Sign in Subscribe

ENS desde dentro (I): Qué es el Esquema Nacional de Seguridad en la práctica

Qué es el ENS en la práctica y por qué no basta con tener seguridad, sino demostrarla. Introducción real al Esquema Nacional de Seguridad.

ENS desde dentro (I): Qué es el Esquema Nacional de Seguridad en la práctica
Serie ENS desde dentro | Introducción al ENS

Introducción

Si has llegado hasta aquí buscando qué es el ENS, probablemente ya te hayas encontrado con definiciones oficiales, normativa y algún que otro documento del BOE difícil de digerir.

Yo no voy a explicarte el ENS así.

Voy a explicártelo desde la experiencia de alguien que lo está trabajando en el día a día, enfrentándose a los retos reales de implantar el ENS en una organización.

Porque el problema del ENS no es entenderlo.
El problema es aplicarlo de verdad.

Este artículo forma parte de la serie ENS desde dentro.

👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/

Entonces… ¿qué es realmente el ENS?

Qué es el ENS en la práctica

El Esquema Nacional de Seguridad (ENS) es el conjunto de requisitos que deben cumplir las organizaciones —especialmente del sector público y sus proveedores— para garantizar la seguridad de sus sistemas de información.

Hasta aquí, todo correcto.

Pero en la práctica, el ENS es otra cosa:

Y aquí está la clave:

El ENS es un sistema para demostrar que haces bien las cosas en seguridad.

Y remarco demostrar, porque aquí está el punto que cambia todo.

El gran error: pensar que el ENS es solo normativa

Uno de los errores más comunes es pensar:

  • “Tengo firewall”
  • “Tengo antivirus”
  • “Tengo copias de seguridad”

👉 Entonces ya cumplo ENS.

No.

En ENS no importa solo lo que tienes.
Importa que puedas demostrarlo de forma clara, trazable y repetible.

Cómo se estructura el ENS (sin complicaciones)

El ENS se divide en tres grandes bloques:

🏢 Marco organizativo (org)

  • Política de seguridad
  • Normas de seguridad
  • Procedimientos de seguridad
  • Procesos de autorización

👉 Es el “papel”… pero si no se aplica, no sirve para nada.

⚙️ Marco operativo (op)

  • Planificación
  • Control de accesos
  • Explotación
  • Servicios externos
  • Servicios en la nube
  • Continuidad del servicio
  • Monitorización del sistema

👉 Aquí está el día a día real de sistemas.

🛡️ Medidas de protección (mp)

  • Protección de instalaciones e infraestructuras
  • Gestión de personal
  • Protección de equipos
  • Protección de las comunicaciones
  • Protección de los soportes de información
  • Protección de aplicaciones
  • Protección de la información
  • Protección de los servicios

👉 Es la parte más técnica… y donde muchos creen que empieza todo (pero no es así).

La realidad: dónde fallan la mayoría de proyectos ENS

Después de trabajar con el ENS, hay patrones que se repiten siempre:

❌ Mucho documento, poca aplicación

Políticas firmadas… que nadie conoce ni aplica.

❌ Seguridad “de herramienta”

Creer que por tener un firewall o un EDR ya está todo hecho.

❌ Falta de trazabilidad

No hay forma de demostrar:

  • quién accedió
  • quién autorizó
  • qué cambió
  • cuándo ocurrió

❌ Evidencias inexistentes o mal planteadas

Y aquí es donde la mayoría de proyectos se caen en auditoría.

El concepto clave que lo cambia todo: la evidencia

Si hay algo que debes entender desde el primer momento es esto:

Sin evidencia, no hay ENS.

Puedes tener la mejor infraestructura del mundo…
pero si no puedes demostrarlo:

👉 No cumples.

¿Qué es una evidencia en ENS?

Una evidencia es cualquier prueba que demuestra que una medida de seguridad:

  • existe
  • se aplica
  • y se mantiene en el tiempo

Ejemplos reales:

  • Ticket aprobado para conceder acceso a un usuario
  • Captura de Active Directory con usuarios y grupos
  • Registro de incidentes de seguridad
  • Documento firmado de aceptación de políticas
  • Evidencia de entrada de material en CPD
  • Prueba de restauración de copias de seguridad

Esto no es teoría.

👉 Esto es exactamente lo que te van a pedir en una auditoría.

El ENS no es un proyecto, es un sistema vivo

Otro error habitual:

👉 Pensar que el ENS se “implanta” y ya está.

La realidad es otra:

  • hay que mantenerlo
  • revisarlo
  • auditarlo
  • evidenciarlo continuamente

El ENS se parece mucho más a una operación continua que a un proyecto.

Qué puedes esperar de esta serie

Esta serie no va a ser normativa.

Va a ser práctica.

En los siguientes artículos veremos:

  • cómo se aplican realmente los controles
  • qué evidencias te van a pedir
  • dónde falla la mayoría de organizaciones
  • cómo evitar problemas en auditoría

Cierre

Si tuviera que resumir el ENS en una frase, sería esta:

No se trata de tener seguridad, se trata de poder demostrarla.

Y eso cambia completamente la forma de trabajar.

Próximo artículo

Este artículo forma parte de la serie ENS desde dentro.

👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/

👉 Continúa con el siguiente paso:
https://www.handersonboratto.com/blog/politica-seguridad-ens/

Subscribe to Handerson Boratto

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe