Las herramientas del CCN para el ENS son un ecosistema de aplicaciones gratuitas o de acceso regulado que cubren el ciclo completo de cumplimiento: PILAR para el análisis de riesgos, AMPARO para la adecuación y la declaración de aplicabilidad, CLARA para auditar la configuración técnica e INES para reportar el estado de seguridad. Aquí explico qué hace cada una, en qué fase encaja y cómo se accede.
Cuando una entidad se pone a cumplir el ENS por primera vez, la pregunta que me hacen casi siempre es la misma: «¿con qué software hago esto?». La buena noticia es que el propio CCN pone a disposición un conjunto de herramientas, en muchos casos gratuitas, que cubren el ciclo de cumplimiento de punta a punta. La mala es que sus nombres —PILAR, INES, CLARA, AMPARO, LUCIA— no dicen nada a quien llega de nuevo, y es fácil pedir la que no toca. Este es el mapa que a mí me habría gustado tener el primer día.
¿Qué herramientas ofrece el CCN para cumplir el ENS?
El CCN mantiene un ecosistema de soluciones de ciberseguridad, y una parte está pensada específicamente para el ciclo del Esquema Nacional de Seguridad. Las que de verdad usas al adecuarte y mantenerte son cinco:
- PILAR. Análisis y gestión de riesgos con metodología MAGERIT.
- AMPARO. Asistente de implantación de medidas y generación de la declaración de aplicabilidad.
- CLARA. Auditoría técnica de la configuración de seguridad de tus sistemas.
- INES. Plataforma para reportar el estado de seguridad al CCN, con carácter anual.
- LUCIA. Gestión y coordinación de incidentes con el CERT gubernamental.
Un aviso antes de seguir, porque es la confusión más habitual: estas herramientas no son el catálogo CPSTIC del CCN. El CPSTIC es un listado de productos comerciales de seguridad —cortafuegos, antivirus, cifradores— aprobados o cualificados para su uso en el ENS. Las herramientas de este artículo son aplicaciones del propio Centro para gestionar tu cumplimiento, no productos que compras e instalas en producción. Si estás eligiendo un producto certificado, ese es otro camino: te lo explico en la diferencia entre producto aprobado y cualificado.
PILAR: análisis y gestión de riesgos con MAGERIT
PILAR es la herramienta veterana del CCN y probablemente la que más vas a usar. Automatiza el análisis de riesgos MAGERIT para el ENS: parte de tus activos, les asigna amenazas y salvaguardas de un catálogo predefinido, mantiene la matriz de dependencias y calcula el riesgo intrínseco y el residual conforme vas ajustando valores.
- Qué hace. Modela el análisis y la gestión de riesgos de un sistema de información siguiendo MAGERIT, la metodología oficial de la Administración española. Es la forma más rápida de producir el análisis de riesgos formal que el ENS exige.
- En qué fase del ENS encaja. En el arranque y en cada revisión: el análisis de riesgos es la base sobre la que decides qué medidas aplicar. Vuelves a él cada vez que cambia el sistema.
- Quién puede usarla y cómo se accede. Hay licencias gratuitas para el sector público español, que se solicitan al CCN, y licencias de pago para el uso privado o comercial. Existe una versión reducida, µPILAR, pensada para entidades pequeñas que no necesitan toda la potencia de la versión completa.
- El matiz de consultor. PILAR no es obligatoria. El ENS exige un análisis de riesgos formal, no una herramienta concreta; se admiten otras metodologías equivalentes bien documentadas. Ahora bien, en una pyme que aborda MAGERIT paso a paso por primera vez, empezar con PILAR ahorra semanas frente a montar una hoja de cálculo desde cero.
INES: el informe nacional del estado de seguridad
Si PILAR es la que más usas, INES es la que no te puedes saltar. Es la plataforma con la que las entidades del ámbito del ENS reportan al CCN su nivel de cumplimiento y sus indicadores de seguridad, y el reporte tiene carácter anual.
- Qué hace. Recoge el Informe Nacional del Estado de Seguridad: métricas básicas, caracterización de activos, grado de cumplimiento del ENS y datos sobre organización de la seguridad, gestión de incidentes o servicios subcontratados. El CCN lo agrega para tener una foto del estado de seguridad del sector público.
