Ciberseguridad y cumplimiento

Implantación técnica del ENS en Palencia para proveedores del sector público

La Diputación Provincial de Palencia y el Ayuntamiento de Palencia exigen que sus contratistas y proveedores tecnológicos acrediten la adecuación al Esquema Nacional de Seguridad antes de adjudicar contratos que impliquen acceso a sus sistemas de información. El RD 311/2022 (BOE-A-2022-7191), de 3 de mayo, no deja margen: si tu empresa opera sistemas que se interconectan con los de cualquier entidad del sector público palentino, debes adecuarte y demostrarlo. Summum Sistemas aborda ese proceso desde el plano técnico que más importa a los departamentos de seguridad y TI: análisis de riesgos con metodología MAGERIT, modelado y evaluación con la herramienta PILAR del CCN, implantación real de las 75 medidas del Anexo II del ENS en los tres marcos (marco organizativo, marco operacional y medidas de protección) y preparación de las evidencias técnicas que exigirá la entidad auditora.

NormativaRD 311/2022 · BOE-A-2022-7191
Ámbito localDiputación de Palencia · Ayuntamiento de Palencia
EnfoqueImplantación técnica: MAGERIT · PILAR · INES · Anexo II ENS

El Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022 de 3 de mayo, obliga no solo a las Administraciones Públicas sino también a los proveedores privados cuyos sistemas de información entran en contacto con los del sector público. En el entorno de Palencia esto significa, concretamente, que cualquier empresa tecnológica que preste servicios a la Diputación Provincial de Palencia, al Ayuntamiento de Palencia o a cualquier organismo dependiente —Instituto Provincial de Bienestar Social, organismos autónomos municipales, consorcios de entidades locales palentinas— debe adecuar sus sistemas al nivel de categoría que corresponda: básica, media o alta, según el impacto que un incidente de seguridad tendría sobre las cinco dimensiones CIDAT (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad). La disposición transitoria única del RD 311/2022 fijó el 5 de mayo de 2024 como plazo máximo para los sistemas preexistentes. Operar sin adecuación es ya un incumplimiento formal que compromete la capacidad de licitar y puede trasladar responsabilidades a la Administración contratante.

El Anexo II del RD 311/2022 recoge 75 medidas de seguridad distribuidas en tres marcos y dieciséis familias. El marco organizativo (cuatro familias) regula la política de seguridad, la normativa interna, los procedimientos operativos y el proceso de autorización de los sistemas. El marco operacional (siete familias) cubre la planificación, el control del acceso, la explotación, los servicios externos —incluida la familia op.nub para entornos en la nube, especialmente relevante dado el creciente uso de plataformas SaaS en los organismos palentinos—, la continuidad del servicio, la monitorización del sistema y la adquisición de nuevos componentes. Las medidas de protección (cinco familias) abordan las instalaciones e infraestructuras, la gestión del personal, los equipos, las comunicaciones, los soportes de información, las aplicaciones e integración en el ciclo de desarrollo y la protección de los servicios. Summum Sistemas implanta estas medidas sobre los sistemas reales de la organización, no en papel: cada medida queda técnicamente operativa y documentada con evidencias verificables.

La metodología de análisis de riesgos que exige el ENS en España es MAGERIT, desarrollada por el Consejo Superior de Administración Electrónica. MAGERIT estructura el análisis en tres libros: el método (proceso de análisis y tratamiento), el catálogo de elementos (activos, amenazas, salvaguardas tipificadas) y la guía de técnicas. Summum Sistemas aplica MAGERIT en su versión vigente sobre el inventario real de activos de la organización —servidores, aplicaciones, redes, datos, personal—, valora las amenazas sobre cada activo, calcula el riesgo intrínseco y el residual tras salvaguardas, y genera el informe de riesgo que documenta las decisiones de tratamiento. Este análisis no es un formulario genérico: se realiza específicamente sobre los sistemas que están en el alcance del ENS y se modela con la herramienta PILAR del CCN, cuyo resultado exportable en formato XML es directamente utilizable por los auditores de conformidad y por la propia Administración contratante cuando solicita evidencias del estado de seguridad del proveedor.

El proceso de Implantación técnica del ENS en Palencia para proveedores del sector público.

