El ENS protege la información a través de cinco dimensiones de seguridad: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad, lo que se abrevia como CIDAT. Cada dimensión responde a una garantía distinta y se valora por separado en tres niveles —bajo, medio o alto— según el impacto que tendría un incidente. Esa valoración no es teórica: de ella se deriva, conforme al Real Decreto 311/2022, la categoría del sistema y, con ella, las medidas del Anexo II que hay que implantar. Entender las cinco dimensiones es el primer paso de cualquier adecuación al ENS.
Las dimensiones son la base sobre la que se construye todo el el cumplimiento del Esquema Nacional de Seguridad. Si las valoras mal, todo lo que viene después —la categoría, las medidas, los refuerzos, la auditoría— arrastra el error. Por eso conviene dedicarles tiempo: no son una casilla que rellenar, son la lectura del riesgo de tu sistema. En esta guía explico qué significa cada una con ejemplos concretos, cómo se valoran y cómo influyen en la categoría final.
Trabajo el la gestión del cumplimiento de empresas y entidades desde Castilla y León y Canarias, y mi recomendación es siempre la misma: antes de pensar en medidas, piensa en daños. Las dimensiones traducen "qué podría salir mal" en una valoración accionable.
¿Cuáles son las dimensiones de seguridad del ENS?
El RD 311/2022 establece cinco dimensiones de seguridad. Cada una protege una propiedad concreta de la información o los servicios:
Confidencialidad (C)
Garantiza que la información solo es accesible para quien está autorizado. Se ve afectada cuando un dato llega a manos que no debían verlo: una filtración de datos personales, el acceso indebido a un expediente, la exposición de documentación reservada. Es la dimensión que más pesa cuando se manejan datos especialmente protegidos.
Integridad (I)
Garantiza que la información no ha sido alterada de forma no autorizada. Protege contra modificaciones, borrados o manipulaciones indebidas. Un incidente de integridad sería, por ejemplo, que alguien cambiara el importe de una liquidación o el contenido de un acta sin dejar rastro legítimo. Crítica en cualquier sistema cuyos datos sustenten decisiones.
Disponibilidad (D)
Garantiza el acceso a la información y los servicios cuando se necesitan. Su incidente típico es la caída del servicio: una sede electrónica inaccesible en el último día de un plazo, una plataforma crítica fuera de servicio. Cuanto más esencial es el servicio para la ciudadanía o la organización, más sube esta dimensión.
Autenticidad (A)
Garantiza que quien accede o emite es realmente quien dice ser. Sostiene la confianza en las identidades: que la firma es de quien dice firmar, que el usuario que entra es el titular legítimo, que el documento procede de quien lo emite. Su fallo abre la puerta a la suplantación.
Trazabilidad (T)
Garantiza que las actuaciones quedan registradas y son atribuibles a quien las realizó. Es la dimensión del "quién hizo qué y cuándo": los registros de actividad, los logs, las pistas de auditoría. Sin trazabilidad no se puede investigar un incidente ni rendir cuentas de lo ocurrido.
¿Qué significa CIDAT?
CIDAT es el acrónimo de las cinco dimensiones: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad. Verás también el orden DICAT o variantes según la fuente; el conjunto es el mismo. Es simplemente una regla mnemotécnica para no olvidar ninguna dimensión al valorar un sistema, porque dejarse una fuera es uno de los errores más comunes.
Una observación útil: confidencialidad e integridad protegen el dato en sí; disponibilidad protege el acceso; y autenticidad y trazabilidad protegen la confianza en quién actúa y en qué quedó registrado. Agruparlas así ayuda a no confundirlas.
| Dimensión | Pregunta que protege | Incidente típico |
|---|---|---|
| Confidencialidad | ¿Quién puede ver esto? | Filtración de datos |
| Integridad | ¿El dato es correcto y no manipulado? | Alteración no autorizada |
| Disponibilidad | ¿Está accesible cuando hace falta? | Caída del servicio |
| Autenticidad | ¿Es quien dice ser? | Suplantación de identidad |
| Trazabilidad | ¿Quién hizo qué y cuándo? | Imposibilidad de auditar |
¿Cómo se valora cada dimensión?
Cada dimensión se valora de forma independiente en uno de tres niveles, según el impacto que tendría un incidente que la afectara:
- Nivel BAJO: el incidente causaría un perjuicio limitado.
- Nivel MEDIO: causaría un perjuicio grave.
- Nivel ALTO: causaría un perjuicio muy grave, posiblemente irreparable.
Si una dimensión no resulta afectada por el sistema, simplemente no se le asigna nivel. El criterio de valoración mira el efecto sobre la capacidad de la organización para cumplir sus objetivos, proteger sus activos, atender sus obligaciones de servicio y respetar la legalidad y los derechos de las personas. Esta valoración del impacto es la misma que sostiene la metodología de análisis de riesgos MAGERIT, que el ENS toma como referencia.
