Seguridad e Interoperabilidad: ENS y ENI
Fuentes oficiales: RD 311/2022 (BOE-A-2022-7191), RD 4/2010 (BOE-A-2010-1331), web del CCN-CERT, Portal de Administración Electrónica (PAe), Normas Técnicas de Interoperabilidad (NTI).
ESQUEMA NACIONAL DE SEGURIDAD (ENS) — RD 311/2022
El Esquema Nacional de Seguridad establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación. Regulado actualmente por el Real Decreto 311/2022, de 3 de mayo, que derogó al anterior RD 3/2010.
| Aspecto | Detalle |
|---|
| Norma vigente | RD 311/2022, de 3 de mayo (BOE 4 mayo 2022) |
| Norma derogada | RD 3/2010, de 8 de enero |
| Base legal | Art. 156.2 de la Ley 40/2015 (LRJSP) y Disposición adicional 1ª de la Ley 39/2015 (LPACAP) |
| Ámbito de aplicación | Sector público (AAPP) + entidades del sector privado que presten servicios o provean soluciones a las AAPP |
| Órgano rector | CCN (Centro Criptológico Nacional), adscrito al CNI |
| Estructura RD | 7 capítulos + 4 anexos + disposiciones adicionales/transitorias |
Clave examen: El ENS de 2022 amplía su ámbito al sector privado que trabaja con las AAPP (cadena de suministro). El anterior RD 3/2010 solo cubría al sector público.
PRINCIPIOS BÁSICOS ENS (Arts. 5-11)
| Principio | Artículo | Contenido |
|---|
| Seguridad como proceso integral | Art. 5 | La seguridad se entiende como un proceso integral, no como un producto o acción puntual. Incluye elementos técnicos, humanos, materiales y organizativos |
| Gestión de la seguridad basada en los riesgos | Art. 6 | Análisis y gestión de riesgos como parte esencial del proceso de seguridad; debe mantenerse actualizado |
| Prevención, detección, respuesta y conservación | Art. 7 | La seguridad del sistema debe contemplar las acciones de prevención, detección y respuesta ante incidentes, así como la conservación de la información |
| Existencia de líneas de defensa | Art. 8 | Estrategia de protección constituida por múltiples capas de seguridad (defensa en profundidad) |
| Vigilancia continua y reevaluación periódica | Art. 9 | Evaluación permanente del estado de seguridad; detección de actividades o comportamientos anómalos |
| Diferenciación de responsabilidades | Art. 10 | Responsable de la información, responsable del servicio, responsable de la seguridad y responsable del sistema, con funciones diferenciadas |
Novedad RD 311/2022: "Prevención, reacción y recuperación" se renombró a "Prevención, detección, respuesta y conservación". Se añadió el principio de "vigilancia continua". Estas novedades se preguntan en los exámenes recientes.
RESPONSABLES ENS (Art. 10)
| Rol | Función |
|---|
| Responsable de la información | Determina los requisitos de seguridad de la información (valoración de dimensiones) |
| Responsable del servicio | Determina los requisitos de seguridad de los servicios prestados |
| Responsable de la seguridad | Determina las decisiones para satisfacer los requisitos de seguridad de la información y los servicios; no puede ser la misma persona que el responsable del sistema (en categoría MEDIA y ALTA) |
| Responsable del sistema | Se encarga de la operación del sistema de información, aplicando las medidas de seguridad |
Clave examen: En categoría MEDIA y ALTA, el responsable de la seguridad debe ser distinto del responsable del sistema (separación de funciones). En categoría BÁSICA pueden coincidir.
DIMENSIONES DE SEGURIDAD — CITAD (Anexo I)
El ENS contempla 5 dimensiones de seguridad, conocidas por el acrónimo CITAD o DICTA:
| Dimensión | Letra | Definición |
|---|
| Confidencialidad | C | La información no se pone a disposición ni se revela a personas, entidades o procesos no autorizados |
| Integridad | I | El activo de información no ha sido alterado de manera no autorizada |
| Trazabilidad | T | Las actuaciones de una entidad pueden ser trazadas de forma indiscutible hasta dicha entidad |
| Autenticidad | A | Una entidad es quien afirma ser, garantizando la fuente de la que proceden los datos |
| Disponibilidad | D | Los servicios son accesibles y utilizables cuando se necesitan, dentro de los plazos previstos |
Cada dimensión se valora en cuatro posibles niveles: No adscrito (N/A), BAJO, MEDIO y ALTO.
Clave examen: CITAD = Confidencialidad, Integridad, Trazabilidad, Autenticidad, Disponibilidad. El ENS tiene 5 dimensiones (no 3 como la CIA clásica de ISO 27001). La Trazabilidad y Autenticidad son las dimensiones "extra".
CATEGORÍAS DE SEGURIDAD (Anexo I)
La categoría del sistema se determina en función del impacto que tendría un incidente de seguridad en cada dimensión:
| Categoría | Criterio | Consecuencias |
|---|
| BÁSICA | Alguna dimensión alcanza nivel BAJO y ninguna supera MEDIO | Perjuicio limitado sobre las funciones de la organización, sus activos o los individuos |
| MEDIA | Alguna dimensión alcanza nivel MEDIO y ninguna alcanza ALTO | Perjuicio grave sobre las funciones, activos o individuos |
| ALTA | Alguna dimensión alcanza nivel ALTO | Perjuicio muy grave o catastrófico sobre las funciones, activos o individuos |
La categoría del sistema es la máxima de entre las categorías determinadas para cada información y servicio. La categoría determina las medidas de seguridad a aplicar.
MEDIDAS DE SEGURIDAD — Anexo II (73 medidas)
El ENS establece 73 medidas de seguridad agrupadas en tres marcos:
| Marco | Código | Grupos | Descripción |
|---|
| Marco organizativo | org | 4 medidas | Política de seguridad, normativa de seguridad, procedimientos de seguridad, proceso de autorización |
| Marco operacional | op | 31 medidas | Planificación (análisis de riesgos, arquitectura), control de acceso (identificación, autenticación), explotación (inventario, gestión de cambios, protección contra código dañino), servicios externos, servicios en la nube, continuidad del servicio, monitorización |
| Medidas de protección | mp | 38 medidas | Protección de instalaciones e infraestructuras, gestión del personal, protección de equipos, protección de comunicaciones, protección de soportes de información, protección de aplicaciones, protección de la información, protección de servicios |
Clave examen: 73 medidas = 4 (org) + 31 (op) + 38 (mp). Las medidas se aplican según la categoría del sistema; las de categoría ALTA exigen todas las medidas con sus refuerzos.
Ejemplos de medidas más preguntadas
| Código | Medida | Categoría mínima |
|---|
org.1 | Política de seguridad | BÁSICA |
org.2 | Normativa de seguridad | BÁSICA |
op.pl.1 | Análisis de riesgos | BÁSICA (informal) / MEDIA (formal con MAGERIT) |
op.acc.1 | Identificación | BÁSICA |
op.acc.2 | Requisitos de acceso | BÁSICA |
op.acc.5 | Mecanismo de autenticación | BÁSICA (contraseña) / ALTA (doble factor) |
op.exp.6 | Protección contra código dañino | BÁSICA |
op.mon.1 | Detección de intrusión | MEDIA |
op.nub.1 | Protección de servicios en la nube | BÁSICA (nuevo en RD 311/2022) |
mp.com.2 | Protección de la confidencialidad (cifrado) | MEDIA |
mp.info.3 | Cifrado de la información | ALTA |
HERRAMIENTAS CCN-CERT