El proceso · cuatro tiempos
01

Alcance y categorización técnica del sistema

Identificamos los sistemas de información que están en alcance del ENS: qué servicios prestas a la Diputación de Palencia, al Ayuntamiento de Palencia o a otros organismos públicos palentinos, qué datos manejas por su cuenta, qué infraestructuras soportan esos servicios. Valoramos el impacto en las cinco dimensiones CIDAT para determinar la categoría del sistema conforme al Anexo I del RD 311/2022. Este paso es el cimiento técnico de todo el proyecto: una categorización incorrecta puede dejar fuera medidas obligatorias o sobredimensionar el esfuerzo innecesariamente.

02

Análisis de riesgos con MAGERIT y modelado en PILAR

Construimos el inventario de activos del sistema en alcance, aplicamos el catálogo de amenazas de MAGERIT, valoramos la probabilidad e impacto de cada par amenaza-activo y calculamos el riesgo intrínseco. Modelamos el análisis en la herramienta PILAR del CCN, que permite gestionar el catálogo de salvaguardas, simular escenarios de tratamiento y generar los informes de riesgo en formato estándar. El resultado incluye el mapa de riesgo residual tras las salvaguardas propuestas y la justificación técnica de las decisiones de tratamiento: mitigación, transferencia, aceptación o eliminación.

03

Implantación de las 75 medidas del Anexo II

Implantamos técnicamente las medidas del Anexo II que corresponden a la categoría del sistema, con priorización basada en el riesgo: primero las medidas que cierran las brechas de mayor impacto. Actuamos sobre los sistemas reales: configuración de controles de acceso, hardening de sistemas operativos y servicios, cifrado de comunicaciones y almacenamiento, configuración de registros de auditoría y monitorización de eventos, segmentación de redes, procedimientos de copias de seguridad verificadas y continuidad del servicio. La familia op.nub se aborda específicamente si la organización utiliza servicios en la nube como parte del sistema en alcance.

04

Evaluación con INES y preparación de evidencias técnicas

Una vez implantadas las medidas, evaluamos el estado de adecuación del sistema mediante la herramienta INES (Instrumento Nacional de Evaluación de la Seguridad) del CCN. INES genera un informe del estado de seguridad estandarizado que las Administraciones Públicas utilizan para conocer el nivel de adecuación de sus propios sistemas y que algunos organismos palentinos pueden requerir a sus proveedores como prueba del nivel alcanzado. Preparamos el paquete completo de evidencias técnicas: informes PILAR, informe INES, configuraciones documentadas, resultados de pruebas de verificación y registros de monitorización, todo estructurado para la revisión de la entidad auditora.

Qué incluye

Qué incluye Implantación técnica del ENS en Palencia para proveedores del sector público.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I ENS)

    Documento técnico que justifica la categoría ENS asignada al sistema —básica, media o alta— valorando el impacto en las cinco dimensiones CIDAT para cada servicio que se presta a organismos públicos de Palencia, con metodología trazable y referenciada al Anexo I del RD 311/2022.

  • Análisis de riesgos MAGERIT con modelo PILAR exportable

    Inventario de activos, valoración de amenazas y cálculo de riesgo intrínseco y residual aplicando la metodología MAGERIT, modelado en la herramienta PILAR del CCN y exportado en formato estándar para su revisión por la Administración contratante y por la entidad auditora de conformidad ENS.

  • Implantación técnica de las medidas del Anexo II

    Configuración y despliegue operativo de las 75 medidas de seguridad del Anexo II del RD 311/2022 en los tres marcos (organizativo, operacional y de protección) sobre los sistemas reales en alcance, incluyendo la familia op.nub para entornos con servicios en la nube.

  • Informe INES y evaluación del estado de adecuación

    Evaluación del nivel de adecuación del sistema mediante la herramienta INES del CCN, con informe exportable en formato estándar que acredita ante la Administración palentina contratante el estado real de seguridad del sistema del proveedor.

  • Paquete completo de evidencias técnicas

    Conjunto estructurado de evidencias verificables: informes PILAR e INES, configuraciones documentadas, resultados de pruebas de verificación de medidas, registros de monitorización y auditoría, y documentación de procedimientos operativos, todo listo para presentar ante la entidad auditora de conformidad.

  • Soporte técnico durante la auditoría de conformidad

    Acompañamiento técnico durante la auditoría por la entidad acreditada ENAC: respuesta a consultas del auditor, aportación de evidencias adicionales y corrección ágil de desviaciones menores detectadas en el proceso, minimizando el riesgo de no conformidades que retrasen la obtención de la conformidad.

Preguntas frecuentes sobre Implantación técnica del ENS en Palencia para proveedores del sector público.

¿El ENS obliga a los proveedores tecnológicos de la Diputación de Palencia y del Ayuntamiento de Palencia?

