El Anexo II del Real Decreto 311/2022 define los 73 controles de seguridad que las organizaciones deben implantar según la categoría de su sistema. Conocer cada control, entender qué exige y saber qué evidencias buscan los auditores es fundamental para una implantación eficiente y una auditoría exitosa. Esta guía proporciona un desglose completo de los tres marcos de controles con orientaciones prácticas de implementación.
🔗 ENLACE INTERNO: Si necesita entender primero el marco general del ENS, consulte nuestra guía definitiva del Esquema Nacional de Seguridad.
Marco organizativo: los cimientos de la seguridad (4 controles)
El marco organizativo establece las bases de gobierno de la seguridad. Son los controles que definen quién decide qué, cómo se documenta y cómo se autoriza.
org.1 — Política de seguridad
La política de seguridad es el documento de más alto nivel que establece los principios, directrices y compromisos de la organización en materia de seguridad de la información. Aplica en las tres categorías (BÁSICA, MEDIA y ALTA).
La política debe incluir, como mínimo, los objetivos de la organización, el marco regulatorio, los roles y responsabilidades de seguridad, la estructura del comité de seguridad, las directrices de categorización, las directrices de análisis de riesgos, y las directrices de formación. Debe estar aprobada por la dirección y comunicada a todo el personal.
Las evidencias que buscan los auditores son el documento de política firmado y fechado, registros de comunicación al personal, actas de revisión periódica y evidencias de que el personal conoce la política.
org.2 — Normativa de seguridad
La normativa desarrolla la política en documentos más específicos que regulan aspectos concretos de la seguridad. Aplica en las tres categorías.
La normativa típica incluye normas de uso de los sistemas, normas de gestión de contraseñas, normas de clasificación de la información, normas de uso del correo electrónico, normas de teletrabajo y normas de acceso a instalaciones. Cada norma debe ser aprobada, comunicada y accesible para todo el personal al que aplique.
org.3 — Procedimientos de seguridad
Los procedimientos detallan cómo se ejecutan las actividades de seguridad en el día a día. Aplica en las tres categorías.
Los procedimientos esenciales son los de gestión de incidentes, gestión de cambios, gestión de accesos, copias de seguridad, continuidad del servicio, gestión de vulnerabilidades y auditoría interna. Cada procedimiento debe incluir su alcance, responsables, descripción detallada de las actividades, y registros que genera.
org.4 — Proceso de autorización
Este control establece que debe existir un proceso formal para autorizar la entrada en operación de nuevos componentes del sistema o cambios significativos en los existentes. Aplica en las tres categorías, con exigencia creciente.
En categoría BÁSICA, basta con una autorización documentada del responsable del sistema. En categoría MEDIA, se requiere un proceso formal con análisis de riesgos previo. En categoría ALTA, se exige además una verificación de cumplimiento antes de la puesta en producción.
Marco operacional: la seguridad en la práctica (31 controles)
El marco operacional contiene los controles que regulan la operación diaria de los sistemas de información. Se organiza en seis familias.
op.pl — Planificación (5 controles)
La familia de planificación incluye el análisis de riesgos (op.pl.1), que es obligatorio en todas las categorías y constituye la base para la selección de controles. También incluye la arquitectura de seguridad (op.pl.2), que define la estructura de protección del sistema. La adquisición de nuevos componentes (op.pl.3) establece los requisitos de seguridad en las compras. La dimensionamiento y gestión de capacidades (op.pl.4) asegura que el sistema tiene recursos suficientes. Y los componentes certificados (op.pl.5) exige que, cuando sea posible, se utilicen productos del catálogo CPSTIC del CCN.
op.acc — Control de acceso (7 controles)
El control de acceso es una de las familias más exigentes y donde más no conformidades se detectan. Incluye la identificación (op.acc.1), que exige que cada usuario tenga un identificador único, sin cuentas genéricas. La autenticación (op.acc.2) es especialmente relevante: en categoría BÁSICA se aceptan contraseñas robustas, en MEDIA se requiere doble factor en determinados contextos, y en ALTA el doble factor es obligatorio con mecanismos criptográficos. El control de derechos de acceso (op.acc.3), la gestión de privilegios (op.acc.4), el mecanismo de autenticación (op.acc.5), el acceso local (op.acc.6) y el acceso remoto (op.acc.7) completan esta familia.
