FAQ
El objetivo de esta sección es proporcionar a las organizaciones del ámbito de aplicación del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, pertenezcan tanto al sector público como al privado, un mecanismo para resolver de forma rápida y eficaz aquellas dudas que surgen habitualmente en torno al cumplimiento, la adecuación y la certificación de los sistemas de información de que se trate a las disposiciones del citado cuerpo legal.
Por tanto, los textos contenidos en la presente sección no deben considerarse normas imperativas ni, en modo alguno, normas pertenecientes al ordenamiento jurídico relativo al Esquema Nacional de Seguridad.
Desde el 5 de mayo de 2022, en virtud de lo señalado por el RD 311/2022, de 3 de mayo, el Real Decreto 3/2010, de 8 de enero, ha quedado derogado. No obstante, para facilitar una transición ordenada y la necesaria adecuación de las Entidades de Certificación al nuevo marco normativo, tal y como ha comunicado el CCN, los sistemas de información preexistentes a la entrada en vigor del RD 311/2022 podrán, hasta el 5 de mayo de 2024, seguir utilizando el procedimiento de certificación contra el RD 3/2010, de 8 de enero, sabiendo que la fecha máxima de validez de los certificados así emitidos no podrá superar el 5.5.2024. Por su parte, la certificación contra el RD 311/2022, de 3 de mayo, podrá acometerse desde el 1 de diciembre de 2022 y las certificaciones tendrán la validez habitual de dos años naturales.

El ENS, en base al establecimiento y desarrollo de unos principios básicos y unos requisitos mínimos, proporciona a las organizaciones que dispongan de sus sistemas de información conformes a sus disposiciones y gestionados en el ejercicio de sus competencias, una protección adecuada de los servicios prestados y de la información tratada por éstos, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios apoyados directa o indirectamente en medios electrónicos.
Tanto para las organizaciones del sector público como para las pertenecientes al sector privado que les aportan soluciones o les prestan servicios competenciales, lo dispuesto en el ENS permite satisfacer los principios de actuación y los requisitos de seguridad de las Administraciones Públicas que les permitan alcanzar sus objetivos.
Para los ciudadanos, destinatarios últimos del servicio público, supone la garantía de que las entidades públicas con las que se relacionan reúnen las condiciones de seguridad necesarias para salvaguardar su información y sus derechos.
El Esquema Nacional de Seguridad, tal y como está recogido en su art. 2, resulta de aplicación a las entidades del sector público, a las entidades del sector privado que les presten servicios competenciales y, en general, a la cadena de suministro de estas últimas, en la medida que un análisis de riesgos previo así lo determine.
Además, hay que recordar que las medidas del ENS son asimismo de aplicación para aquellas entidades que determina la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantías de los derechos digitales, cuando se realicen tratamientos de datos personales.
Por último, el ENS también es de aplicación a los sistemas que tratan información clasificada, pudiendo resultar necesario adoptar medidas complementarias de seguridad, específicas para dichos sistemas que asimismo están sujetos a la Ley 9/1968, de 5 de abril, de Secretos Oficiales (LSO), y las derivadas de los compromisos internacionales contraídos por España, o consecuencia de su pertenencia a organismos o foros internacionales.
El Esquema Nacional de seguridad está regulado específicamente por la siguiente normativa:
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
- Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
- Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción de Seguridad de conformidad con el Esquema Nacional de Seguridad.
- Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
- Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
La relación de otra normativa relacionada con la ciberseguridad en España puede consultarse en el Código de Derecho de la Ciberseguridad editado por el BOE.
Las Series CCN-STIC, clasificadas en varias Series, comprenden un conjunto de documentos, instrucciones, guías y buenas prácticas recomendadas, desarrolladas por el Centro Criptológico Nacional al objeto de proporcionar a las organizaciones herramientas adecuadas para mejorar el grado de ciberseguridad de sus sistemas de información. Más concretamente, la Serie CCN-STIC 800 comprende un conjunto de guías para favorecer la implementación del ENS y como ayuda para un mejor cumplimiento de sus disposiciones.
En la solución INES/AMPARO del CCN, se incluyen plantillas de prácticamente todos los documentos relevantes que pueden llegar a requerirse para elaborar el Plan de Adecuación del ENS y su implantación práctica, especialmente orientados a la capa de gestión de la seguridad de la información aplicada sobre el/los sistema(s) de información.
Si su organización se encuentra comprendido en el ámbito de aplicación del ENS, debe cumplir con lo establecido en el Real Decreto 311/2022. Para ello, debe comenzar el proceso de adecuación al ENS y, como primer paso, deberá acometer la aprobación de la Política de Seguridad de la Información (PSI) de la organización, asignando los roles que determina el ENS.
µCeENS es una metodología innovadora que se beneficia de las novedades del RD 311/2022, de 3 de mayo, para facilitar la obtención de la Certificación de Conformidad en el Esquema Nacional de Seguridad (ENS) en base a un Perfil de Cumplimiento Específico (PCE).
Con esta metodología se proporciona el acompañamiento y la asistencia necesaria para alcanzar la Certificación de Conformidad con el ENS desde la fase previa a la adecuación, hasta después de su obtención, todo ello automatizado en las herramientas de Gobernanza de la Ciberseguridad (INES-AMPARO).
