Capítulo 1: Introducción al ENS
El Esquema Nacional de Seguridad (ENS) fue establecido por el Real Decreto 3/2010 (modificado por el RD 951/2015) para garantizar la seguridad de la información y los servicios electrónicos de las administraciones públicas. Sus objetivos son:
- Proteger la confidencialidad, integridad y disponibilidad de la información
- Garantizar la trazabilidad de las operaciones
- Asegurar la autenticidad de los usuarios y sistemas
- Proteger los servicios electrónicos frente a amenazas
- Establecer un marco común de seguridad para todas las administraciones
Categorización del sistema
El ENS clasifica los sistemas según el impacto que tendría un incidente de seguridad. Las categorías son:
- BAJO: Impacto limitado sobre la organización o ciudadanos
- MEDIO: Impacto considerable que afecta a derechos fundamentales
- ALTO: Impacto muy grave que puede afectar a la seguridad nacional
El sistema ayuntamientosmart.com está categorizado como MEDIO porque:
- Procesa datos de carácter personal sensibles (DNI, direcciones, teléfonos)
- Contiene datos municipales protegidos (denuncias, sanciones, antecedentes)
- Afecta a derechos fundamentales de los ciudadanos (intimidad, protección de datos)
- Su indisponibilidad afectaría a la operativa municipal
Dimensiones de seguridad
El ENS evalúa cinco dimensiones:
- Disponibilidad [D]: El sistema debe estar operativo cuando se necesita
- Integridad [I]: Los datos no deben alterarse de forma no autorizada
- Confidencialidad [C]: Los datos solo deben ser accesibles a usuarios autorizados
- Autenticidad [A]: Garantía de la identidad de usuarios y origen de datos
- Trazabilidad [T]: Registro de todas las operaciones para auditoría
Para ayuntamientosmart.com, la valoración de cada dimensión es:
- Disponibilidad: MEDIO (el servicio debe estar disponible 24/7 con RPO < 24h)
- Integridad: ALTO (los datos municipales no pueden alterarse sin detección)
- Confidencialidad: ALTO (datos personales sensibles y municipales)
- Autenticidad: MEDIO (identificación cierta de usuarios)
- Trazabilidad: ALTO (obligación legal de auditoría completa)
Capítulo 2: Medidas organizativas
org.1 - Política de seguridad
El sistema dispone de una Política de Seguridad aprobada por el responsable del sistema (Concejal responsable o Alcalde). La política establece:
- Objetivos de seguridad
- Roles y responsabilidades
- Normativa aplicable (ENS, RGPD, LO 7/2021)
- Proceso de gestión de riesgos
- Procedimiento de revisión anual
La política se revisa anualmente o cuando hay cambios significativos en el sistema.
org.2 - Normativa de seguridad
Se ha desarrollado normativa específica de seguridad que incluye:
- Normas de uso aceptable del sistema
- Política de contraseñas
- Política de acceso remoto
- Política de backup y recuperación
- Normativa de gestión de incidentes
Todo usuario debe firmar un compromiso de cumplimiento de la normativa al recibir acceso al sistema.
org.3 - Procedimientos de seguridad
Se han documentado procedimientos operativos para:
- Alta, modificación y baja de usuarios
- Gestión de copias de seguridad
- Restauración ante desastres
- Actualización de software
- Respuesta ante incidentes de seguridad
- Gestión de logs de auditoría
org.4 - Proceso de autorización
Antes de poner en producción el sistema o tras cambios mayores, se requiere autorización formal del Responsable de Seguridad tras:
- Análisis de riesgos actualizado
- Verificación de que las medidas de seguridad están implementadas
- Pruebas de seguridad superadas
- Revisión de la Declaración de Aplicabilidad
Capítulo 3: Medidas de protección del marco operacional
mp.per - Protección de personal
El personal con acceso al sistema debe:
- Firmar acuerdo de confidencialidad
- Recibir formación en seguridad de la información
- Conocer sus responsabilidades en materia de seguridad
- Reportar incidentes de seguridad detectados
Los administradores del sistema requieren autorización especial y mayor nivel de confianza.
