Sector público

Implantación técnica del ENS en Sevilla para proveedores de la Administración

Sevilla concentra la sede de la Presidencia de la Junta de Andalucía en el Palacio de San Telmo, junto a la Diputación de Sevilla, el Ayuntamiento de Sevilla, la Universidad de Sevilla y la Universidad Pablo de Olavide. Las cinco son entidades del sector público sujetas al Esquema Nacional de Seguridad, y el RD 311/2022 (BOE-A-2022-7191) extiende esa obligación a toda empresa que les preste servicios tecnológicos o suministre soluciones que entren en contacto con sus sistemas. Summum Sistemas implanta técnicamente las 73 medidas del Anexo II: análisis de riesgos con metodología MAGERIT, modelado con la herramienta PILAR del CCN, hardening de sistemas y generación del paquete de evidencias que sostiene la declaración o certificación de conformidad. Ingeniería aplicada, no papeleo.

NormativaRD 311/2022 · BOE-A-2022-7191
ÁmbitoProveedores TIC de la Administración en Sevilla
EnfoqueImplantación técnica · MAGERIT · PILAR · INES · Anexo II

El artículo 2 del RD 311/2022 no deja margen de interpretación: el Esquema Nacional de Seguridad se aplica también a las entidades privadas cuando sus sistemas de información prestan servicios o tratan datos por cuenta de entidades del sector público sujetas al ENS. En Sevilla eso alcanza a los proveedores de la Junta de Andalucía —cuya Presidencia tiene su sede en el Palacio de San Telmo—, de la Diputación de Sevilla, del Ayuntamiento de Sevilla, de la Universidad de Sevilla y de la Universidad Pablo de Olavide. La disposición transitoria única fijó el 5 de mayo de 2024 como fecha límite de adecuación para los sistemas ya existentes; los sistemas nuevos deben cumplir desde su puesta en producción, y su ausencia puede excluir a una empresa de la licitación pública en cualquiera de estos organismos.

Summum Sistemas se ocupa del plano que le es propio: la implantación técnica real de las medidas de seguridad del Anexo II del RD 311/2022. Ese Anexo organiza 73 medidas en tres marcos —organizativo, operacional y de protección— repartidas en 16 familias, siete de ellas dentro del bloque operacional, que incluye la familia op.nub para servicios en la nube, especialmente relevante para los proveedores SaaS que dan servicio a organismos andaluces con infraestructura cloud. Redactar una política de seguridad no basta: hay que configurar sistemas, endurecer servicios, desplegar monitorización, gestionar vulnerabilidades y dejar evidencia técnica verificable de que cada medida está efectivamente implantada.

El punto de partida de cualquier implantación seria es el análisis de riesgos. El ENS exige que la selección de medidas del Anexo II se sustente en un análisis formal, proporcional a la categoría del sistema. Summum Sistemas aplica la metodología MAGERIT del CCN —la referencia oficial para el análisis de riesgos en el ámbito de la Administración española— y la ejecuta con la herramienta PILAR, que modela activos, amenazas y salvaguardas de forma trazable y genera el informe de riesgo residual que los auditores de conformidad esperan encontrar. Para verificar el grado de implantación medida a medida usamos además INES (Informe Nacional del Estado de Seguridad), la plataforma de autoevaluación del CCN que produce el cuadro de estado por familia y sustenta la declaración de conformidad.

El proceso de Implantación técnica del ENS en Sevilla para proveedores de la Administración.

El proceso · cuatro tiempos
01

Alcance, organismos afectados y categorización ENS

Identificamos los sistemas de información en alcance y los servicios que prestas a organismos públicos de Sevilla —Junta de Andalucía, Diputación, Ayuntamiento, Universidad de Sevilla, Universidad Pablo de Olavide u otros—, junto con los flujos de datos que conectan tus sistemas con los suyos. Aplicamos el Anexo I del RD 311/2022 para determinar la categoría ENS (básica, media o alta) valorando el impacto en las cinco dimensiones CIDAT. Esa categoría fija qué medidas del Anexo II son exigibles y qué vía de conformidad corresponde.

02

Análisis de riesgos MAGERIT con la herramienta PILAR

Ejecutamos el análisis de riesgos con metodología MAGERIT v3 y lo modelamos con PILAR, la herramienta del CCN: inventario de activos, dependencias, amenazas aplicables del catálogo MAGERIT, valoración de frecuencia e impacto y cálculo del riesgo residual tras las salvaguardas existentes. El informe resultante es la base objetiva sobre la que se seleccionan y priorizan las medidas del Anexo II, y forma parte del expediente técnico de conformidad.

03

Evaluación de madurez con INES y mapa de brechas

Aplicamos el cuestionario INES para evaluar el nivel de implantación real de las medidas del Anexo II en las familias que corresponden a la categoría asignada. El resultado es un mapa de madurez por familia y una lista priorizada de brechas técnicas, con esfuerzo estimado y dependencias entre medidas, para que sepas exactamente qué falta antes de afrontar la auditoría de conformidad.

04

Implantación técnica de las medidas del Anexo II

Implantamos las medidas pendientes: hardening de sistemas operativos y servicios conforme a las guías CCN-STIC, control de accesos y autenticación reforzada, cifrado de comunicaciones y almacenamiento, copias de seguridad, monitorización y registro de eventos de seguridad, y gestión de vulnerabilidades con ciclo de parcheo documentado. Para servicios en la nube trabajamos además la familia op.nub: evaluación del proveedor cloud, segregación de entornos y controles de acceso específicos.