Guías STIC 800
El Plan de Adecuación es un conjunto ordenado de acciones tendentes a satisfacer lo exigido por el ENS. Este Plan deberá contemplar las siguientes fases:
- Preparar y aprobar la Política de Seguridad de la Información (PSI) y la Normativa Interna de Seguridad, incluyendo la definición de roles y la asignación de responsabilidades a los mismos. Si se trata de sistemas que manejan información clasificada, asimismo se atenderá a criterios adicionales de organización de la seguridad.
- Analizar y categorizar los sistemas de información, atendiendo a la valoración de la información manejada, teniendo en cuenta si incluye datos de carácter personal, y la valoración de los servicios prestados.
- Preparar la Declaración de Aplicabilidad Inicial de las medidas del Anexo II del ENS atendiendo, si procede, a determinado Perfil de Cumplimiento al que pueda adscribirse el/los sistema(s) de información.
- Desarrollar un Análisis de Riesgos, a fin de verificar que las medidas de seguridad derivadas de la Declaración de Aplicabilidad Inicial son adecuadas y suficientes.
- Obtener la Declaración de Aplicabilidad definitiva.
- Iniciar las acciones tendentes a la implantación del resto de las medidas exigidas para el nivel de seguridad y la categoría de seguridad definidas.
La Política de Seguridad de la Información (PSI) es un documento de alto nivel que muestra el compromiso de una organización con la seguridad de la información y determina el conjunto de directrices que rigen la forma en que una organización gestiona y protege la información que trata y los servicios que presta. Dicho documento debe estar accesible por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible.
Al tratarse de un documento de alto nivel en la organización conviene que sea breve, dejando los detalles técnicos para otros documentos normativos que la desarrollen. Como se trata de un documento público no debe poner de manifiesto vulnerabilidades que puedan ser explotadas por actores maliciosos.
La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 del ENS, deberá ser conocida por todas las personas que formen parte de la organización y definir de forma inequívoca a los roles responsables de velar por su cumplimiento. Una práctica adicional común consiste en que se encuentre accesible desde la página Web, portal o sede electrónica de la organización y, para determinados organismos públicos, publicarla en el Boletín Oficial del Estado (BOE), Boletín de la Comunidad Autónoma, o Boletín Oficial de la Provincia (BOP), según corresponda.
Esta norma será aprobada por la Dirección General de la organización (órgano superior de que se trate, en el Sector Público), y se plasmará en un documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente:
- Los objetivos o misión de la organización.
- El marco legal y regulatorio en el que se desarrollarán las actividades.
- Los roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.
- La estructura del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, los miembros y la relación con otros elementos de la organización.
- Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
Los roles del ENS son los asumidos por las personas responsables de velar por su cumplimiento, en base a la diferenciación de responsabilidades que señala el artículo 11 del ENS y considerando que la responsabilidad de la seguridad de los sistemas de información debe estar diferenciada de la responsabilidad sobre su explotación.
Concretamente, se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema, principalmente.
Como se ha indicado respecto a la Política de Seguridad de la Información (PSI) de la organización, ésta detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
A modo de resumen:
- El responsable del servicio determinará los requisitos de los servicios prestados.
- El responsable de la información determinará los requisitos de la información tratada. Los roles del responsable de la información y el responsable del servicio pueden concurrir en la misma persona física que actúe en su representación.
- El responsable de la seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos, y reportará sobre estas cuestiones al Comité de Seguridad de la Información.
- El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
El responsable de la seguridad será distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos. Si debido al tamaño y carencia de recursos de la organización no es posible, deberán aplicarse las medidas compensatorias convenientes para garantizar la diferenciación de responsabilidades y ausencia de conflicto de interés.
Asimismo, el ENS prevé la figura del Administrador de Seguridad (ASEG) como recurso para aquellas organizaciones en las que el Responsable de Seguridad (RSEG) no tenga todos los conocimientos técnicos necesarios y pueda apoyarse en él. En ese caso, el RSEG tendrá un desempeño más estratégico mientras que el ASEG lo tendrá más operativo. Un ejemplo sería una EE.LL. que nombrase al Secretario del Ayuntamiento como RSEG, el cual deberá apoyarse en un ASEG interno, o externo contratado en modalidad de prestación de servicios.
De cara a instrumentalizar la organización de la seguridad de una entidad, se pueden crear comités, que se articularán y funcionarán como órganos colegiados de acuerdo a la normativa administrativa.
El Comité de Seguridad de la Información, se responsabiliza de alinear las actividades de la organización en materia de seguridad de la información.
Su composición incluirá como mínimo a todos los roles del ENS (responsable del servicio, responsable de la información, responsable de la seguridad y responsable del sistema). Es una buena práctica incluir al Delegado de Protección de Datos (DPD), debido a que la disposición adicional primera de la LOPD-GDD determina que, en el sector público y privado vinculado, las medidas de seguridad del ENS se emplearán para proteger la información de naturaleza personal, por lo que el DPD tiene intereses comunes respecto al ENS.
En aquellas organizaciones en que exista un Comité de Seguridad Corporativa, cuya responsabilidad sea alinear todas las actividades de la organización en materia de seguridad, como es la seguridad patrimonial, la seguridad física, etc., el Comité de Seguridad de la Información podría llegar a incluirse en él.
