La categorización es una de las decisiones más importantes del proceso de adecuación al Esquema Nacional de Seguridad, porque determina cuántos controles deberá implantar, con qué nivel de exigencia, y si necesitará una certificación formal o bastará con una declaración de conformidad. Un error de categorización, ya sea por exceso o por defecto, tiene consecuencias directas en costes, plazos y nivel de cumplimiento. En esta guía explicamos cómo funciona el sistema de categorización y cómo aplicarlo correctamente a su organización.
🔗 ENLACE INTERNO: Para un contexto general sobre el ENS, consulte nuestra guía definitiva del Esquema Nacional de Seguridad.
¿Cómo se determina la categoría del sistema?
La categorización del sistema no es una decisión arbitraria. Sigue un proceso reglado definido en el Anexo I del Real Decreto 311/2022 que se basa en la valoración del impacto que un incidente de seguridad tendría sobre la organización y las personas afectadas.
El proceso comienza identificando la información tratada por el sistema y los servicios prestados. Para cada uno, se valora el impacto de un incidente en cada una de las cinco dimensiones de seguridad DICAT (Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad). El impacto se clasifica en tres niveles: BAJO, MEDIO o ALTO.
La categoría del sistema se establece en función del nivel más alto alcanzado en cualquiera de las cinco dimensiones. Es decir, si su sistema trata información cuya confidencialidad se valora como ALTA, aunque las otras cuatro dimensiones sean de nivel MEDIO, el sistema completo se categoriza como ALTA.
¿Qué criterios seguir para determinar el nivel de impacto?
Un impacto se considera BAJO cuando un incidente en esa dimensión supone un perjuicio limitado sobre las funciones de la organización, sobre los activos afectados o sobre los individuos. Se considera MEDIO cuando el perjuicio es grave. Y se considera ALTO cuando el perjuicio es muy grave o catastrófico.
Los factores que se evalúan para determinar el nivel incluyen el alcance del daño (número de personas o servicios afectados), la capacidad de la organización para seguir funcionando, el impacto económico, el daño a la imagen pública, el perjuicio a los derechos de los ciudadanos y el incumplimiento de obligaciones legales.
Categoría BÁSICA: requisitos y aplicabilidad
La categoría BÁSICA se asigna a sistemas donde un incidente de seguridad tendría un impacto limitado. Es la categoría más frecuente para sistemas de información auxiliares, intranets corporativas sin datos sensibles, webs informativas de organismos públicos y sistemas de pequeños ayuntamientos con funcionalidades básicas.
Requisitos de categoría BÁSICA
Los sistemas de categoría BÁSICA deben implantar un subconjunto reducido de los 73 controles del ENS. Aproximadamente 36 controles aplican en categoría BÁSICA, muchos de ellos con un nivel de exigencia básico.
La acreditación se realiza mediante una declaración de conformidad firmada por el responsable del sistema, sin necesidad de auditoría externa. Esto reduce significativamente los costes de cumplimiento, pero no exime del rigor en la implantación real de los controles.
Errores frecuentes en categoría BÁSICA
El error más habitual es infravalorar la categoría para evitar la certificación externa. Si se descubre que un sistema categorizado como BÁSICO debería ser MEDIO (por ejemplo, porque trata datos de salud o información tributaria de ciudadanos), las consecuencias pueden ser graves: el sistema queda fuera de cumplimiento y toda la documentación debe rehacerse.
Categoría MEDIA: el escenario más habitual
La categoría MEDIA corresponde a sistemas donde un incidente de seguridad tendría un impacto grave. Es la categoría predominante para la mayoría de sistemas de la Administración: gestores documentales, plataformas de tramitación electrónica, sedes electrónicas, sistemas de gestión económico-financiera, plataformas de contratación, y los sistemas de los proveedores TIC que dan soporte a estos servicios.
Requisitos de categoría MEDIA
Aproximadamente 57 controles aplican en categoría MEDIA, con niveles de exigencia reforzados respecto a la categoría BÁSICA. Los refuerzos más significativos se producen en el control de acceso (que requiere autenticación de doble factor en determinados contextos), la monitorización (con revisión periódica de logs obligatoria), la gestión de incidentes (con procedimientos formales y notificación al CCN-CERT) y la continuidad del servicio (con planes probados).