Sí. El artículo 2 del RD 311/2022 establece que el ENS aplica a los sistemas de información de las entidades del sector público y a los de los proveedores que les prestan servicios cuando dichos sistemas están conectados o intercambian información con los del sector público. Tanto la Diputación Provincial de Palencia como el Ayuntamiento de Palencia son entidades locales sujetas al ENS, lo que extiende la obligación a sus proveedores tecnológicos: empresas de software, de mantenimiento de sistemas, de servicios en la nube contratados por la Administración, de soporte TI y de cualquier otro servicio en el que los sistemas del proveedor entren en contacto con los de la Administración palentina.

¿Qué es MAGERIT y por qué se usa en el ENS?

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas) es la metodología oficial de análisis de riesgos del sector público español, desarrollada por el Consejo Superior de Administración Electrónica. El ENS exige que los sistemas de información en su alcance dispongan de un análisis de riesgos actualizado como base para la selección proporcional de las medidas de seguridad del Anexo II. MAGERIT es la metodología de referencia para ese análisis en el contexto de la Administración Pública española y sus proveedores: define el proceso, el catálogo de activos, amenazas y salvaguardas tipificadas, y establece la forma de calcular y documentar el riesgo de manera que sea comprensible y verificable por auditores de conformidad.

¿Qué herramientas del CCN se usan en la implantación técnica del ENS?

El Centro Criptológico Nacional (CCN) pone a disposición de las entidades del sector público y sus proveedores un conjunto de herramientas gratuitas que Summum Sistemas integra en el proceso de implantación. PILAR es la herramienta de modelado y evaluación de riesgos basada en MAGERIT: permite construir el inventario de activos, valorar amenazas, gestionar el catálogo de salvaguardas y generar informes de riesgo en formato estándar. INES (Instrumento Nacional de Evaluación de la Seguridad) es la herramienta de autoevaluación del estado de adecuación al ENS: genera un informe del estado de seguridad que algunas Administraciones, incluidas entidades del sector público palentino, pueden solicitar a sus proveedores como evidencia del nivel de cumplimiento alcanzado.

¿Cuántas medidas del Anexo II del ENS hay que implantar y cuáles son las más críticas?

El Anexo II del RD 311/2022 recoge 75 medidas de seguridad en tres marcos y dieciséis familias. El número de medidas obligatorias depende de la categoría del sistema: básica, media o alta. En categoría básica son exigibles las medidas marcadas con nivel [B]; en categoría media, las marcadas con [B] y [M]; en categoría alta, las de [B], [M] y [A]. No todas las medidas tienen el mismo peso en la práctica: las más críticas para los proveedores tecnológicos suelen ser las del marco operacional, especialmente el control de acceso (op.acc), la explotación del sistema (op.exp), la continuidad del servicio (op.cont) y, si se usan servicios en la nube, la familia de servicios en la nube (op.nub). Summum Sistemas prioriza la implantación según el perfil de riesgo real de cada organización.

¿Qué diferencia hay entre declaración de conformidad y certificación en el ENS?

Para sistemas de categoría básica, la vía de conformidad es la declaración de conformidad autoevaluada: la propia organización evalúa su sistema siguiendo el procedimiento de la CCN-STIC 809, documenta los resultados y firma la declaración de conformidad, que puede inscribirse en el registro del CCN. Para sistemas de categoría media o alta, la conformidad debe ser certificada por una entidad de inspección acreditada por ENAC conforme a la norma UNE-EN ISO/IEC 17065. Summum Sistemas no emite ningún certificado de conformidad ENS —eso es competencia exclusiva de las entidades acreditadas por ENAC—, pero prepara técnicamente el sistema para superar ese proceso de certificación con las mayores garantías.

¿Cuánto tiempo lleva la implantación técnica del ENS para un proveedor del sector público palentino?

Depende de la categoría del sistema, del tamaño de la organización y del estado de partida en materia de seguridad técnica. Para sistemas de categoría básica con una infraestructura razonablemente ordenada, el proceso de implantación técnica —análisis MAGERIT, configuración de medidas y preparación de evidencias— puede completarse en dos a cuatro meses. Para categoría media, el plazo habitual oscila entre cuatro y ocho meses. Para categoría alta, con sistemas complejos, puede requerir entre ocho y catorce meses. En todos los casos, el análisis de riesgos MAGERIT con PILAR es el punto de partida: sin él no es posible dimensionar correctamente el esfuerzo de implantación ni justificar la selección proporcional de medidas que exige el ENS.