Asimismo, en grandes organizaciones puede ser útil desglosar en dos el Comité de Seguridad de la Información: Un Comité más orientado a la Dirección de la Seguridad, con potestad de adoptar cualquier decisión en el ámbito de sus competencias y otro Comité Técnico, más orientado al día a día de la seguridad y su seguimiento continuado. Esta distribución permite en su conjunto un desempeño más próximo a la organización.
El ENS no prevé sanciones por incumplimiento. No obstante, como sucede con el resto de la legislación de aplicación a las Administraciones Públicas, la inexistencia (o inaplicabilidad, en su caso) de un régimen sancionador no obsta para que persista la denominada Responsabilidad Patrimonial de las Administraciones Públicas, en virtud de la cual el ciudadano debe ser resarcido de los daños patrimoniales que sufra como consecuencia de daños ocasionados por acción u omisión de las Administraciones Públicas, sabiendo que, en todo caso, el daño alegado, habrá de ser efectivo, evaluable económicamente e individualizado con relación a una persona o grupo de personas.
La responsabilidad de las Administraciones Públicas, en nuestro ordenamiento jurídico, tiene su base no solo en el principio genérico de la tutela efectiva que en el ejercicio de los derechos e intereses legítimos viene reconocido en el art. 24, CE sino también, en el art. 106.2, CE al disponer que los particulares, en los términos establecidos por la Ley, tendrán derecho a ser indemnizados por toda lesión que sufran en cualesquiera de sus bienes y derechos, salvo los casos de fuerza mayor, siempre que sea consecuencia del funcionamiento de los servicios públicos.
Las Administraciones Públicas indemnizarán a los particulares por la aplicación de actos legislativos de naturaleza no expropiatoria de derecho y que éstos no tengan el deber jurídico de soportar, cuando así se establezcan en los propios actos legislativos y en los términos que especifiquen dichos actos.
No obstante lo anterior, el comportamiento inadecuado de la Administración puede deberse también a una negligencia o falta de la debida diligencia por parte de los empleados públicos, razón por la cual, pero al margen de la antedicha Responsabilidad Patrimonial de las Administraciones Públicas, el funcionario incumplidor podría ser sometido a las sanciones disciplinarias a las que hubiera lugar, circunstancia que se da no solo en el caso del Responsable de la Seguridad, sino en cualquier otro puesto o cargo público.
En la actualidad, el ENS no establece ningún requisito para ser nombrado Responsable de Seguridad (RSEG) más allá de la debida competencia para el desempeño de las funciones como tal.
No obstante, indicar que en el marco del Foro Nacional de Ciberseguridad (FNCS) se ha definido el Esquema Nacional de Responsables de Ciberseguridad, que si bien ya se puede consultar en la página web del FNCS, todavía no ha sido promulgado oficialmente. Cuando eso ocurra, la Entidad Nacional de Acreditación (ENAC) supervisará la instrumentalización de dicho esquema de certificación de personas que, al igual que ocurre con la certificación de DPD, será voluntario.
Las categorías de los sistemas de información en el ENS y cómo determinarla está definido en el Anexo I del Real Decreto 311/2022. En él se indica que la categoría de un sistema se basa en la valoración del impacto que tendría sobre la organización un incidente que afectase a la seguridad de la información tratada o de los servicios prestados para:
a) Alcanzar sus objetivos.
b) Proteger los activos a su cargo.
c) Garantizar la conformidad con el ordenamiento jurídico.
El análisis de riesgos de seguridad es un proceso sistemático para estimar la magnitud de los riesgos a que están expuestos los sistemas de información de una organización.
El nivel de exigencia en la gestión de riesgos orientada a la seguridad dependerá de la categoría del sistema, bastando para categoría BÁSICA un análisis informal.
Como sistemática generalizada, en una primera fase denominada de identificación, se determinan los activos más relevantes del sistema y, para cada uno de ellos, las amenazas posibles. Seguidamente, en una segunda fase denominada de análisis, se obtiene el valor del riesgo para cada binomio (activo – amenaza) en función de la probabilidad estimada de que se materialice la amenaza y del impacto o degradación del activo caso de que finalmente así ocurra. A continuación, comparando cada valor de riesgo obtenido con el llamado umbral o apetito de riesgo definido en la organización, se evaluarán aquellos riesgos considerados inaceptables, que deberán tratarse para, si es posible, reducirse a valores por debajo del umbral.
Existen varias formas de tratar los riesgos evaluados como inaceptables: evitando las circunstancias que lo provocan, reduciendo las posibilidades de que ocurran, acotando sus consecuencias, transfiriéndolo o compartiéndolo con otra organización, o incluso, aceptando que pueda ocurrir y previendo recursos para actuar cuando sea necesario.
Para seguimiento de las acciones de tratamiento o mitigación, se suele establecer un Plan de Tratamiento de Riesgos (PTR) que contiene el estado de cada acción, el responsable, la fecha prevista de inicio y final, los recursos necesarios, etc.
En algunas organizaciones, el PTR se incluye, en todo o en parte, en el llamado Plan Director de Seguridad que, implantado y operado, deberá satisfacer el nivel de riesgo que acepta la Dirección de la organización.
El ENS no impone ninguna metodología concreta para el análisis y gestión de los riesgos más allá de la necesidad de utilizar una metodología reconocida, cuya funcionalidad y resultados puedan ser contrastables.
