El Real Decreto 311/2022, de 3 de mayo, que aprueba el Esquema Nacional de Seguridad, alcanza a mucho más que a la propia Administración: su artículo 2 extiende la obligación de adecuación a los sistemas de información de las entidades privadas que prestan servicios o suministran soluciones tecnológicas a cualquier entidad del sector público sujeta al ENS. En el entorno de Las Palmas de Gran Canaria eso incluye al Gobierno de Canarias —cuya Consejería de Administración Pública tiene competencias directas sobre la transformación digital del sector público regional—, al Cabildo de Gran Canaria, al Ayuntamiento de Las Palmas de Gran Canaria y a la Universidad de Las Palmas de Gran Canaria (ULPGC). Si tus sistemas de información entran en contacto con los de cualquiera de esas entidades —porque les prestas un servicio gestionado, les suministras software, procesas datos de ciudadanos por su cuenta o gestionas infraestructuras de comunicaciones que soportan sus sistemas—, la adecuación al ENS es una obligación legal. La disposición transitoria única del RD 311/2022 fijó el 5 de mayo de 2024 como límite para los sistemas ya existentes; a partir de esa fecha, operar sin adecuación supone un incumplimiento que puede bloquear el acceso a contratos públicos y comprometer la posición de la entidad contratante.
Summum Sistemas aborda la adecuación al ENS desde el ángulo técnico-operativo: la implantación efectiva de las medidas de seguridad del Anexo II del RD 311/2022. Ese Anexo agrupa 75 medidas en tres marcos y dieciséis familias. El marco organizativo establece la política de seguridad, la normativa y los procedimientos de seguridad, el proceso de autorización y la gestión de la adquisición de nuevos componentes. El marco operacional, con sus siete familias —planificación (op.pl), control de acceso (op.acc), explotación (op.exp), servicios externos (op.ext), gestión de incidencias (op.mon), continuidad del servicio (op.cont) y operación en la nube (op.nub)—, recoge las 33 medidas de mayor complejidad técnica, entre ellas las específicas para entornos cloud (op.nub), de alta relevancia en un mercado tecnológico como el canario, donde muchas empresas TIC trabajan con arquitecturas en la nube pública para dar servicio a organismos públicos. Las medidas de protección, en sus nueve familias, cubren instalaciones y entorno físico, gestión del personal, protección de los puestos de trabajo, protección de las comunicaciones, protección de los soportes de información, protección de las aplicaciones informáticas, protección de la información y protección de los servicios.
El análisis de riesgos con metodología MAGERIT y la herramienta PILAR del Centro Criptológico Nacional es el núcleo técnico del proceso de adecuación. MAGERIT permite identificar los activos del sistema de información —hardware, software, datos, servicios, comunicaciones e instalaciones—, valorar las dependencias entre ellos y calcular el impacto que cada amenaza materializada tendría sobre las cinco dimensiones de seguridad CIDAT: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. La herramienta PILAR, desarrollada y distribuida por el CCN, implementa esta metodología en un entorno guiado que genera informes directamente utilizables como evidencia técnica ante los auditores de conformidad. Junto a PILAR, el CCN proporciona INES (Índice Nacional de Evaluación de la Seguridad), que evalúa el nivel de madurez de implantación de cada medida del Anexo II y genera el cuadro de estado que acompaña a la declaración de conformidad o que prepara la auditoría por entidad acreditada ENAC. En Las Palmas de Gran Canaria, las empresas TIC del sector audiovisual, turístico, portuario y de servicios digitales encuentran en este acompañamiento técnico la palanca para diversificar su cartera de clientes incorporando contratos con la Administración Pública canaria sin tener que construir desde cero un equipo de seguridad especializado.