ENS desde dentro (VII): Planificación — guía paso a paso para diseñar un sistema ENS que funcione
Guía paso a paso para diseñar un sistema ENS (PS02): categorización, análisis de riesgos, arquitectura y decisiones clave para cumplir en auditoría.
Este artículo forma parte de la serie ENS desde dentro.
👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/
👉 Si es tu primera vez en la serie, empieza por aquí:
https://www.handersonboratto.com/blog/que-es-ens/
👉 O continúa con el artículo anterior:
https://www.handersonboratto.com/blog/ens-auditoria-mejora-continua-ps00/
Introducción
En el artículo anterior vimos cómo auditar un sistema ENS.
👉 Cómo detectar fallos
👉 Cómo evidenciar cumplimiento
👉 Cómo mejorar
Pero hay un problema:
💣 si el sistema está mal diseñado… la auditoría solo lo confirma
👉 Aquí es donde entra PS02.
El cambio de enfoque
Hasta ahora:
👉 hemos comprobado si funciona
Ahora:
👉 vamos a diseñar para que funcione
💣 PS02 es donde se decide si el ENS será viable… o un problema continuo
Objetivo de esta guía
👉 Que puedas diseñar un sistema ENS sólido desde el inicio
Sin teoría innecesaria.
👉 Solo lo que necesitas para evitar problemas reales.
🧭 Paso 1: Categorización del sistema
Todo empieza aquí.
👉 Antes de proteger, hay que entender qué estás protegiendo.
Define:
- tipo de información
- servicios asociados
- impacto (confidencialidad, integridad, disponibilidad…)
💣 Error típico:
❌ copiar categorizaciones
❌ no revisarlas
👉 La categorización debe revisarse periódicamente y ante cambios
🧭 Paso 2: Identificación de activos
Ahora baja al detalle.
👉 Identifica todo lo que forma parte del sistema:
- servicios
- aplicaciones
- servidores
- redes
- usuarios
- proveedores
💡 Incluye también:
- instalaciones
- comunicaciones
- personal
💣 Si no identificas activos:
👉 no puedes protegerlos
🧭 Paso 3: Análisis de riesgos (la base real)
Aquí se decide TODO.
👉 Analiza:
- amenazas
- vulnerabilidades
- impacto
- probabilidad
💡 En la práctica se usa:
👉 PILAR (basado en MAGERIT)
💣 Regla clave:
👉 no copies riesgos → analízalos
🧭 Paso 4: Tratamiento de riesgos
Una vez identificados:
👉 decides qué hacer con ellos
Opciones:
- mitigar
- aceptar
- transferir
👉 Y defines:
- medidas de seguridad
- nivel de madurez objetivo
💣 Aquí nace el ENS real
🧭 Paso 5: Define la arquitectura de seguridad
Aquí muchos fallan.
👉 Debes documentar:
- red
- sistemas
- accesos
- interconexiones
- autenticación
💡 Ejemplo:
- mapas de red
- inventarios
- puntos de acceso
- controles de seguridad
💣 Si no está documentado:
👉 no existe
🧭 Paso 6: Controla las adquisiciones
Cada compra impacta en seguridad.
Antes de adquirir:
👉 valida que:
- cumple ENS
- encaja en tu arquitectura
- responde a riesgos detectados
💡 Importante:
👉 prioriza productos certificados (CPSTIC)
💣 Error típico:
❌ comprar sin análisis previo
🧭 Paso 7: Gestión de la capacidad
Un sistema inseguro no siempre es vulnerable.
👉 A veces está saturado.
Analiza:
- procesamiento
- almacenamiento
- comunicaciones
- personal
- instalaciones
👉 Y define un plan de capacidad
💣 Si no planificas:
👉 tendrás incidentes
Error típico (y muy común)
❌ “Ya lo veremos en producción”
❌ “Esto siempre ha funcionado así”
❌ “No hace falta documentarlo”
💣 Resultado:
👉 problemas constantes
👉 auditorías negativas
Qué te van a pedir en auditoría
👉 análisis de riesgos
👉 categorización
👉 arquitectura documentada
👉 decisiones justificadas
👉 Y sobre todo:
💣 coherencia
Conclusión
PS02 no es un trámite.
👉 Es donde se decide cómo será tu ENS.
👉 Si lo haces bien:
💣 todo lo demás fluye
👉 Si lo haces mal:
💣 todo lo demás falla
Próximo paso
Ya sabes cómo diseñar el sistema.
👉 Ahora toca protegerlo.
👉 En el siguiente artículo entraremos en la gestión de riesgos en ENS (op.1):
la base de todas las medidas de seguridad.
👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/