Con el tiempo, la ENS se ha convertido también en un referente para organizaciones privadas que desean elevar su madurez en ciberseguridad y alinearse con un estándar nacional que, además, refleja las mejores prácticas internacionales.

Hace unos meses revisamos que era el Esquema Nacional de Seguridad (ENS):

https://www.itdo.com/blog/el-esquema-nacional-de-seguridad-ens-claves-para-la-proteccion-de-la-informacion-en-entornos-digitales/

Hoy quiero profundizar en los puntos que debes tener en cuenta para lograr este objetivo. 

ENS no es una colección de herramientas, sino un modelo de garantías. Describe cómo debe comportarse un sistema y qué responsabilidades tienen las organizaciones para proteger datos e infraestructuras. Lo importante es que el cumplimiento no se basa en productos concretos, sino en la correcta implantación de capacidades, gestión de identidades, protección de endpoints, control de accesos, monitorización continua, trazabilidad, cifrado, disponibilidad y un ciclo de vida seguro. Pero estos puntos sólo pueden cubrirse con herramientas específicas que revisaremos.

Niveles del ENS: Básico, Medio y Alto

El ENS clasifica los sistemas según el impacto que tendría un incidente de seguridad en la organización o mejor dicho, en los ciudadanos. Esta categorización determina la exigencia de los controles.

ENS Básico

Se aplica a sistemas donde un incidente tendría consecuencias limitadas. Requiere medidas razonables y controles fundamentales como la autenticación, protección del puesto, copias de seguridad, gestión de cambios, y una capacidad mínima de auditoría. El objetivo es evitar fallos simples y mantener un umbral de seguridad aceptable.

ENS Medio

Aumenta considerablemente el rigor de las medidas. Se exige una gestión más formal de identidades, control de accesos robusto, monitorización activa, respuesta ante incidentes estructurada, segmentación de redes y mecanismos de protección reforzados. El ENS Medio ya implica una vigilancia continua del entorno y la capacidad de detectar comportamientos anómalos.

ENS Alto

Dirigido a sistemas críticos donde la indisponibilidad o la alteración de la información tendría impacto grave. Aquí se requiere una arquitectura resiliente, sistemas redundantes, trazabilidad exhaustiva, cifrado fuerte, autenticación reforzada, supervisión en tiempo real, endurecimiento del hardware y software, y un control de cambios altamente estricto. Es el nivel que más se asemeja a un Centro de operaciones de seguridad (SOC) maduro con operaciones 24/7.

Qué pretende realmente la ENS

Más allá de la lista de controles, el ENS busca un conjunto de comportamientos:

  1. Que la organización conozca sus activos (equipos, servidores, impresoras, teléfonos, access point, router, switches, firewall, entre otros), sus riesgos y quién accede a qué.
  2. Que todos los usuarios se autentiquen de forma robusta, con trazabilidad real.
  3. Que los dispositivos estén protegidos, parcheados y monitorizados de forma continua.
  4. Que la red esté segmentada y no actúe como un espacio plano y vulnerable.
  5. Que exista un registro verificable de eventos de seguridad, capaz de detectar comportamientos inusuales.
  6. Que la información esté cifrada en tránsito y en reposo.
  7. Que haya capacidad de reacción, no solo prevención.
  8. Que exista un ciclo de vida del sistema bien gestionado, configuración, actualizaciones, copias de seguridad, restauración, e investigación posterior.

El ENS no obliga a usar herramientas concretas ni restringe a los productos del catálogo CPSTIC, pero sí exige que los mecanismos implantados cumplan el objetivo del control. Por ejemplo, no obliga a usar un firewall Fortinet, pero sí a que el firewall esté correctamente configurado, mantenido y documentado, y que su operación sea adecuada al nivel ENS al cual la organización se deba adherir.

Herramientas imprescindibles para cumplir la ENS en una organización moderna

Aunque el ENS no impone un listado de proveedores o productos, en la práctica sí obliga a desplegar un conjunto mínimo de capacidades técnicas. La elección de herramientas concretas dependerá de cada organización, pero las categorías fundamentales sí son universales.

1. Gestión de identidades y control de acceso

El ENS exige un modelo centralizado donde usuarios, roles y permisos se gestionan de forma coordinada. La autenticación debe ser fuerte (MFA), los accesos deben ser auditables y las altas/bajas rápidas y trazables, a ser posible integrado con el software de RRHH. Herramientas como Windows Entra ID, Google Workspace ID, Keycloak, JumpCloud o miniOrange cumplen esta función cuando se configuran como núcleo IAM.