La metodología MAGERIT está muy evolucionada y extendida en el sector público, habiendo otras metodologías y normas genéricas, como puede ser la ISO 31000:2018 sobre directrices para la gestión del riesgo, que no se contradicen, sino que más bien se complementan.
En el ámbito del ENS, es el documento en el que se formaliza la relación de medidas de seguridad recogidas en el Anexo II del Real Decreto 311/2022, que resultan de aplicación al sistema de información de que se trate, conforme a su categoría. Debe estar aprobada mediante su suscripción por parte del responsable de la seguridad (RSEG) o, en su caso, por un acta del Comité de Seguridad del que forma parte el RSEG.
Adicionalmente, tal como se señala en el artículo 28.2 del ENS, las medidas de seguridad tasadas en función de la categoría del sistema, concretadas mediante requisitos base y refuerzos obligatorios, podrán ser complementados con refuerzos obligatorios para una categoría superior o con refuerzos opcionales, si así se requiere para tratar riesgos concretos evaluados como inaceptables en la organización. Asimismo, se podrán incluir medidas de seguridad establecidas únicamente para categorías superiores. En ese caso se reflejarán asimismo en la Declaración de Aplicabilidad.
Al contrario, determinadas medidas de seguridad establecidas para la categoría del sistema, podrán obviarse si se evidencia que no tienen aplicación en el sistema de información, como es el caso, por ejemplo, de los sellos de tiempo para categoría ALTA, que no se utilizan en todas las organizaciones. Deberá justificarse en la Declaración de Aplicabilidad.
Asimismo, las medidas de seguridad referenciadas en el anexo II del ENS podrán ser reemplazadas por otras compensatorias, siempre y cuando se justifique documentalmente que protegen, igual o mejor, del riesgo sobre los activos. Se harán constar en la Declaración de Aplicabilidad, vinculando el estudio elaborado según se determina en la guía CCN-STIC 819 sobre medidas compensatorias.
Por último, se podrán establecer medidas complementarias de vigilancia, durante un limitado período temporal necesario en ocasiones para implementar completamente una medida de seguridad. Dichas medidas complementarias consiguen compensar la situación provisional de la medida. Deben reflejarse también en la Declaración de Aplicabilidad.
Un Perfil de Cumplimiento Específico (PCE) es un conjunto de medidas de seguridad, comprendidas o no en el Real Decreto 311/2022 que, como consecuencia del preceptivo análisis de riesgos, resulten de aplicación a una entidad o sector de actividad concreta y para una determinada categoría de seguridad.
Los PCE deben ser aprobados por el Centro Criptológico Nacional, permitiendo alcanzar una adaptación del ENS más eficaz y eficiente, racionalizando los recursos requeridos sin menoscabo de la protección perseguida y exigible.
Cuando la implementación de un PCE requiera configuraciones de seguridad específicas, en función de las distintas tecnologías, se publicará junto con las correspondientes Guías STIC de Configuración.
Hasta la fecha se dispone de PCE para EE.LL., Universidades y Servicios en la Nube.
El procedimiento para obtener la conformidad con el Esquema Nacional de Seguridad está regulado en el artículo 38 del ENS, así como en la resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad. Dicha ITS se encuentra en proceso de revisión para adecuarla al Real Decreto 311/2022.
Como resumen, existen dos vías diferenciadas:
- La Certificación de Conformidad, válida para todas las categorías del sistema (BÁSICA, MEDIA y ALTA).
- La Declaración de Conformidad, únicamente válida para sistemas de categoría BÁSICA.
En cuanto a la diferencia de requisitos de cumplimiento entre un sistema de categoría BÁSICA y uno de categoría MEDIA o ALTA, la mayor parte de ellos son de tipo técnico o de gestión, siendo comunes a todos los referidos a la organización de la seguridad.
Si se decide acometer la adecuación de los sistemas de información al ENS de una forma gradual, la opción de abordar primero la conformidad con la categoría BÁSICA para luego seguir evolucionando hasta cumplir con los requisitos de la categoría MEDIA o ALTA es una buena opción, siempre que se acuerde en el Comité de Seguridad, y así se establezca en un acta, como una hoja de ruta y no como un fin.
Sería un error pensar que al alcanzar la conformidad con los requisitos de la categoría BÁSICA ya se está cumpliendo con lo requerido por el ENS, pues dichos requisitos vienen determinados por la categoría del sistema, y al ser esta superior a la categoría de la conformidad alcanzada, no se estaría cumpliendo con todos los requisitos exigidos.
La Declaración de la Conformidad con el Esquema Nacional de Seguridad es solamente aplicable a los sistemas de información de categoría BÁSICA, y se obtendrá tras una autoevaluación que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha autoevaluación atenderá a lo dispuesto sobre auditoría en el artículo 34 y en el anexo III del Real Decreto 311/2022, pudiendo ser desarrollada por el mismo personal que administra el sistema de información o en quien éste delegue.
La Certificación de Conformidad con el Esquema Nacional de Seguridad es aplicable a los sistemas de información de cualquier categoría (BÁSICA, MEDIA y ALTA), y se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha auditoría se realizará según lo dispuesto en el artículo 34 y en el anexo III del Real Decreto 311/2022 y será materializada por parte de entidades de certificación (EC) acreditadas por ENAC, o en proceso de estarlo, o por órganos de auditoría técnica (OAT) dirigidos a determinadas organizaciones del sector público.