Un ejemplo para fijar la idea. Imagina una plataforma municipal de notificaciones electrónicas con valor probatorio:
- Confidencialidad: media (contiene datos personales pero no especialmente protegidos).
- Integridad: alta (alterar una notificación tendría consecuencias jurídicas graves).
- Disponibilidad: media (su caída afecta a plazos, pero hay alternativas).
- Autenticidad: alta (debe garantizarse quién notifica y a quién).
- Trazabilidad: alta (el valor probatorio depende del registro fiable).
Con varias dimensiones en nivel alto, este sistema sería de categoría alta. Una sola dimensión alta basta para arrastrar a todo el sistema, como veremos.
¿Cómo influyen las dimensiones en la categoría del sistema?
Aquí está la conexión decisiva. Una vez valoradas las cinco dimensiones, la categoría del sistema se determina por la regla del artículo 40 del RD 311/2022: se toma el nivel más alto alcanzado por cualquier dimensión.
| Nivel máximo entre las dimensiones | Categoría del sistema |
|---|---|
| Alguna dimensión en ALTO | ALTA |
| Alguna en MEDIO (ninguna alta) | MEDIA |
| Alguna en BAJO (ninguna media ni alta) | BÁSICA |
Y la categoría, a su vez, determina qué medidas y refuerzos del Anexo II hay que implantar. La cadena completa es: dimensiones → niveles → categoría → medidas. Por eso las dimensiones no son un trámite inicial, sino la pieza que condiciona todo el alcance de la adecuación. Si quieres ver el método de decisión paso a paso, lo desarrollo en cómo elegir el nivel básico, medio o alto.
¿Cómo se relaciona cada dimensión con las medidas del Anexo II?
Las dimensiones no solo fijan la categoría: también orientan qué medidas del Anexo II cobran más peso. Aunque la selección formal depende de la categoría del sistema, entender qué dimensión protege cada bloque de medidas ayuda a priorizar y a justificar la Declaración de Aplicabilidad. A grandes rasgos:
| Dimensión | Medidas del Anexo II especialmente relacionadas |
|---|---|
| Confidencialidad | Control de acceso (op.acc), cifrado de información (mp.info), protección de soportes (mp.si), protección de comunicaciones (mp.com) |
| Integridad | Firma electrónica y sellado (mp.info), gestión de cambios y configuración (op.exp), protección frente a código dañino |
| Disponibilidad | Continuidad del servicio (op.cont), protección frente a denegación de servicio (mp.s), copias de seguridad (mp.info) |
| Autenticidad | Mecanismos de autenticación (op.acc), firma electrónica (mp.info), proceso de autorización (org.4) |
| Trazabilidad | Registro de actividad (op.exp), monitorización del sistema (op.mon) |
Este mapa es orientativo —muchas medidas protegen varias dimensiones a la vez—, pero resulta muy útil cuando un sistema tiene una dimensión claramente dominante: si tu sistema vive de la disponibilidad, sabes que continuidad y copias serán tus medidas críticas. La correspondencia completa la encontrarás en el Anexo II explicado.
Dimensiones que se confunden con frecuencia
Tres parejas generan dudas recurrentes al valorar. Aclararlas evita errores de categorización:
- Confidencialidad frente a integridad. La confidencialidad protege que nadie no autorizado lo vea; la integridad protege que nadie no autorizado lo cambie. Un dato puede ser perfectamente confidencial y, aun así, estar expuesto a manipulación si no se protege su integridad.
- Autenticidad frente a integridad. La autenticidad responde a "¿quién lo emitió?"; la integridad, a "¿se ha modificado desde entonces?". La firma electrónica suele cubrir ambas, pero son garantías distintas.
- Trazabilidad frente a autenticidad. La autenticidad establece la identidad en el momento de actuar; la trazabilidad deja constancia posterior de quién actuó. Una sin la otra deja huecos: puedes saber quién entra (autenticidad) pero no qué hizo (trazabilidad), o al revés.
Tener clara cada frontera es lo que permite valorar cada dimensión en su justo nivel y no arrastrar el error a la categoría.
De las dimensiones a la firma y el cifrado
Una utilidad práctica de dominar las dimensiones es que iluminan por qué el ENS exige ciertas tecnologías. El cifrado, por ejemplo, es la herramienta natural de la confidencialidad (que el dato no sea legible para quien no debe) y, en tránsito, también de la integridad de las comunicaciones. La firma electrónica sirve a la autenticidad y a la integridad a la vez. Y los registros de actividad son, literalmente, la materialización de la trazabilidad.
