por impacto en el riesgo residual.
- Implantamos los controles técnicos aplicando las guías CCN-STIC específicas por plataforma.
- Configuramos INES (categoría básica) o AMPARO (media/alta) y generamos los informes en el formato esperado por los auditores.
- Realizamos la revisión pre-auditoría con CLARA, detectando y corrigiendo desviaciones antes del proceso de conformidad.
- Entregamos el paquete completo de evidencias técnicas organizado para minimizar el tiempo y la incertidumbre de la auditoría.
Este enfoque garantiza que el sistema no solo cumple en papel, sino que dispone de controles activos y verificables. Si quieres saber cómo podemos apoyar tu proyecto de implantación técnica del ENS, cuéntanos el tipo de sistema y los servicios que prestas a la Administración: con esa información podemos orientarte sobre la categoría probable, el alcance del análisis de riesgos y el plan de trabajo más eficiente para tu situación concreta. El análisis forense de incidentes ocurridos durante el proceso de adecuación —o de incidentes históricos que hay que documentar— es otro ámbito en el que trabajamos junto al equipo de respuesta a incidentes para garantizar que el historial de gestión de incidentes esté alineado con los requisitos del Anexo II.