Ciberseguridad y cumplimiento

Implantación técnica del ENS: medidas del Anexo II con MAGERIT y herramientas CCN

La adecuación al Esquema Nacional de Seguridad no se resuelve solo con documentos: cada medida del Anexo II del RD 311/2022 exige una implantación técnica real y verificable. Summum Sistemas ejecuta esa implantación aplicando la metodología de análisis de riesgos MAGERIT con la herramienta PILAR del Centro Criptológico Nacional, selecciona las medidas proporcionales a la categoría de tu sistema y las despliega con rigor en tus infraestructuras. Al finalizar, tu sistema no solo cumple en papel: dispone de los controles técnicos activos y del paquete de evidencias que el auditor de conformidad necesita para emitir la declaración o certificación de conformidad correspondiente.

NormativaRD 311/2022 · Anexo II + Anexo III
MetodologíaMAGERIT v3 · PILAR · CCN-STIC (806, 808, 809)
PerfilEmpresas que proveen sistemas o servicios a la Administración Pública

El Anexo II del Real Decreto 311/2022, que regula el Esquema Nacional de Seguridad, recoge las medidas de seguridad que deben aplicar los sistemas de información sujetos al ENS, agrupadas en tres marcos: marco organizativo (políticas, roles y responsabilidades), marco operacional (planificación, control de acceso, explotación, servicios externos, gestión de incidencias y continuidad) y medidas de protección (instalaciones, sistemas, comunicaciones, soportes de información, aplicaciones y usuarios). Cada medida se aplica en función de la categoría del sistema —básico, medio o alto— y se detalla en las guías de la serie CCN-STIC 800, especialmente en la CCN-STIC 808 para la verificación del cumplimiento de las medidas. Implantar estas medidas de forma efectiva y demostrable requiere conocimiento técnico del marco normativo español, experiencia en los sistemas y aplicaciones más habituales en entornos de contratación pública, y dominio de las herramientas que el propio CCN proporciona para facilitar el proceso.

Summum Sistemas utiliza la metodología MAGERIT v3 —el método de Análisis y GEstión de Riesgos de los sistemas de Información de las Administraciones públicas, mantenido por el Ministerio de Hacienda— y la herramienta PILAR (Procedimiento Informático Lógico para el Análisis de Riesgos), desarrollada y distribuida por el CCN, para realizar el análisis de riesgos que sustenta la selección de medidas del Anexo II. Este análisis parte del inventario de activos del sistema de información, valora su dependencia entre sí y determina el impacto que una amenaza materializada tendría sobre las cinco dimensiones de seguridad CIDAT. El resultado —el mapa de riesgos con su tratamiento— justifica qué medidas del Anexo II deben aplicarse, con qué nivel de refuerzo y en qué plazo, y constituye uno de los documentos que los auditores de conformidad revisan con mayor detenimiento.

Para los sistemas de categoría básica, el CCN proporciona la herramienta INES (Índice Nacional de Evaluación de la Seguridad), que guía la autoevaluación requerida para la declaración de conformidad y genera el informe de resultados. Para categoría media y alta, la herramienta AMPARO (Aplicación de Medidas de Protección y Análisis de Riesgos y Organización) facilita la gestión continua del sistema de seguridad una vez implantado. Y para preparar la auditoría de conformidad —tanto la interna previa como el proceso con la entidad acreditada ENAC— el CCN dispone de CLARA (CHECKlist-based Lightweight Assessments for Reviewing Administration), que estructura las listas de verificación del auditor. Summum Sistemas tiene experiencia en el uso de todas estas herramientas y las integra en su flujo de trabajo para que el proceso de adecuación sea trazable, eficiente y directamente utilizable en la auditoría de conformidad.

El proceso de Implantación técnica del ENS.

El proceso · cuatro tiempos
01

Inventario de activos y valoración de dimensiones CIDAT

Identificamos y clasificamos los activos del sistema de información en alcance: instalaciones, hardware, software, servicios, datos y personal. Para cada activo y servicio determinamos el valor en las cinco dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) según la escala de impacto del Anexo I del RD 311/2022, obteniendo la categoría definitiva del sistema antes de seleccionar ninguna medida.