- En qué fase del ENS encaja. En el seguimiento y la mejora continua, una vez adecuado. Es un compromiso periódico, no un trámite de una sola vez.
- Quién puede usarla y cómo se accede. Las entidades del ámbito de aplicación acceden con credenciales a la plataforma del CCN dentro del plazo anual de carga de datos. Se apoya en la guía CCN-STIC 824.
- El matiz de consultor. Para las entidades locales pequeñas, INES es a menudo el primer contacto real con el ENS. Lo desarrollo en la guía de autoevaluación e INES para ayuntamientos pequeños, donde el reporte y la autoevaluación de la conformidad básica van de la mano.
CLARA: auditoría de la configuración de tus sistemas
CLARA baja al terreno técnico. Mientras PILAR y AMPARO trabajan la documentación y las medidas de gestión, CLARA revisa cómo están realmente configurados tus equipos: comprueba el bastionado frente a las plantillas de seguridad del ENS.
- Qué hace. Audita la configuración de seguridad de sistemas Windows y Linux (hay una versión para cada uno) y mide el grado de cumplimiento aplicando las guías de bastionado CCN-STIC. Genera dos informes: uno técnico, con el detalle de controles y brechas, y otro ejecutivo para dirección.
- En qué fase del ENS encaja. En la verificación técnica y en la preparación de la auditoría. Te dice, antes de que llegue el auditor, dónde no cumples a nivel de configuración.
- Quién puede usarla y cómo se accede. Es de las más abiertas: se descarga desde el área de herramientas del CCN-CERT y la usan responsables de seguridad tanto de organismos públicos como de empresas privadas. Existe versión para el ENS y versión para sistemas clasificados.
- El matiz de consultor. CLARA es un termómetro, no un botón mágico: te señala las desviaciones, pero corregirlas es trabajo de sistemas siguiendo las instrucciones técnicas de seguridad y guías CCN-STIC. Pásala pronto, no la víspera de la auditoría, para que dé tiempo a remediar.
AMPARO: adecuación al ENS y declaración de aplicabilidad
AMPARO es el asistente de implantación. Acompaña a la entidad en el proceso de adecuación al ENS y, cuando terminas de implantar las medidas, te ayuda a formalizar la conformidad.
- Qué hace. Guía la implantación de las medidas de seguridad y permite evaluar el estado del sistema. Para la categoría BÁSICA obtiene de forma automática la declaración de aplicabilidad, el documento que recoge qué medidas aplican según la categoría del sistema. Actúa además como punto de encuentro entre la organización, las entidades de certificación y los auditores.
- En qué fase del ENS encaja. En la adecuación e implantación, entre el análisis de riesgos y la auditoría de conformidad. Es el puente que ordena todo lo anterior en un expediente presentable.
- Quién puede usarla y cómo se accede. Está orientada a las entidades del ámbito del ENS y se integra con INES en el entorno de gobernanza del CCN. El acceso se gestiona a través de sus portales, con registro previo.
- El matiz de consultor. La generación automática de la declaración de aplicabilidad es muy cómoda para la categoría básica, pero no sustituye el criterio: en categorías MEDIA y ALTA hay que justificar exclusiones y refuerzos. Si vas a autoevaluarte, encaja con la declaración de conformidad ENS en nivel básico.
Otras herramientas del ecosistema CCN-CERT: LUCIA, ANA y compañía
El catálogo del CCN va mucho más allá de la adecuación. Estas aparecen en cuanto entras en operación diaria, aunque no todas hacen falta para certificarte:
- LUCIA. Gestión y coordinación de ciberincidentes. Es la herramienta con la que las entidades del ámbito del ENS notifican y siguen sus incidentes de forma centralizada y se coordinan con el CERT gubernamental, con taxonomías alineadas con ENISA. Es la pieza operativa de la gestión de incidentes en el ENS.
- ANA. Automatización y normalización de auditorías, orientada a la gestión centralizada y continua de vulnerabilidades.
- SOC y detección. Herramientas como CARMEN (detección de amenazas avanzadas en el tráfico), GLORIA (gestión de eventos e incidentes) o REYES (intercambio de información de ciberamenazas) están orientadas a la operación de un centro de operaciones de seguridad. Son potentes, pero exceden lo que necesita una adecuación al ENS de categoría básica o media: no te agobies con ellas al principio.
