ENS: cómo determinar el nivel de seguridad de tus sistemas (Bajo, Medio, Alto)
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
Antes de implantar medidas de seguridad del ENS, es obligatorio clasificar los sistemas de información. La clasificación determina qué medidas del Anexo II son aplicables. Un error en la clasificación puede llevar a sobre-cumplir (costoso) o infra-cumplir (sancionable). El proceso combina el Anexo I del RD 311/2022 y la metodología MAGERIT-simplificada.
Puntos clave
- 1La clasificación se basa en el impacto potencial de un incidente sobre 5 dimensiones: C, I, D, A, T
- 2El nivel del sistema es el máximo de los niveles de sus dimensiones
- 3La herramienta PILAR del CCN automatiza y documenta el proceso de valoración
- 4Un sistema puede tener distintos niveles por dimensión (ej. Alto en Disponibilidad, Bajo en Confidencialidad)
- 5La clasificación debe revisarse ante cambios relevantes en el sistema o su entorno
- 6Las AA.PP. de alcance general tienen el nivel mínimo determinado por normativa sectorial
Las cinco dimensiones de seguridad del ENS
Cada sistema debe ser valorado en cinco dimensiones. El nivel final del sistema es el mayor de los niveles obtenidos en cada dimensión.
| Dimensión | Sigla | Qué mide |
|---|---|---|
| Confidencialidad | C | El daño si la información se hace accesible a quien no debe |
| Integridad | I | El daño si la información es modificada de forma no autorizada |
| Disponibilidad | D | El daño si el sistema o servicio no está accesible cuando se necesita |
| Autenticidad | A | El daño si no se puede verificar la identidad del origen de la información |
| Trazabilidad | T | El daño si no se puede rastrear quién hizo qué en el sistema |
Escala de valoración del impacto
Para cada dimensión se valora el impacto potencial de un incidente en una escala de 1 a 10. Esa escala se mapea a los tres niveles del ENS.
| Escala MAGERIT | Impacto | Nivel ENS |
|---|---|---|
| 1 – 4 | Impacto bajo o limitado | Bajo |
| 5 – 7 | Impacto grave | Medio |
| 8 – 10 | Impacto muy grave o catastrófico | Alto |
Herramienta PILAR del CCN
El CCN ofrece de forma gratuita la herramienta PILAR (Procedimiento Informático-Lógico para el Análisis de Riesgos), que implementa la metodología MAGERIT y permite valorar activos, amenazas y salvaguardas, generando la clasificación del sistema y documentación lista para auditoría. Está disponible en el portal ens.ccn.cni.es.
Próximos pasos recomendados
- 1Descarga la herramienta PILAR del portal ENS del CCN
- 2Inventaria los sistemas de información en el ámbito del ENS (los que traten información de las AA.PP.)
- 3Para cada sistema, valora las cinco dimensiones con la escala MAGERIT
- 4Documenta la clasificación y revísala anualmente o ante cambios relevantes
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- RD 311/2022 Anexo I — BOE — Categorías de seguridad de los sistemas de información en el ENS
- CCN — Herramienta PILAR — Descarga y documentación de la herramienta PILAR para análisis de riesgos ENS
- CCN-STIC 803 — Valoración de sistemas — Guía del CCN para la valoración de sistemas en el ENS
- MAGERIT v3 — PAe — Metodología de análisis y gestión de riesgos de los sistemas de información
También en ENS