02

Análisis de riesgos con MAGERIT v3 y herramienta PILAR

Ejecutamos el análisis de riesgos completo con metodología MAGERIT v3 y la herramienta PILAR del CCN: identificación de amenazas por tipo de activo, estimación de la probabilidad e impacto, cálculo del riesgo residual y definición del plan de tratamiento. El análisis de riesgos es el documento nuclear que justifica la selección de medidas del Anexo II y que los auditores de conformidad revisan con mayor exigencia.

03

Plan de adecuación y selección de medidas del Anexo II

Con el análisis de riesgos completado, elaboramos el plan de adecuación siguiendo la guía CCN-STIC 806. Seleccionamos las medidas del Anexo II que corresponden a la categoría del sistema, definimos el nivel de refuerzo requerido para cada una, priorizamos por impacto en el riesgo residual y establecemos un calendario realista de implantación con responsables asignados.

04

Implantación técnica de controles de seguridad

Ejecutamos la implantación técnica de los controles: bastionado (hardening) de sistemas operativos y servicios siguiendo guías CCN-STIC, segmentación de red y control de accesos, configuración de sistemas de detección y respuesta a incidentes (SIEM/EDR), implantación de copias de seguridad verificadas, gestión de parches y vulnerabilidades, y cifrado de comunicaciones y datos en reposo. Cada control queda documentado con la evidencia de su configuración y funcionamiento.

Qué incluye

Qué incluye Implantación técnica del ENS.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Inventario y valoración de activos del sistema

    Catálogo completo de activos en alcance —instalaciones, hardware, software, datos, servicios y personal— con valoración CIDAT por activo y por servicio, en el formato requerido por MAGERIT v3 y por la herramienta PILAR.

  • Análisis de riesgos MAGERIT v3 con herramienta PILAR

    Análisis completo de amenazas, vulnerabilidades, probabilidad e impacto, con el mapa de riesgos residuales y el plan de tratamiento que justifica la selección de medidas del Anexo II. Exportado en el formato de informe PILAR para su uso en la auditoría de conformidad.

  • Plan de adecuación documentado (CCN-STIC 806)

    Documento que recoge las medidas del Anexo II aplicables a la categoría del sistema, el nivel de refuerzo requerido para cada una, la prioridad de implantación, el calendario y los responsables, siguiendo la estructura de la guía CCN-STIC 806.

  • Implantación técnica de controles del Anexo II

    Configuración verificada de los controles técnicos: hardening de sistemas (guías CCN-STIC por plataforma), segmentación de red, control de accesos, monitorización de eventos de seguridad, copias de seguridad verificadas, gestión de parches y cifrado de comunicaciones y datos.

  • Informes de herramientas CCN (INES, AMPARO, CLARA)

    Generación y entrega de los informes de evaluación producidos por las herramientas oficiales del CCN en el formato esperado por los auditores de conformidad: informe INES para categoría básica, informes AMPARO para categoría media y alta, y listas CLARA para la auditoría.

  • Paquete de evidencias técnicas para la auditoría

    Compilación estructurada de todas las evidencias técnicas requeridas por el auditor de conformidad: capturas de configuración, logs, resultados de pruebas de recuperación, registros de incidentes y documentación de controles, lista para presentar en el proceso de declaración o certificación de conformidad.

Preguntas frecuentes sobre Implantación técnica del ENS.

¿Qué es MAGERIT y por qué es obligatorio en el contexto del ENS?

MAGERIT (Metodología de Análisis y GEstión de Riesgos de los sistemas de Información de las Administraciones públicas) es el método de análisis de riesgos de referencia para el ENS, mantenido por el Ministerio de Hacienda y Función Pública. Aunque el RD 311/2022 no obliga a usar MAGERIT en exclusiva, las guías CCN-STIC 806 y 808 lo referencian como metodología estándar, y los auditores de conformidad están familiarizados con sus informes. Usar MAGERIT con la herramienta PILAR del CCN garantiza que el análisis de riesgos sea directamente interpretable en el proceso de auditoría y que los informes generados sean válidos sin necesidad de adaptación.

