ENS desde dentro (IX): Arquitectura de seguridad — cómo demostrar que tu sistema está bajo control
Cómo documentar la arquitectura de seguridad en ENS: redes, sistemas, accesos y líneas de defensa explicados de forma práctica y orientados a auditoría.
Este artículo forma parte de la serie ENS desde dentro.
👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/
👉 Si es tu primera vez en la serie, empieza por aquí:
https://www.handersonboratto.com/blog/que-es-ens/
👉 O continúa con el artículo anterior:
https://www.handersonboratto.com/blog/ens-gestion-riesgos-op-pl1/
Introducción
En el artículo anterior vimos cómo gestionar los riesgos.
👉 qué puede fallar
👉 qué impacto tiene
👉 y cómo priorizar
Pero hay una pregunta clave:
💣 ¿cómo está construido realmente tu sistema?
👉 Aquí entra la arquitectura de seguridad.
Qué pide realmente el ENS
El ENS no pide “diagramas bonitos”.
👉 Pide que puedas demostrar:
- cómo están organizados tus sistemas
- cómo se conectan
- cómo se protegen
- y quién puede acceder
💣 Y todo esto debe estar documentado.
Cómo se ve una arquitectura real en ENS
Vamos a verlo como ocurre en la práctica.
👉 No teoría.
👉 Evidencias reales.
🧭 Paso 1: Documentación de instalaciones
Debes poder identificar:
- edificios
- CPD
- salas técnicas
- zonas de acceso
- puntos críticos
👉 Ejemplo real:
- planos digitalizados de oficinas
- ubicación de sistemas
💣 Si no sabes dónde están los sistemas:
👉 no puedes protegerlos
🧭 Paso 2: Documentación del sistema
Aquí bajas al detalle técnico.
Debes documentar:
- servidores
- estaciones de trabajo
- redes internas
- conexiones externas
- consolas de administración
👉 En la práctica:
- mapas de red
- inventarios
- diagramas de infraestructura
💡 Ejemplo real:
- mapas de red almacenados internamente
- monitorización con herramientas como Pandora
💣 Si no está documentado:
👉 no existe en auditoría
🧭 Paso 3: Líneas de defensa (defensa en profundidad)
Aquí se define cómo se protege el sistema.
Debes documentar:
- segmentación de red
- firewalls
- DMZ
- interconexiones
- accesos a internet
👉 Y algo clave:
💣 múltiples capas de protección
👉 Objetivo:
- evitar que un fallo comprometa todo el sistema
🧭 Paso 4: Identificación y autenticación
Aquí defines quién puede acceder.
Debes documentar:
- usuarios
- sistemas de autenticación
- directorios (LDAP, AD…)
- métodos (contraseña, MFA, biometría…)
👉 Y también:
- qué puede hacer cada usuario
💣 Esto conecta directamente con control de accesos
🧠 Lo importante: coherencia con riesgos
La arquitectura no es independiente.
👉 Debe estar alineada con el análisis de riesgos.
💣 Si no lo está:
👉 el sistema no tiene sentido
Aplicabilidad según categoría ENS
👉 Categoría BÁSICA
- arquitectura documentada
👉 Categoría MEDIA
-
- sistema de gestión
👉 Categoría ALTA
-
- mejora continua
-
- validación de datos
Error típico (y muy común)
❌ “Tenemos un diagrama de red antiguo”
❌ “Esto lo sabe el técnico”
❌ “No está actualizado”
💣 Resultado:
👉 incoherencia
👉 falta de control
👉 no conformidades
Lo que te van a pedir en auditoría
👉 planos de instalaciones
👉 diagramas de red
👉 arquitectura documentada
👉 controles de acceso
👉 coherencia con riesgos
👉 Y sobre todo:
💣 que esté actualizado
Conclusión
La arquitectura de seguridad no es documentación.
👉 Es cómo está construido tu sistema.
👉 Si está bien definida:
💣 tienes control
👉 Si no:
💣 no sabes realmente qué estás protegiendo
Próximo paso
Ya sabes cómo está construido el sistema.
👉 Ahora toca ver cómo impactan las decisiones externas.
👉 En el siguiente artículo entraremos en la adquisición de componentes en ENS (op.pl.3)
👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/