2. Protección de endpoints y servidores

Los niveles Medio y Alto requieren defensa avanzada en los equipos, con detección de amenazas, respuesta activa, revisión continua del comportamiento y gestión de vulnerabilidades. Soluciones antivirus EDR/XDR con detección y respuesta administradas (MDR) se ajustan bien a esta exigencia, especialmente porque cubren prevención, vigilancia 24/7 y capacidad de respuesta rápida delegada.

3. Monitorización y SIEM

La capacidad de detectar incidentes es una obligación explícita del ENS. Esto implica consolidar logs, correlacionar eventos y generar alertas. Las soluciones SIEM pueden ser Cloud (por ejemplo Wazuh desplegado en AWS) o instaladas on-premise. Lo esencial es que tu organización pueda demostrar que hay una monitorización activa y que los eventos críticos no pasan desapercibidos.

4. Firewall de nueva generación y segmentación

El ENS obliga a separar redes, limitar movimientos laterales y proteger los perímetros. Cualquier NGFW (SonicWall, Fortinet, Palo Alto…) es válido si está configurado correctamente y si registra, filtra y controla el tráfico. El ENS no exige un fabricante concreto, pero sí un comportamiento concreto de filtrado, inspección y auditoría. Existen también soluciones software como OPNsense, una herramienta open source con una madurez creciente que proporciona inspección profunda de paquetes, políticas granulares, control de aplicaciones y capacidad de segmentar redes de forma avanzada incluso en entornos pequeños.

5. Gestión de dispositivos y auditoría de configuración

MDM/UEM para Mac, Windows y móviles es indispensable. La ENS requiere asegurar que la configuración de los equipos está bajo control, que se aplican parches, que se cifran los discos y que los dispositivos no quedan fuera de supervisión. Relution, VMware Workspace ONE, ManageEngine Endpoint Central, JumpCloud, Intune, Kandji o miniOrange MDM son ejemplos válidos.

6. Inventario y ciclo de vida del sistema

El ENS pide conocer todos los activos, servidores, estaciones de trabajo, móviles, servicios cloud, licencias, aplicaciones y software instalado. Herramientas como GLPI o InvGate permiten mantener este registro, generar evidencias y documentar la trazabilidad necesaria.

7. Sistema de copias de seguridad

El ENS requiere políticas claras de respaldo y restauración. Esto incluye almacenamiento seguro, pruebas periódicas de restauración y cifrado. Una solución basada en NAS como Synology con HyperBackup o snapshots en AWS (S3/Glacier) es totalmente válida si se documenta y se automatiza.

8. Protección perimetral de acceso físico

Para nivel Medio y Alto se exige control físico sobre racks y salas. Cerraduras electrónicas, registro de accesos, CCTV y capacidad de auditoría son requisitos. Aunque no exige un modelo concreto, sí debe existir trazabilidad de quién accede y cuándo.

Arquitectura mínima para cumplir la ENS

Una organización que quiera cumplir la ENS sin sobredimensionar costes suele apoyarse en:

  • IAM centralizado
  • EDR/MDR en todos los equipos
  • MDM/UEM para Mac, Windows, iOS y Android
  • SIEM activo
  • Firewall NGFW con segmentación
  • Inventario y CMDB
  • Backups cifrados y automatizados
  • Procedimientos documentados de auditoría, respuesta, alta/baja de usuarios y gestión de configuraciones

Con este conjunto de capacidades, la ENS deja de ser un documento burocrático y se convierte en una arquitectura clara, trazable y una prácticas de seguridad que garantizaran la salud digital de tu organización. 

Conclusión

El ENS pretende asegurar comportamientos coherentes con la seguridad moderna. Su intención es que los sistemas públicos y las organizaciones que albergan información sensible estén protegidas frente a amenazas reales. Para lograrlo, obliga a contar con un núcleo de capacidades: identidad, trazabilidad, monitorización, protección del endpoint, control de accesos, copias de seguridad robustas y gestión del ciclo de vida del sistema.

La elección concreta de herramientas es flexible mientras exista evidencia suficiente de que se cumple la función exigida. Por eso una arquitectura basada en IAM centralizado, EDR/MDR, SIEM, MDM, NGFW y una CMDB sólida suele ser la forma más eficaz, sostenible y alineada con el ENS para construir seguridad real en cualquier organización.


Referencias:

· Esquema Nacional de Seguridad (ENS)

Compartir es construir