Qué incluye

Qué incluye Implantación técnica del ENS en Sevilla para proveedores de la Administración.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización ENS (Anexo I)

    Documento técnico que justifica la categoría asignada —básica, media o alta— valorando el impacto en las cinco dimensiones CIDAT para cada servicio prestado a organismos públicos de Sevilla, con metodología trazable y referencia explícita al RD 311/2022.

  • Análisis de riesgos MAGERIT con informe PILAR

    Análisis formal de riesgos conforme a MAGERIT v3, ejecutado con la herramienta PILAR del CCN: inventario de activos, árbol de dependencias, valoración de amenazas e impactos y cálculo del riesgo residual, presentable como evidencia técnica ante auditores de conformidad.

  • Evaluación de madurez INES por familia de medidas

    Informe de estado de implantación de las medidas del Anexo II generado con la herramienta INES del CCN, con nivel de madurez por familia y mapa de brechas priorizado para cerrar antes de la auditoría de conformidad.

  • Hardening técnico documentado por sistema

    Aplicación de las guías CCN-STIC sobre cada sistema operativo, servicio y componente en alcance: configuración de seguridad, eliminación de servicios innecesarios, gestión de privilegios mínimos y evidencia de cada cambio con registro de versión y fecha.

  • Monitorización y gestión de vulnerabilidades

    Configuración de los mecanismos de registro, correlación y alerta de eventos de seguridad (op.mon, op.exp) y ciclo documentado de identificación, priorización y remediación de vulnerabilidades técnicas, con registros de parches aplicados y validación de cierre.

  • Paquete completo de evidencias para conformidad

    Conjunto estructurado de toda la documentación técnica requerida para la declaración de conformidad (categoría básica, CCN-STIC 809) o para la auditoría por entidad acreditada ENAC (categoría media o alta): informes, capturas, registros y procedimientos ordenados por familia de medida.

Preguntas frecuentes sobre Implantación técnica del ENS en Sevilla para proveedores de la Administración.

¿Por qué el ENS afecta a mi empresa si solo trabajo con la Diputación de Sevilla o el Ayuntamiento de Sevilla?

El artículo 2 del RD 311/2022 extiende la obligación del ENS a los sistemas de información de las entidades privadas que prestan servicios o suministran soluciones a entidades del sector público sujetas al Esquema. La Diputación de Sevilla y el Ayuntamiento de Sevilla están sujetos al ENS como Administraciones Públicas. Si tus sistemas gestionan datos de cualquiera de ellos, alojan software que usan o intercambian información con los suyos, la adecuación al ENS es obligatoria y puede ser requisito de solvencia técnica en los pliegos de contratación.

¿La Universidad de Sevilla y la Universidad Pablo de Olavide también exigen el ENS a sus proveedores?

Sí. Ambas son universidades públicas y, por tanto, entidades del sector público sujetas al ENS. Sus contratos de servicios digitales —desarrollo de software, alojamiento de sistemas, tratamiento de datos de estudiantes o investigación, servicios en la nube— trasladan la obligación de adecuación al ENS a los proveedores privados que participan en ellos. Cada vez con más frecuencia, sus pliegos de licitación incluyen cláusulas específicas que exigen acreditar el cumplimiento del Esquema.

¿Qué aporta la herramienta PILAR frente a un análisis de riesgos hecho a medida en una hoja de cálculo?

PILAR es la herramienta de análisis de riesgos desarrollada por el CCN que implementa la metodología MAGERIT de forma estructurada, con catálogos de activos, amenazas y salvaguardas alineados con el Anexo II del RD 311/2022. Genera informes en el formato que esperan los auditores de conformidad, con resultados reproducibles y comparables entre revisiones. Un análisis artesanal en hoja de cálculo no está prohibido, pero dificulta la trazabilidad entre amenazas, riesgos y medidas aplicadas, lo que suele generar observaciones durante la auditoría ENAC.

¿Cuántas medidas tiene el Anexo II del ENS y cuáles me aplican en Sevilla?

El Anexo II del RD 311/2022 recoge 73 medidas organizadas en tres marcos y 16 familias: el marco organizativo (4 medidas), el marco operacional —7 familias y 33 medidas, incluida la familia op.nub para servicios en la nube— y las medidas de protección —8 familias y 36 medidas—. Qué medidas son obligatorias depende de la categoría de tu sistema (básica, media o alta), que resulta del análisis de impacto sobre las cinco dimensiones CIDAT. Summum Sistemas realiza ese diagnóstico para determinar el subconjunto exacto aplicable a tu empresa.

¿Qué es la familia op.nub y por qué es relevante para proveedores de la Junta de Andalucía que usan cloud público?

La familia op.nub del marco operacional del Anexo II regula los requisitos de seguridad específicos de los servicios de computación en la nube: evaluación del proveedor cloud, segregación de entornos, gestión de accesos y cadena de suministro de servicios cloud. Aplica siempre que el sistema en alcance use infraestructura IaaS, PaaS o SaaS. Para proveedores TIC de la Junta de Andalucía o de otros organismos sevillanos que operan sobre infraestructura cloud pública, esta familia debe quedar explícitamente tratada en el análisis de riesgos y en el plan de implantación.

¿Summum Sistemas emite el certificado de conformidad ENS?

No. Para sistemas de categoría básica, la declaración de conformidad la emite la propia organización de forma autoevaluada, conforme al procedimiento de la CCN-STIC 809. Para categoría media o alta, la certificación la emite una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065. Summum Sistemas no emite ningún certificado —es competencia exclusiva de las entidades acreditadas por ENAC—; implantamos las medidas técnicas del Anexo II, generamos el paquete de evidencias y preparamos tus sistemas para superar ese proceso con garantías.