op.exp — Explotación (11 controles)
Esta familia cubre la operación segura de los sistemas: inventario de activos, configuración de seguridad, gestión de la configuración, mantenimiento y actualizaciones, gestión de cambios, protección contra código dañino, gestión de incidencias, registro de la actividad, registro de la gestión de incidentes, protección de los registros de actividad, y protección de claves criptográficas.
op.ext — Servicios externos (4 controles)
Regula la relación con proveedores: contratación y acuerdos de nivel de servicio, gestión diaria, monitorización del servicio, y medios alternativos.
op.cont — Continuidad del servicio (4 controles)
Incluye el análisis de impacto (BIA), el plan de continuidad, las pruebas periódicas y los medios alternativos. En categoría ALTA, se exigen pruebas de continuidad al menos anuales con escenarios documentados.
op.mon — Monitorización del sistema (3 controles)
Incluye la detección de intrusión, el sistema de métricas de seguridad y la vigilancia. En categoría MEDIA y ALTA, se exige monitorización continua con capacidad de detección de anomalías.
Medidas de protección: la implementación técnica (38 controles)
Las medidas de protección son los controles técnicos y procedimentales que protegen los activos concretos.
mp.if — Instalaciones e infraestructuras (7 controles)
Cubren la seguridad física: áreas separadas y con control de acceso, identificación de personas, acondicionamiento de los locales, energía eléctrica, protección contra incendios, protección contra inundaciones y registro de entrada y salida de equipamiento.
mp.per — Gestión del personal (4 controles)
Incluyen la caracterización del puesto de trabajo (definir los requisitos de seguridad para cada rol), los deberes y obligaciones del personal, la concienciación y formación, y las medidas al cesar en el puesto.
mp.eq — Protección de los equipos (4 controles)
Puesto de trabajo despejado, protección del equipo desatendido, protección de dispositivos portátiles, y medios alternativos.
mp.com — Protección de las comunicaciones (4 controles)
Perímetro seguro, protección de la confidencialidad de las comunicaciones, protección de la autenticidad y de la integridad, y separación de flujos de información en la red.
mp.si — Protección de los soportes de información (5 controles)
Etiquetado, criptografía, custodia, transporte y borrado y destrucción de soportes.
mp.sw — Protección de las aplicaciones informáticas (2 controles)
Desarrollo seguro de aplicaciones y aceptación y puesta en servicio.
mp.info — Protección de la información (6 controles)
Datos de carácter personal, calificación de la información, cifrado, firma electrónica, sellos de tiempo y limpieza de documentos.
mp.s — Protección de los servicios (3 controles)
Protección del correo electrónico, protección de servicios y aplicaciones web, y protección de la navegación web.
mp.c — Criptografía (3 controles, nuevo en RD 311/2022)
Uso de algoritmos y protocolos autorizados, uso de productos certificados, y gestión de claves criptográficas. Esta familia es nueva en el Real Decreto 311/2022 y refleja la importancia creciente de la criptografía en la seguridad de los sistemas públicos.
¿Cómo abordar la implantación de los controles?
La recomendación es abordar la implantación por fases, empezando por los controles organizativos (que crean el marco de gobierno), siguiendo con los operacionales (que establecen los procesos) y terminando con las medidas de protección (que implementan las soluciones técnicas). Dentro de cada fase, priorice los controles que el análisis de riesgos ha identificado como más críticos.
🔗 ENLACE INTERNO: Para entender cómo se aplican estos controles en cada categoría, consulte nuestro artículo sobre categorías del ENS.
📩 CTA: ¿Necesita implantar los controles del ENS en su organización? Contacte con nosotros para un plan de implementación personalizado que priorice los controles según su análisis de riesgos y optimice los recursos disponibles.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.
¿Necesitas ayuda con esto?
Trabaja conmigo en Adecuación al ENS
Consultoría a medida en adecuación al ENS. Primera sesión sin coste.
Agendar sesión →