La Declaración de Conformidad y la Certificación de Conformidad son preceptivas para los sistemas de información de las entidades del ámbito de aplicación del ENS, ya sean públicas o privadas, debiendo evidenciarse mediante la publicación del correspondiente distintivo oficial de conformidad, para la categoría del sistema, en la página web, portal o sede electrónica de la organización. Dicho sello deberá llevar vinculado el certificado o la declaración de conformidad obtenidos.
Adicionalmente, las Certificaciones de Conformidad se publicarán en la página web del CCN tanto para el sector público certificado como para empresas certificadas del sector privado.
De conformidad con lo señalado en el artículo 2.3 del Real Decreto 311/2022, los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público, incluidas en el ámbito de aplicación del ENS, contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS.
Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos.
Asimismo, la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, actualmente en proceso de actualización al Real Decreto 311/2022, cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías BÁSICA, MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.
Por tanto, es responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en la presente Instrucción Técnica de Seguridad.
Como garantía del cumplimiento de lo anterior, las entidades públicas usuarias de soluciones o servicios provistos o prestados por organizaciones del sector privado que exhiban una Declaraciones o Certificaciones de Conformidad con el Esquema Nacional de Seguridad podrán solicitar en todo momento a tales organizaciones los Informes de Autoevaluación o Auditoría correspondientes, al objeto de verificar la adecuación e idoneidad de las antedichas manifestaciones.
En la actualidad, el CCN mantiene en su página web una lista de los operadores privados cuyos sistemas de información han obtenido la Certificación de Conformidad con el ENS.
A la hora de contratar un servicio externalizado, se deberá notificar a los prestadores que deseen participar en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el Esquema Nacional de Seguridad y posean las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en el artículo 2.3 del ENS y en la Instrucción Técnica de Seguridad. Un posible ejemplo de inclusión en un pliego, sería:
“El artículo 2 del vigente Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, dispone que los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación del real decreto del ENS contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el mismo de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes Declaraciones o Certificaciones de Conformidad con el ENS. Esta cautela se extenderá también a la cadena de suministro de dichos contratistas, en la medida que sea necesario y de acuerdo con los resultados del correspondiente análisis de riesgos”.
En consecuencia, la ENTIDAD CONTRATANTE, considera necesario que los proveedores que vayan a concurrir a la licitación deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, aceptándose en su lugar, no obstante, una Declaración de Conformidad con el ENS, únicamente cuando se haya declarado categoría BÁSICA del sistema para el que concurren.
Así pues, en base a lo anterior, y al análisis de los riesgos a los que están expuestos los suministros y servicios objeto de la licitación, la ENTIDAD CONTRATANTE establece como necesario que la ENTIDAD LICITADORA deberá estar en condiciones de exhibir la correspondiente Declaración o Certificación de Conformidad con el Esquema Nacional de Seguridad, para la categoría de seguridad [indicar la CATEGORÍA], o superior, de los sistemas que intervengan en la prestación de los servicios indicados, así como mantener la conformidad en vigor durante la vigencia del contrato. Dicha declaración, o certificado, de conformidad con el ENS se entiende que debe abarcar en su alcance, como mínimo, el ámbito objeto de la contratación.
En el supuesto de que el adjudicatario no pudiera mantener la conformidad con el ENS durante la vigencia del contrato -por pérdida, retirada o suspensión de la Certificación de Conformidad o imposibilidad de mantener la Declaración de Conformidad-, deberá comunicar esta circunstancia, de forma inmediata y sin dilación indebida, a la ENTIDAD CONTRATANTE, quien considerará el impacto de dicha circunstancia en la prestación objeto del contrato”.
En virtud del principio de proporcionalidad y para facilitar la conformidad con el Esquema Nacional de Seguridad a las entidades locales, se podrán implementar perfiles de cumplimiento específicos que comprenderán aquel conjunto de medidas de seguridad que, trayendo causa del preceptivo análisis de riesgos, resulten de aplicación para una concreta categoría de seguridad.
Un Perfil de Cumplimiento Específico (PCE) es un conjunto de medidas de seguridad, comprendidas o no en el Real Decreto 311/2022 que, como consecuencia del preceptivo análisis de riesgos, resulten de aplicación a una entidad o sector de actividad concreta y para una determinada categoría de seguridad.
En el caso concreto de la Entidades Locales de menos de 20.000 habitantes, podrán hacer uso, si lo consideran oportuno, del Perfil de Cumplimiento Específico para entidades locales de tamaño pequeño y mediano.
El CCN ha publicado una guía para cada uno de los PCE autorizados, como puede ser el perfil de cumplimiento específico para universidades, estando alguna de dichas guías en proceso de armonización con el Real Decreto 311/2022.
Una Diputación o Cabildo que preste servicios a entidades locales dentro de su ámbito de competencia está obligada a que los sistemas de información que soportan tales servicios sean conformes y estén certificados con lo dispuesto en el Esquema Nacional de Seguridad.
Las Entidades Locales usuarias de dichos servicios, como titulares de la prestación de los servicios, son responsables de determinar la categoría de seguridad requerida para dichos sistemas, de conformidad con el ENS y de solicitar a la Diputación o Cabildo correspondiente la Declaración o Certificación de Conformidad con el ENS de dichos sistemas.