La certificación debe ser emitida por una entidad acreditada por ENAC, lo que implica una auditoría externa formal con todos los costes y plazos asociados que hemos detallado en nuestra guía de certificación.
Categoría ALTA: máxima exigencia
La categoría ALTA se reserva para sistemas donde un incidente de seguridad tendría consecuencias muy graves o catastróficas. Esto incluye sistemas que manejan información clasificada nacional, infraestructuras críticas, servicios esenciales de alto impacto (sanidad, justicia, fuerzas de seguridad), plataformas de voto electrónico y sistemas con datos masivos de ciudadanos cuya filtración causaría un perjuicio grave a sus derechos.
Requisitos de categoría ALTA
Los 73 controles del ENS aplican en su totalidad y con el máximo nivel de exigencia. Se exige cifrado de comunicaciones y almacenamiento, segmentación estricta de redes, monitorización en tiempo real con capacidad de detección de intrusiones, respuesta a incidentes en tiempos definidos, y redundancia de sistemas críticos.
La certificación es obligatoria y las auditorías de seguimiento pueden ser más frecuentes. El coste de implantación y mantenimiento es significativamente mayor que en categoría MEDIA.
Tabla comparativa: controles por categoría
A modo de resumen, los controles aplicables por categoría se distribuyen aproximadamente de la siguiente manera. El marco organizativo aplica los 4 controles en las tres categorías. En el marco operacional, la categoría BÁSICA aplica unos 16 controles, la MEDIA unos 25 y la ALTA los 31 completos. En las medidas de protección, la BÁSICA aplica unos 16, la MEDIA unos 28 y la ALTA las 38 completas. En total, la BÁSICA requiere aproximadamente 36 controles, la MEDIA 57 y la ALTA los 73 completos.
Además de la cantidad de controles, el nivel de exigencia dentro de cada control también varía. Por ejemplo, el control de acceso en categoría BÁSICA puede aceptar contraseñas robustas, mientras que en MEDIA se requiere doble factor y en ALTA se exige doble factor con dispositivos criptográficos.
🔗 ENLACE INTERNO: Consulte nuestro desglose detallado de los 73 controles del ENS con aplicabilidad por categoría.
Cómo realizar la categorización: proceso paso a paso
El proceso de categorización debe documentarse formalmente. Primero, identifique todos los sistemas de información dentro del alcance del ENS. Segundo, para cada sistema, identifique la información tratada y los servicios prestados. Tercero, para cada información y servicio, valore el impacto de un incidente en cada una de las cinco dimensiones DICAT. Cuarto, determine la categoría del sistema como el nivel más alto alcanzado en cualquier dimensión. Quinto, documente las valoraciones con su justificación. Y sexto, someta la categorización a la aprobación del responsable de seguridad.
Es recomendable que la categorización se realice de forma colegiada entre el responsable de la información, el responsable del servicio y el responsable de seguridad, con el apoyo del consultor ENS si se dispone de asesoramiento externo.
La recategorización: cuándo es necesaria
La categorización no es estática. Debe revisarse cuando se produzcan cambios significativos en el sistema (nuevos servicios, nuevos tipos de información, nuevas integraciones), cuando cambien los requisitos legales o contractuales, durante la revisión periódica de la política de seguridad y siempre antes de la renovación de la certificación.
Una recategorización al alza (de BÁSICA a MEDIA, o de MEDIA a ALTA) implica la necesidad de implantar controles adicionales, lo que puede requerir un proyecto de adecuación complementario.
📩 CTA: ¿No está seguro de qué categoría corresponde a su sistema? Contacte con nosotros para un análisis de categorización profesional. Le ayudaremos a determinar la categoría correcta y a planificar la adecuación de forma eficiente.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.
¿Necesitas ayuda con esto?
Trabaja conmigo en Adecuación al ENS
Consultoría a medida en adecuación al ENS. Primera sesión sin coste.
Agendar sesión →