El Centro Criptológico Nacional (CCN), a través del CCN-CERT, proporciona herramientas de seguridad para las AAPP. Son conocidas por sus nombres femeninos:
| Herramienta | Función |
|---|
| PILAR | Análisis y gestión de riesgos conforme a MAGERIT. Herramienta central del CCN para valorar activos, amenazas y salvaguardas. Versión cloud: μPILAR |
| CLARA | Auditoría de cumplimiento ENS. Comprueba la conformidad de los sistemas con las medidas del ENS en tiempo real |
| INÉS | Informe Nacional del Estado de Seguridad. Recoge indicadores de cumplimiento del ENS de las entidades públicas |
| LUCÍA | Listado Unificado de Coordinación de Incidentes y Amenazas. Gestión de ciberincidentes y notificación al CCN-CERT |
| GLORIA | Gestión de Logs para mejorar las Operaciones y la Respuesta ante Incidentes y Amenazas. SIEM (correlación y análisis de eventos de seguridad) |
| ANA | Automatización y Normalización de Auditorías. Auditoría continua de la seguridad de los sistemas |
| EMMA | Endpoint Monitorización, Monitorización de Accesos. Visibilidad de la superficie de exposición y estado de los dispositivos |
| CARMEN | Centro de Análisis de Registros y Minería de Eventos. Detección de APTs (amenazas persistentes avanzadas) |
| ROCÍO | Respuesta a Operaciones Ciber con Inteligencia Operativa. Automatización de la respuesta ante incidentes |
| REYES | Repositorio común de Exchanges y Analítica. Plataforma de ciberinteligencia |
| ELENA | Simulador de técnicas de ingeniería social (phishing) para concienciación |
| VANESA | Plataforma de formación y concienciación en ciberseguridad |
Clave examen: Se preguntan en TODOS los exámenes desde 2016. Las más frecuentes: PILAR (riesgos), CLARA (cumplimiento ENS), LUCÍA (incidentes), GLORIA (SIEM). Aprende al menos esas 4 con su función.
Declaración de Conformidad y Certificación ENS
| Categoría | Requisito de conformidad |
|---|
| BÁSICA | Autoevaluación (declaración de conformidad) |
| MEDIA | Auditoría formal cada 2 años (o en cambios sustanciales) por auditor independiente |
| ALTA | Auditoría formal cada 2 años + certificación de conformidad por entidad certificadora acreditada |
ESQUEMA NACIONAL DE INTEROPERABILIDAD (ENI) — RD 4/2010
El Esquema Nacional de Interoperabilidad establece los criterios y recomendaciones de seguridad y normalización para la interoperabilidad entre las AAPP y con los ciudadanos.
| Aspecto | Detalle |
|---|
| Norma | RD 4/2010, de 8 de enero (modificado por RD 203/2021) |
| Base legal | Art. 156.1 de la Ley 40/2015 (LRJSP); Disposición adicional 1ª Ley 39/2015 |
| Ámbito | Todas las AAPP y entidades de Derecho público vinculadas |
| Desarrollo | 12 Normas Técnicas de Interoperabilidad (NTI) |
| Herramienta clave | CISE — Centro de Interoperabilidad Semántica de la Administración |
TRES DIMENSIONES DE INTEROPERABILIDAD
| Dimensión | Definición | Ejemplo |
|---|
| Organizativa | Capacidad de las entidades para modelar sus procesos de forma que permitan alcanzar objetivos comunes | Coordinación de procedimientos entre AAPP; inventario de procedimientos administrativos |
| Semántica | Capacidad de las organizaciones para interpretar la información de forma que tenga el mismo significado para todas las partes | Modelos de datos comunes; Centro de Interoperabilidad Semántica (CISE); NTI de Modelos de Datos |
| Técnica | Capacidad de los sistemas de comunicarse e intercambiar datos usando estándares abiertos y protocolos comunes | Formatos abiertos; uso de estándares; protocolos de intercambio; Red SARA |
Clave examen: Las 3 dimensiones de interoperabilidad (Organizativa, Semántica, Técnica) se preguntan muy frecuentemente. La interoperabilidad semántica (interpretación unívoca del dato) suele ser la opción "trampa" porque es la menos intuitiva.