No obstante, existe el Marco de Certificación Específico con el ENS (MCE-ENS) para EE.LL., consistente en un proceso de certificación conjunta del ENS de un conjunto de ayuntamientos dependientes de un Órgano superior, como es una Diputación Provincial o Foral, un Cabildo o un Consejo Insular, entre otros.
Dicho MCE-ENS se considera la mejor solución para obtener la conformidad con el ENS de las EE.LL. que, por sus recursos, no puedan acceder individualmente.
El Esquema Nacional de Seguridad es una norma legal que pretende garantizar la seguridad de los sistemas de información de las entidades de su ámbito de aplicación, la información tratada y los servicios prestados, mientras que el Reglamento de Protección de Datos Personales persigue la protección de los derechos de los titulares de los datos personales, singularmente su derecho a la protección de datos.
Sin embargo, desde un punto de vista práctico, ambas normas persiguen dotar a los sistemas de la seguridad de la suficiente para alcanzar sus objetivos. Por ello, no sólo no son incompatibles, sino que son complementarios y el cumplimiento de una de ellas facilita el cumplimiento de la otra. Así lo señala la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que, en su disposición adicional primera, obliga a determinados responsables a aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.
Este informe está regulado por la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad, aprobada por resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas. Dicha norma establece las condiciones relativas a la recopilación y comunicación de datos que permita conocer las principales variables de la seguridad de la información de los sistemas comprendidos en el ámbito de aplicación del Esquema Nacional de Seguridad, y confeccionar un perfil general del estado de la ciberseguridad en las Administraciones Públicas.
Para cumplir con la obligación anterior, el CCN ha desarrollado el proyecto INES (Informe Nacional del Estado de Seguridad), facilitando la labor de todos los organismos. A través de este proyecto, se permite la recogida de información organizada, delegada y supervisada.
No. Se distinguen dos posibilidades según la categoría del sistema:
- Los sistemas de información de categoría BÁSICA, cada dos años deben realizar una autoevaluación o una auditoría formal de certificación para verificar que siguen cumpliendo con los requisitos exigidos en función de su categoría.
- Los sistemas de información de categoría MEDIA , y especialmente los de ALTA, al requerir un sistema de gestión de la seguridad de la información que se basa en un ciclo de mejora y supervisión continua de la seguridad de los mismos, según dispone la medida del anexo II del ENS sobre arquitectura de seguridad, deben evidenciar que además de las auditorías formales de certificación realizadas cada dos años por parte de una entidad de certificación, o un OAT, lleven a cabo cada año una auditoría interna de cumplimiento orientada a la mejora en base al seguimiento de las desviaciones encontradas.
De conformidad con lo señalado en el artículo 2 del vigente Real Decreto 311/2022, de 3 de mayo, y en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 311/2022 (ENS), cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de la Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, y opcionalmente los de BÁSICA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.
La conformidad con el ENS de aquellos sistemas de información que sustenten soluciones o presten servicios competenciales a las entidades del Sector Público es un imperativo legal. Efectivamente, de conformidad con lo señalado en el artículo 2 del vigente Real Decreto 311/2022, de 3 de mayo, y en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Esquema Nacional de Seguridad (ENS), cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de la Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, y opcionalmente los de BÁSICA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.
Por tanto, cumpliendo con lo expuesto anteriormente, se estará en disposición de participar en licitaciones de servicios con las Administraciones Públicas en los que se exija el cumplimiento con el ENS y la evidencia de tal conformidad.
De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 311/2022 (ENS), las Entidades de Certificación (EC) de los sistemas deberán estar acreditadas por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas del ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios.
Asimismo, los Órganos de Auditoría Técnica del ENS (OAT), podrán certificar sistemas de información respecto al ENS en su ámbito de competencias.
La Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, especifica como su ámbito de aplicación, exclusivamente, los sistemas de información de las entidades del ámbito de aplicación del ENS, cuando tales sistemas desarrollen competencias estatutarias de la entidad pública de que se trate.
No obstante, los servicios soportados por los sistemas de información certificados se beneficiarán de tal certificación, por cuanto su enumeración deberá aparecer en las Certificaciones de Conformidad con el ENS, para general conocimiento.
La Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, prescribe que, la conformidad con el ENS de un sistema de categoría BÁSICA se exhibirá con la correspondiente Declaración de Conformidad, haciendo uso de su Distintivo de Conformidad específico. Análogamente, en el caso de sistemas de categoría MEDIA o ALTA, la Certificación de Conformidad con el ENS se exhibirá mediante su Distintivo de Conformidad específico. En ambos casos, serán documentos electrónicos, en formato no editable y poseerán el aspecto que se muestra en los anexos III y IV de dicha Instrucción Técnica.
Para publicar la Declaración de Conformidad o Certificación de Conformidad con el Esquema Nacional de Seguridad, bastará con la exhibición en la sede electrónica de la entidad pública titular o usuaria del sistema de información en cuestión, del Distintivo correspondiente, que incluirá un enlace al documento de Declaración de Conformidad o Certificación de Conformidad, según corresponda, que también permanecerá accesible a través de dicha sede electrónica.