La regla práctica: para adecuarte te bastan PILAR, AMPARO, CLARA e INES; LUCIA y el resto entran cuando pasas a operar la seguridad.
Qué herramienta del CCN usar en cada fase del ENS
Esta es la tabla que uso para situar cada herramienta en su momento del ciclo, con la alternativa de mercado por si en tu caso no aplica la del CCN.
| Fase del ENS | Herramienta del CCN | Qué resuelve | Alternativa de mercado |
|---|---|---|---|
| Análisis y gestión de riesgos | PILAR / µPILAR | Riesgo intrínseco y residual con MAGERIT | Plataformas GRC comerciales |
| Adecuación y declaración de aplicabilidad | AMPARO | Implantar medidas y formalizar la conformidad | Consultoría + herramientas GRC |
| Auditoría técnica de configuración | CLARA | Bastionado de Windows y Linux frente a CCN-STIC | Escáneres de cumplimiento (Nessus, OpenVAS) |
| Reporte del estado de seguridad | INES | Informe anual de indicadores al CCN | Sin alternativa: es la plataforma oficial |
| Gestión de incidentes | LUCIA | Notificación y coordinación con el CERT | Plataformas de ticketing o SOAR |
| Gestión continua de vulnerabilidades | ANA | Detección y seguimiento de vulnerabilidades | Tenable, Qualys, Rapid7 |
¿Herramienta del CCN o solución comercial? Cómo decidir
No hay una respuesta única. Estos son los criterios que aplico al recomendar una u otra:
- Presupuesto y ámbito. Si eres sector público, las herramientas del CCN son gratuitas o de acceso regulado y están alineadas al milímetro con la norma: el punto de partida por defecto. Si eres empresa privada fuera del ámbito de una licitación pública, algunas licencias son de pago y una GRC comercial puede compensar.
- Madurez del equipo. Las herramientas del CCN asumen que alguien entiende MAGERIT, el bastionado y la conformidad. Una solución comercial con soporte y automatismos puede rendir más en un equipo pequeño o sin perfil técnico dedicado.
- Integración. Si ya operas un SOC o una plataforma GRC, mantener todo en un mismo entorno evita silos. Si empiezas de cero, las del CCN te dan un ciclo completo sin coste de licencia.
- Obligatoriedad. INES no se negocia: es la vía oficial de reporte y no tiene sustituto. El resto son medios, y ahí sí eliges.
Qué herramientas priorizar según tu organización
Ayuntamiento pequeño o entidad local
Empieza por lo mínimo viable: µPILAR para el análisis de riesgos, AMPARO para la conformidad básica e INES para el reporte anual. CLARA cuando tengas quien interprete el informe técnico. Es el escenario donde las herramientas gratuitas del CCN más brillan, porque no hay presupuesto para licencias.
Pyme que quiere ser proveedora de la Administración
Necesitas demostrar conformidad para licitar, así que el eje es PILAR más AMPARO, y CLARA para no llevarte sorpresas de configuración en la auditoría. Si el pliego te exige productos concretos, ahí entra el CPSTIC, no estas herramientas. Cuando el caso se complica, es el momento de apoyarte en una consultoría ENS.
Organismo mediano con equipo propio
Aquí tiene sentido el ciclo completo del CCN e incorporar la capa operativa: LUCIA para incidentes y ANA para vulnerabilidades, además de PILAR, AMPARO, CLARA e INES. Si vas a preparar la certificación, conviene ordenar antes el proceso de certificación ENS y encajar cada herramienta en su hito.
Conclusión: la herramienta es el medio, no el fin
Las herramientas del CCN quitan mucha fricción, pero no cumplen el ENS por ti. PILAR calcula el riesgo, pero eres tú quien decide qué medidas aplicar; CLARA detecta la desviación, pero corregirla es trabajo de sistemas; AMPARO ordena el expediente, pero la conformidad la sostiene tu criterio. Bien usadas, te ahorran meses y bastante dinero en licencias. Mal entendidas, generan la falsa sensación de que rellenar la plantilla es cumplir.
Si no tienes claro por dónde empezar, con qué herramienta ni en qué orden, cuéntame tu caso y lo vemos juntos, sin compromiso.
¿Tu empresa necesita adecuarse o certificarse en el ENS para licitar o ser proveedora de la Administración? Conoce mi servicio de consultoría ENS y te acompaño en todo el ciclo.