NORMAS TÉCNICAS DE INTEROPERABILIDAD (NTI)
El ENI prevé el desarrollo de 12 NTI:
| # | NTI | Contenido principal |
|---|
| 1 | Catálogo de estándares | Estándares abiertos mínimos obligatorios y complementarios para la interoperabilidad |
| 2 | Documento electrónico | Estructura, componentes (contenido + firma + metadatos mínimos obligatorios) y formatos del documento electrónico |
| 3 | Digitalización de documentos | Requisitos para crear copias electrónicas auténticas: imagen + metadatos + firma |
| 4 | Expediente electrónico | Estructura del expediente: índice + documentos electrónicos + metadatos mínimos |
| 5 | Política de firma electrónica y de certificados | Perfiles de firma admitidos, algoritmos, formatos. Actualizada en 2016 para incluir sello electrónico |
| 6 | Protocolos de intermediación de datos | Condiciones para el intercambio intermedio de datos entre AAPP (plataformas de intermediación) |
| 7 | Relación de modelos de datos | Modelos de datos comunes para intercambio entre AAPP (vinculada al CISE) |
| 8 | Política de gestión de documentos electrónicos | Directrices para la gestión, conservación y eliminación de documentos electrónicos |
| 9 | Requisitos de conexión a la Red SARA | Condiciones técnicas para conectarse a la Red de comunicaciones de las AAPP |
| 10 | Procedimientos de copiado auténtico y conversión | Requisitos para crear copias auténticas y convertir entre formatos |
| 11 | Modelo de datos para el intercambio de asientos registrales (SICRES) | Formato para intercambiar asientos entre registros electrónicos (SICRES 3.0) |
| 12 | Declaración de conformidad con el ENI | Requisitos para obtener y mantener la declaración de adecuación al ENI |
DOCUMENTO ELECTRÓNICO (NTI)
Un documento electrónico según el ENI se compone de:
| Componente | Detalle |
|---|
| Contenido | El propio fichero del documento (PDF, XML, imagen, etc.) |
| Firma electrónica | Firma que garantiza la integridad y autenticidad |
| Metadatos mínimos obligatorios | Identificador, órgano, fecha de captura, origen (ciudadano/administración), estado de elaboración, nombre del formato, tipo documental, tipo de firma |
Metadatos mínimos obligatorios del documento electrónico
| Metadato | Descripción |
|---|
| Identificador | Identificador normalizado único del documento |
| Órgano | Órgano administrativo que captura o crea el documento |
| Fecha de captura | Fecha en que el documento se incorpora al sistema |
| Origen | Si proviene de un ciudadano (0) o de la Administración (1) |
| Estado de elaboración | Original, copia electrónica auténtica, copia electrónica auténtica parcial, u otros |
| Nombre del formato | Formato del fichero (ej. PDF/A, XML, JPEG) |
| Tipo documental | Clasificación del documento (resolución, acuerdo, notificación, etc.) |
| Tipo de firma | Formato de firma aplicado (XAdES, CAdES, PAdES, etc.) |
EXPEDIENTE ELECTRÓNICO (NTI)
El expediente electrónico se compone de:
| Componente | Detalle |
|---|
| Índice electrónico | Lista de documentos que forman el expediente, con su identificador y huella digital (hash); garantiza la integridad del expediente |
| Documentos electrónicos | Cada uno con su contenido + firma + metadatos |
| Metadatos del expediente | Identificador, órgano, fecha apertura, clasificación, estado (abierto/cerrado), interesado |
| Firma del índice | Firma electrónica que sella el índice del expediente |
Clave examen: El índice electrónico es el componente que garantiza la integridad del expediente. Es obligatorio y debe estar firmado. Pregunta frecuente: "¿Qué componente del expediente electrónico garantiza su integridad?"