De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, las entidades certificadoras de los sistemas deberán estar acreditadas por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas del ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios, por lo que deberá someterse al procedimiento de acreditación previsto por ENAC para este Esquema.
De conformidad con lo señalado en el artículo 2 del vigente Real Decreto 311/2022, de 3 de mayo, y en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 311/2022 (ENS), cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de la Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, y de forma opcional para los de BÁSICA, utilizando los mismos procedimientos que los exigidos en dicha Instrucción Técnica de Seguridad para las entidades públicas.
Con independencia de que los prestadores privados deban exhibir la correspondiente Certificación de Conformidad con el ENS en relación con los sistemas de información que vayan a ser utilizados en la ejecución del contrato, no creemos que esté de más recordar en los Pliegos la obligación de los licitadores de acomodar la ubicación de los servidores de los servicios objeto de licitación a lo dispuesto en el Real Decreto-ley 14/2019 y de incluir, adicionalmente a la antedicha Certificación de Conformidad con el ENS, las previsiones que se recogen en el artículo 5.5 de dicho Real Decreto-ley, por el que se modifica la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, y en el que se indica que los tratamientos de categorías especiales de datos, (además de requerir el consentimiento del usuario, por mor de lo dispuesto en el RGPD), exigen que dicho tratamiento se haga dentro de territorio español, por lo que, caso de usarse un prestador del servicio externo que trate tales datos biométricos con el propósito de identificación, los sistemas utilizados deberán estar ubicados en España.
Es preceptivo que los sistemas de información de cualquier entidad, ya sea española, o no, posean la Certificación de Conformidad con el ENS, tras haber superado la correspondiente Auditoría de Certificación. De hecho, como se puede observar en la lista de empresas con Certificación de Conformidad expuestas en la página web del CCN, hay varias que no son españolas y cuyos sistemas de información no están ubicados en España.
El procedimiento para alcanzar la Certificación de Conformidad con el ENS se puede encontrar en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad (BOE, Núm. 265. Miércoles 2 de noviembre de 2016 Sec. III. Pág. 76365).
También se puede encontrar más información en la "Guía CCN-STIC 809 Conformidad con el ENS y Distintivos de Cumplimiento”.
La exigencia del uso de un doble factor de autenticación en sistemas de categoría MEDIA puede implementarse de diferentes maneras, como la utilización de tokens externos, certificados digitales o el uso de contraseñas de un solo uso (OTP) remitidas vía SMS o mediante una aplicación en el móvil del usuario.
No obstante, el análisis de riesgos que preceptivamente exige el ENS, determinará la rigurosidad de la aplicación del doble factor y la posibilidad de utilizar, en su caso, una medida compensatoria adecuada (según lo indicado en la Guía CCN-STIC 819) que, contemplando el riesgo, pueda compensar adecuada y justificadamente la no aplicación del doble factor. Además, como señala el artículo 27 del ENS, deberá justificar documentalmente que dichas medidas protegen igual o mejor el riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos previstos en los capítulos II y III del ENS.
La adecuada aplicación de la medida compensatoria será objeto de examen en la auditoría periódica o de certificación del sistema.
Finalmente, cabe recordar que en la medida [op.acc.6] sobre mecanismos de autenticación para usuarios de la organización del Real Decreto 311/2022, el refuerzo R1 admite un único factor basado en contraseña como mecanismo de autenticación cuando el acceso se realiza desde zonas controladas y sin atravesar zonas no controladas.
Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, publicado bajo la guía CCN-STIC 105, para seleccionar los productos o servicios suministrados por un tercero que formen parte de la arquitectura de seguridad del sistema y aquellos que se referencien expresamente en las medidas del ENS.
En caso de que no existan productos o servicios en el CPSTIC que implementen las funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito en el artículo 19 del ENS. Una posibilidad es Common Criteria u otra certificación de producto reconocida internacionalmente.
Una posibilidad existente, si acaba de realizarse una importante inversión tecnológica en productos de fabricantes reputados, es aplicar varias medidas complementarias de vigilancia hasta la reposición programada; por ejemplo, aumentar la monitorización de los productos actuales y estar atentos a los avisos de vulnerabilidades (CVE) del fabricante y del CERT de referencia, aplicando de inmediato los parches y actualizaciones necesarias, entre otras medidas.
El Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC), recoge los Productos Aprobados para el manejo de información clasificada y los Productos Cualificados para el manejo de información sensible, de forma que pueda servir de referencia a las organizaciones obligadas por el ENS.
Dicho Catálogo se ha publicado en la Guía CCN-STIC 105 Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación.
Como señala el artículo 38 del ENS, los sistemas de información deben ser objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.
Además, con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de esta auditoria extraordinaria, si es completa, determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior. Si no es completa, al haberse circunscrito en unas cuantas medidas concretas a las que únicamente hayan afectado las modificaciones producidas en el sistema, no se verá alterada la fecha para el cálculo de los dos años en que deberá renovarse la certificación.
Por otro lado, como señala la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, la Certificación de la Conformidad con el ENS de los sistemas de información con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha auditoría se realizará según lo dispuesto en el artículo 38 y en el anexo III del Real Decreto 311/2022.
Esta misma Instrucción Técnica de Seguridad señala que la Certificación de Conformidad con el ENS se basará en el resultado de la antedicha auditoría, disponiendo de una validez efectiva de dos años, siempre que, por lo señalado, no sea necesario acometer una auditoría extraordinaria con anterioridad.