Verlo así cambia la perspectiva: las medidas del Anexo II no son una lista arbitraria de requisitos técnicos, sino la respuesta a las garantías que cada dimensión exige. Cuando un sistema valora alto en una dimensión, las medidas que la protegen dejan de ser opcionales y se vuelven el centro de la adecuación.
Errores frecuentes al valorar las dimensiones
- Olvidar una dimensión. CIDAT está precisamente para que no se quede ninguna sin valorar; trazabilidad y autenticidad son las más olvidadas.
- Valorar la tecnología en lugar del dato. El nivel nace del impacto sobre la información, no de lo robusta que sea la infraestructura.
- Confundir confidencialidad con disponibilidad. Que un servicio sea muy crítico (disponibilidad) no implica que sus datos sean muy sensibles (confidencialidad), y al revés.
- Inflar todas las dimensiones a alto. Sobrevalorar dispara la categoría y, con ella, medidas y auditorías innecesarias.
- No revisar la valoración. Cuando el sistema cambia, las dimensiones pueden cambiar de nivel; hay que revalorarlas.
Las dimensiones en el análisis de riesgos
Las dimensiones no aparecen solo al categorizar: son también el eje del análisis de riesgos, la pieza que el ENS exige como base de toda la gestión de seguridad. Cuando aplicas una metodología como MAGERIT, valoras los activos precisamente en términos de estas cinco dimensiones: qué pasaría con la confidencialidad, la integridad, la disponibilidad, la autenticidad y la trazabilidad si el activo se viera comprometido.
Esa valoración alimenta dos resultados distintos pero conectados. Por un lado, la categoría del sistema, que determina el conjunto de medidas obligatorias del Anexo II. Por otro, el tratamiento del riesgo, que prioriza dónde reforzar más allá del mínimo normativo. Las dimensiones son, por tanto, el lenguaje común que une la categorización y la gestión de riesgos: una vez que sabes valorarlas, hablas el idioma del ENS. Lo desarrollo en mi guía de análisis de riesgos con MAGERIT en el ENS.
Por dónde empezar a valorar las dimensiones
Si te enfrentas por primera vez a la valoración, este orden de trabajo ahorra muchos errores:
- Identifica la información y los servicios que sostiene el sistema, no solo la tecnología. El nivel nace del valor de lo que proteges.
- Pregunta por el peor escenario en cada dimensión: ¿qué daño causaría el incidente más grave razonablemente posible?
- Gradúa el perjuicio en limitado (bajo), grave (medio) o muy grave (alto), con criterios consistentes para todo el sistema.
- Documenta el porqué de cada nivel: la justificación es tan importante como el resultado.
- Contrasta con casos similares y, si existe, con el perfil de cumplimiento de tu tipo de entidad.
Hecho esto, ya tienes la base sobre la que se levanta toda la adecuación. Las dimensiones bien valoradas son la inversión más rentable del ENS: condicionan la categoría, las medidas y el coste, y una hora dedicada a valorarlas con rigor ahorra semanas de trabajo mal dirigido.
Preguntas frecuentes sobre las dimensiones del ENS
¿Cuáles son las dimensiones de seguridad del ENS?
Son cinco: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad, conocidas por el acrónimo CIDAT. Cada una protege una garantía distinta de la información y los servicios.
¿Qué significa CIDAT?
CIDAT es el acrónimo de las cinco dimensiones de seguridad del ENS: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad. Es una regla mnemotécnica para no olvidar ninguna al valorar un sistema.
¿Cómo se valora cada dimensión?
Cada dimensión se valora por separado en nivel bajo, medio o alto según el impacto de un incidente: perjuicio limitado es bajo, perjuicio grave es medio y perjuicio muy grave es alto. Si la dimensión no aplica al sistema, no se le asigna nivel.
¿Cómo influyen las dimensiones en la categoría del sistema?
La categoría del sistema la fija la dimensión que alcance el nivel más alto: si alguna es alta, el sistema es de categoría alta; si la más alta es media, es media; y si todas son bajas, es básica. La categoría determina después las medidas del Anexo II.
¿Una sola dimensión alta hace que todo el sistema sea de categoría alta?
Sí. La regla del artículo 40 del RD 311/2022 toma el nivel máximo: basta con que una dimensión sea alta para que el sistema completo sea de categoría alta, con las medidas y refuerzos que ello implica.
¿Qué dimensión es la más importante?
No hay una dimensión universalmente más importante: depende del sistema. En uno con datos sensibles pesará la confidencialidad; en un servicio crítico, la disponibilidad; en una plataforma con valor probatorio, la trazabilidad y la autenticidad. Por eso se valoran las cinco por separado.
Fuentes
- Real Decreto 311/2022, de 3 de mayo (BOE-A-2022-7191) — Anexo I (dimensiones y niveles) y artículo 40.
- Portal del ENS — CCN (ens.ccn.cni.es) — guías CCN-STIC de categorización (803, 804).