Las herramientas del CCN para el ENS son un ecosistema de aplicaciones gratuitas o de acceso regulado que cubren el ciclo completo de cumplimiento: PILAR para el análisis de riesgos, AMPARO para la adecuación y la declaración de aplicabilidad, CLARA para auditar la configuración técnica e INES para reportar el estado de seguridad. Aquí explico qué hace cada una, en qué fase encaja y cómo se accede.

Cuando una entidad se pone a cumplir el ENS por primera vez, la pregunta que me hacen casi siempre es la misma: «¿con qué software hago esto?». La buena noticia es que el propio CCN pone a disposición un conjunto de herramientas, en muchos casos gratuitas, que cubren el ciclo de cumplimiento de punta a punta. La mala es que sus nombres —PILAR, INES, CLARA, AMPARO, LUCIA— no dicen nada a quien llega de nuevo, y es fácil pedir la que no toca. Este es el mapa que a mí me habría gustado tener el primer día.

¿Qué herramientas ofrece el CCN para cumplir el ENS?

El CCN mantiene un ecosistema de soluciones de ciberseguridad, y una parte está pensada específicamente para el ciclo del Esquema Nacional de Seguridad. Las que de verdad usas al adecuarte y mantenerte son cinco:

Un aviso antes de seguir, porque es la confusión más habitual: estas herramientas no son el catálogo CPSTIC del CCN. El CPSTIC es un listado de productos comerciales de seguridad —cortafuegos, antivirus, cifradores— aprobados o cualificados para su uso en el ENS. Las herramientas de este artículo son aplicaciones del propio Centro para gestionar tu cumplimiento, no productos que compras e instalas en producción. Si estás eligiendo un producto certificado, ese es otro camino: te lo explico en la diferencia entre producto aprobado y cualificado.

PILAR: análisis y gestión de riesgos con MAGERIT

PILAR es la herramienta veterana del CCN y probablemente la que más vas a usar. Automatiza el análisis de riesgos MAGERIT para el ENS: parte de tus activos, les asigna amenazas y salvaguardas de un catálogo predefinido, mantiene la matriz de dependencias y calcula el riesgo intrínseco y el residual conforme vas ajustando valores.

INES: el informe nacional del estado de seguridad

Si PILAR es la que más usas, INES es la que no te puedes saltar. Es la plataforma con la que las entidades del ámbito del ENS reportan al CCN su nivel de cumplimiento y sus indicadores de seguridad, y el reporte tiene carácter anual.

CLARA: auditoría de la configuración de tus sistemas

CLARA baja al terreno técnico. Mientras PILAR y AMPARO trabajan la documentación y las medidas de gestión, CLARA revisa cómo están realmente configurados tus equipos: comprueba el bastionado frente a las plantillas de seguridad del ENS.

AMPARO: adecuación al ENS y declaración de aplicabilidad

AMPARO es el asistente de implantación. Acompaña a la entidad en el proceso de adecuación al ENS y, cuando terminas de implantar las medidas, te ayuda a formalizar la conformidad.

Otras herramientas del ecosistema CCN-CERT: LUCIA, ANA y compañía

El catálogo del CCN va mucho más allá de la adecuación. Estas aparecen en cuanto entras en operación diaria, aunque no todas hacen falta para certificarte:

La regla práctica: para adecuarte te bastan PILAR, AMPARO, CLARA e INES; LUCIA y el resto entran cuando pasas a operar la seguridad.

Qué herramienta del CCN usar en cada fase del ENS

Esta es la tabla que uso para situar cada herramienta en su momento del ciclo, con la alternativa de mercado por si en tu caso no aplica la del CCN.

Fase del ENSHerramienta del CCNQué resuelveAlternativa de mercado
Análisis y gestión de riesgosPILAR / µPILARRiesgo intrínseco y residual con MAGERITPlataformas GRC comerciales
Adecuación y declaración de aplicabilidadAMPAROImplantar medidas y formalizar la conformidadConsultoría + herramientas GRC
Auditoría técnica de configuraciónCLARABastionado de Windows y Linux frente a CCN-STICEscáneres de cumplimiento (Nessus, OpenVAS)
Reporte del estado de seguridadINESInforme anual de indicadores al CCNSin alternativa: es la plataforma oficial
Gestión de incidentesLUCIANotificación y coordinación con el CERTPlataformas de ticketing o SOAR
Gestión continua de vulnerabilidadesANADetección y seguimiento de vulnerabilidadesTenable, Qualys, Rapid7

¿Herramienta del CCN o solución comercial? Cómo decidir

No hay una respuesta única. Estos son los criterios que aplico al recomendar una u otra:

Qué herramientas priorizar según tu organización

Ayuntamiento pequeño o entidad local

Empieza por lo mínimo viable: µPILAR para el análisis de riesgos, AMPARO para la conformidad básica e INES para el reporte anual. CLARA cuando tengas quien interprete el informe técnico. Es el escenario donde las herramientas gratuitas del CCN más brillan, porque no hay presupuesto para licencias.

Pyme que quiere ser proveedora de la Administración

Necesitas demostrar conformidad para licitar, así que el eje es PILAR más AMPARO, y CLARA para no llevarte sorpresas de configuración en la auditoría. Si el pliego te exige productos concretos, ahí entra el CPSTIC, no estas herramientas. Cuando el caso se complica, es el momento de apoyarte en una consultoría ENS.

Organismo mediano con equipo propio

Aquí tiene sentido el ciclo completo del CCN e incorporar la capa operativa: LUCIA para incidentes y ANA para vulnerabilidades, además de PILAR, AMPARO, CLARA e INES. Si vas a preparar la certificación, conviene ordenar antes el proceso de certificación ENS y encajar cada herramienta en su hito.

Conclusión: la herramienta es el medio, no el fin

Las herramientas del CCN quitan mucha fricción, pero no cumplen el ENS por ti. PILAR calcula el riesgo, pero eres tú quien decide qué medidas aplicar; CLARA detecta la desviación, pero corregirla es trabajo de sistemas; AMPARO ordena el expediente, pero la conformidad la sostiene tu criterio. Bien usadas, te ahorran meses y bastante dinero en licencias. Mal entendidas, generan la falsa sensación de que rellenar la plantilla es cumplir.

Si no tienes claro por dónde empezar, con qué herramienta ni en qué orden, cuéntame tu caso y lo vemos juntos, sin compromiso.

¿Tu empresa necesita adecuarse o certificarse en el ENS para licitar o ser proveedora de la Administración? Conoce mi servicio de consultoría ENS y te acompaño en todo el ciclo.