Por todo lo dicho, la “Fecha de renovación de la certificación de conformidad” que aparezca en la Certificación de Conformidad nunca podrá superar los dos años naturales desde la “Fecha de certificación de conformidad inicial” (que debe entenderse como la fecha en la que la Entidad de Certificación o, en su caso, el Órgano de Auditoría Técnica (OAT), deciden otorgar dicha Certificación), pudiendo ser menor si las circunstancias así lo exigen.
Por todo ello, la auditoría se deberá planificar convenientemente de modo que la decisión de certificación subsiguiente se pueda tomar dentro del período de validez de la certificación precedente.
Si una entidad dispone de una Certificación de Conformidad con el ENS de categoría Media en vigor para alguno de sus sistemas, y, con posterioridad, la Entidad de Certificación realiza una auditoría extraordinaria de incremento de categoría en la que solo ha auditado las medidas que difieren para la categoría Alta, la Certificación de Conformidad de categoría Alta no puede ir más allá de la fecha de expiración expresada en el Certificado de Conformidad preexistente de categoría Media. En otras palabras, una auditoría extraordinaria (si no es extraordinaria, debe ser completa) no altera la fecha de vigencia de la certificación de la que se parte, ya sea para incrementar el alcance, incrementar la categoría, o adecuar la certificación a determinados cambios concretos en el sistema de información.
Sin embargo, si se hubiera realizado una auditoría completa (auditando, por tanto, todas las medidas) la Certificación de Conformidad con el ENS podría tener la vigencia habitual de dos (2) años.
El Real Decreto 311/2022, determina en su Anexo III (Auditorías de seguridad), que se comprobará haber realizado un análisis de riesgos con revisión y aprobación anual.
Esto no es óbice para que, cuando el sistema sufra modificaciones que puedan afectar a la seguridad del mismo, se deba realizar un análisis de riesgos extraordinario que permita identificar variaciones en los niveles de riesgo derivadas de la mencionada modificación.
Si su sistema de información ha sido categorizado como de categoría Básica y ha superado satisfactoriamente la preceptiva Autoevaluación, puede expedirse la correspondiente Declaración de Conformidad con el ENS, siempre respetando lo dispuesto en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad actualmente en proceso de actualización con el Real Decreto 311/2022.
En caso de que no existan productos o servicios en el CPSTIC que implementen las funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito en el artículo 19 del ENS. Una posibilidad es Common Criteria u otra certificación de producto reconocida internacionalmente.
Una posible alternativa ‘temporal’, mientras no existan productos de esta naturaleza en el catálogo, es adquirir productos de fabricantes reputados y aplicar en el ínterin varias medidas complementarias de vigilancia; por ejemplo, aumentar la monitorización de los mismos y estar atentos a los avisos de vulnerabilidades (CVE) del fabricante y del CERT de referencia, aplicando de inmediato los parches y actualizaciones necesarias, entre otras medidas, evaluando en cualquier caso el riesgo resultante.
Otra opción es proporcionar el acceso remoto utilizando una infraestructura de virtualización de escritorios, como Citrix Cloud, Enterprise Application Access de Akamai o similar, que permite acceder a sus escritorios añadiendo una capa de seguridad con la que implementar un doble factor de autenticación sin exponer directamente sus equipos a internet, y a la vez, mantener una trazabilidad de las acciones de los usuarios. Además, es recomendable la instalación de una protección de endpoint del tipo EDR.
En todo caso, se deben evitar soluciones que expongan los equipos directamente a internet, pero, de no ser posible otra solución, se deben implementar medidas de seguridad adicionales como doble factor de autenticación o limitar y controlar el direccionamiento IP desde el que se conecten los usuarios.
Para resolver dudas se ha publicado el "Abstract - Medidas de seguridad para acceso remoto". En él se recogen soluciones que permiten implementar, de forma ágil, acceso remoto a los recursos de una Organización minimizando el impacto en los recursos IT y optimizando el tiempo para su puesta en producción. Además, también está disponible el documento “CCN-CERT BP/18 Recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia (marzo 2020)”.
En cualquier caso, si se desea realizar alguna consulta adicional relativa a la cualificación de productos dentro del ENS, se puede contactar directamente con el grupo encargado de publicar el Catálogo de Productos de Seguridad TIC (CPSTIC) en el correo cpstic.ccn@cni.es.
En estos momentos no existe una formación reglada para el ENS. Sin embargo, en el apartado de capacitación del Entorno de Validación ENS (EVENS) se puede encontrar la formación que el CCN proporciona.
Para cuestiones más específicas, se puede remitir consulta al correo electrónico formacion.ccn@cni.es.
Como dispone la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio, será la propia norma que lo declare la que señale su alcance y límites. Cuando tal alcance impida el normal desenvolvimiento de las actividades de certificación, el Centro Criptológico Nacional, en el ejercicio de sus competencias, publicará una nota informativa y/o remitirá a las Entidades de Certificación del ENS una comunicación señalando las actuaciones y medidas que podrán adoptarse ante tal eventualidad, y que podrán consistir en la suspensión de los plazos de caducidad y prescripción de las Certificaciones de Conformidad con el ENS concedidas, en tanto persista el estado de alarma declarado.