FORMATOS DE FIRMA ELECTRÓNICA
La NTI de Política de Firma establece los formatos de firma electrónica basados en estándares ETSI:
| Formato | Estándar ETSI | Base | Se aplica a |
|---|
| XAdES | ETSI TS 101 903 | XML | Documentos XML; firma embebida o separada |
| CAdES | ETSI TS 101 733 | CMS/PKCS#7 | Cualquier tipo de fichero; genera fichero .p7m o .p7s |
| PAdES | ETSI TS 102 778 | PDF | Solo documentos PDF; la firma se incrusta en el propio PDF |
Perfiles de firma (de menor a mayor nivel)
| Perfil | Nivel | Contenido |
|---|
| -BES / -EPES | Básico | Firma básica con referencia al certificado del firmante y, opcionalmente, política de firma |
| -T | Sello de tiempo | Añade un sello de tiempo (timestamp) que demuestra que la firma existía en un momento determinado |
| -C | Completo | Añade referencias a la cadena de certificación completa y datos de revocación (CRL u OCSP) |
| -X | Extendido | Añade sello de tiempo sobre las referencias de -C |
| -XL | Extendido largo plazo | Incorpora los certificados y datos de revocación completos (no solo referencias) |
| -A | Archivado | Permite añadir sellos de tiempo adicionales a lo largo del tiempo para preservar la validez |
Clave examen: Para firma a largo plazo (archivo) se usa perfil -A. PAdES solo para PDF. CAdES para cualquier fichero. XAdES para XML. Pregunta típica: "¿Qué formato de firma se incrusta en el propio PDF?" → PAdES.
RED SARA y herramientas de interoperabilidad
| Elemento | Descripción |
|---|
| Red SARA | Sistema de Aplicaciones y Redes para las Administraciones. Infraestructura de comunicaciones común de las AAPP; conecta AGE, CCAA, EELL y UE (sTESTA/TESTA-ng) |
| SIR | Sistema de Interconexión de Registros. Permite el intercambio de asientos registrales entre oficinas de registro. Usa SICRES 3.0 |
| CISE | Centro de Interoperabilidad Semántica. Repositorio de modelos de datos comunes para garantizar la interoperabilidad semántica |
| Cl@ve | Sistema de identificación y firma electrónica para ciudadanos (Cl@ve PIN, Cl@ve permanente, Cl@ve Firma) |
| @firma / Autofirma | Plataforma de validación y firma electrónica de la AGE; Autofirma es la aplicación de escritorio |
| Plataforma de Intermediación de Datos (PID) | Permite a las AAPP consultar datos de ciudadanos en poder de otras AAPP (elimina certificados en papel) |
| DIR3 | Directorio Común de Unidades Orgánicas y Oficinas. Identificación unívoca de órganos y oficinas de las AAPP |
| SICRES 3.0 | Formato normalizado para el intercambio de asientos registrales entre AAPP |
Relación ENS — ENI
| Aspecto | ENS (RD 311/2022) | ENI (RD 4/2010) |
|---|
| Objetivo | Garantizar la seguridad de la información y servicios electrónicos | Garantizar la interoperabilidad entre sistemas de las AAPP |
| Dimensiones | 5 (CITAD) | 3 (Organizativa, Semántica, Técnica) |
| Categorías/Niveles | BÁSICA, MEDIA, ALTA | No define categorías |
| Medidas | 73 medidas en 3 marcos | 12 NTI |
| Certificación | Obligatoria para MEDIA y ALTA | Declaración de conformidad |
| Base legal | Art. 156.2 Ley 40/2015 | Art. 156.1 Ley 40/2015 |
FUENTES PÚBLICAS
Este resumen ha sido elaborado íntegramente a partir de fuentes de dominio público. No se ha utilizado material con copyright de terceros ni material de preparadores.
| Fuente | Tipo | Referencia |
|---|
| RD 311/2022 (ENS) | Legislación | BOE núm. 106, 04/05/2022 |
| RD 4/2010 (ENI) | Legislación | BOE núm. 25, 29/01/2010 |
| Normas Técnicas de Interoperabilidad | Legislación | BOE (resoluciones) |
| Guías CCN-STIC | Institucional | CCN-CERT (ccn-cert.cni.es) |