¿Cuáles son las medidas técnicas más exigentes del Anexo II del ENS?

Las medidas del Anexo II se organizan en tres marcos: organizativo, operacional y de protección. Entre las más exigentes desde el punto de vista técnico para categoría media y alta se encuentran: el control de acceso con autenticación robusta (mp.ac), la gestión de la seguridad de las comunicaciones (op.exp.8), el bastionado de sistemas (op.exp.7), la protección de los soportes de información (mp.si), la gestión de incidentes con registro y análisis forense (op.exp.3), y la continuidad del servicio con copias de seguridad verificadas y planes de recuperación probados. Cada medida tiene niveles de refuerzo (refuerzo 1, 2 o 3) que se aplican en función de la categoría del sistema.

¿Qué herramientas proporciona el CCN para la adecuación al ENS?

El Centro Criptológico Nacional proporciona varias herramientas gratuitas: PILAR para el análisis de riesgos con metodología MAGERIT, INES (Índice Nacional de Evaluación de la Seguridad) para la autoevaluación de sistemas de categoría básica, AMPARO para la gestión continua del sistema de seguridad en categoría media y alta, y CLARA para las listas de verificación de auditoría. También publica herramientas de configuración segura por plataforma (guías CCN-STIC de bastionado) y el catálogo de productos y servicios de seguridad TIC cualificados (CPSTIC) para orientar la selección de soluciones.

¿Cuántas medidas tiene el Anexo II del ENS y cuáles son obligatorias según la categoría?

El Anexo II del RD 311/2022 contiene 75 medidas de seguridad, agrupadas en las categorías de marco organizativo (4 medidas), marco operacional (31 medidas en cinco grupos: planificación, control de acceso, explotación, servicios externos y gestión de incidencias y continuidad) y medidas de protección (40 medidas en seis grupos: instalaciones, sistemas, comunicaciones, soportes, aplicaciones e informáticos). No todas son obligatorias para todas las categorías: para sistemas de categoría básica se aplica un subconjunto más reducido; a mayor categoría, mayor número de medidas y mayor nivel de refuerzo exigido en cada una. El plan de adecuación individualiza esta selección para tu sistema.

¿Puede una empresa privada utilizar las herramientas PILAR e INES del CCN?

Sí. El CCN pone a disposición de cualquier organización que necesite adecuarse al ENS —tanto entidades del sector público como empresas privadas proveedoras— las herramientas PILAR, INES y AMPARO, con acceso gratuito sujeto a registro. PILAR tiene versiones de demostración y versiones completas; la versión básica es suficiente para sistemas de categoría básica. Summum Sistemas cuenta con experiencia en el uso de estas herramientas y las integra en su proceso de adecuación para producir informes directamente utilizables en la auditoría de conformidad.

¿Qué es el Perfil de Cumplimiento Específico (PCE) y cuándo aplica?

Un Perfil de Cumplimiento Específico (PCE) es un documento aprobado por el CCN que define un conjunto predeterminado de medidas del Anexo II adaptado a un tipo concreto de sistema de información o sector de actividad, simplificando el proceso de adecuación para ese perfil. Cuando existe un PCE aplicable a tu tipo de sistema, puede seguirse en lugar del proceso completo de análisis de riesgos, siempre que el sistema encaje exactamente en el perfil definido. El CCN publica los PCE vigentes en su portal; Summum Sistemas evalúa en el diagnóstico inicial si tu sistema es candidato a utilizar un PCE.

¿Cuál es la diferencia entre declaración de conformidad y certificación ENS desde el punto de vista técnico?

Desde el punto de vista técnico, ambas vías requieren que los controles del Anexo II estén efectivamente implantados y sean verificables mediante evidencias. La diferencia está en quién verifica: en la declaración de conformidad (categoría básica), la propia organización autoevalúa sus controles con la herramienta INES y declara su conformidad; en la certificación (categoría media o alta), una entidad de inspección acreditada por ENAC verifica las evidencias in situ y de forma independiente. El nivel de rigor en la documentación de evidencias debe ser igualmente alto en ambos casos, ya que la Administración contratante puede requerir la revisión de la declaración en cualquier momento.