mp.eq - Protección de equipos
Los servidores donde se aloja el sistema están:
- Ubicados en CPD con control de acceso físico (tarjeta/biométrico)
- Protegidos contra incendios (sistema de extinción automático)
- Con alimentación redundante (SAI + grupo electrógeno)
- Climatización controlada (temperatura 18-24ºC, humedad 40-60%)
- Monitorizados 24/7 (alertas de temperatura, humedad, intrusión)
mp.com - Protección de comunicaciones
Las comunicaciones están protegidas mediante:
- TLS 1.3 para toda comunicación HTTPS
- Certificados SSL de CA reconocida (Let's Encrypt/Sectigo)
- VPN IPSec para accesos remotos al servidor
- Segmentación de red (VLAN para servidores, VLAN para usuarios)
- Firewall perimetral con reglas restrictivas (whitelist)
mp.si - Protección de soportes de información
Los soportes de almacenamiento:
- Discos cifrados en reposo (LUKS/dm-crypt)
- Backups cifrados (AES-256)
- Etiquetado según clasificación (PUBLICO, RESTRINGIDO, CONFIDENCIAL)
- Destrucción segura al final de vida (borrado criptográfico o destrucción física)
Capítulo 4: Medidas de protección de marcos tecnológicos
mp.info - Protección de la información
Los datos sensibles están protegidos:
- Datos en reposo cifrados con AES-256-GCM
- Datos en tránsito cifrados con TLS 1.3
- Clasificación de datos (público, restringido, confidencial, secreto)
- Control de acceso basado en roles (RBAC)
- Cifrado de campos sensibles en base de datos (DNI, direcciones)
mp.sw - Protección de servicios
El software del sistema:
- Desarrollado con prácticas de seguridad (OWASP Top 10)
- Validación de entrada contra inyecciones SQL, XSS, etc.
- Sanitización de salida para prevenir XSS
- Gestión segura de sesiones (HttpOnly, Secure, SameSite)
- Protección CSRF con tokens
- Rate limiting contra ataques de fuerza bruta
mp.hw - Protección de equipos
Los equipos informáticos:
- Sistemas operativos actualizados (Ubuntu LTS con actualizaciones automáticas)
- Antivirus en servidores (ClamAV)
- Firewall local habilitado (iptables/ufw)
- Deshabilitación de servicios innecesarios
- Hardening del sistema operativo (CIS benchmarks)
Capítulo 5: Medidas de operación
op.pl - Planificación
Se ha desarrollado un Plan de Adecuación al ENS que incluye:
- Inventario de activos del sistema
- Análisis de riesgos (MAGERIT)
- Medidas de seguridad a implantar
- Calendario de implantación
- Presupuesto necesario
- Responsables de cada medida
op.acc - Control de acceso
El acceso al sistema está controlado:
- Autenticación obligatoria con usuario y contraseña
- Contraseñas robustas (mín. 8 caracteres, mayúsculas, minúsculas, números, símbolos)
- 2FA opcional (TOTP - Google Authenticator)
- Bloqueo tras 5 intentos fallidos (15 minutos)
- Cierre de sesión automático tras 30 minutos de inactividad
- Control de acceso basado en roles (6 roles predefinidos)
op.exp - Explotación
La operación del sistema incluye:
- Procedimientos de arranque y parada controlada
- Monitorización 24/7 de disponibilidad y rendimiento
- Gestión de capacidad (alertas si disco >80%, RAM >90%)
- Procedimientos de actualización con entorno de test previo
- Ventanas de mantenimiento planificadas (domingos 02:00-06:00)
op.ext - Servicios externos
Para servicios contratados externamente (hosting, soporte):
- Contratos con cláusulas de seguridad y confidencialidad
- Auditoría de proveedores (certificaciones ISO 27001)
- SLA con garantías de disponibilidad (99.9%)
- Procedimientos de terminación segura de servicios
op.cont - Continuidad del servicio
Se ha desarrollado un Plan de Continuidad que garantiza:
- Backup diario incremental + semanal completo
- Backups almacenados en ubicación geográficamente separada
- RPO (Recovery Point Objective): 24 horas
- RTO (Recovery Time Objective): 4 horas
- Pruebas de restauración trimestrales
- Procedimientos de contingencia documentados
Análisis de riesgos
El ENS requiere realizar un análisis de riesgos para identificar amenazas, valorar su impacto y probabilidad, y determinar las medidas de seguridad necesarias.
Metodología MAGERIT
Se ha utilizado la metodología MAGERIT v3 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) recomendada por el CCN-CERT. El análisis incluye:
- Identificación de activos (hardware, software, datos, servicios, personal)
- Valoración de activos según dimensiones (D, I, C, A, T)
- Identificación de amenazas aplicables a cada activo
- Estimación de la probabilidad de cada amenaza
- Cálculo del riesgo (impacto × probabilidad)
- Selección de salvaguardas (medidas de seguridad)
- Cálculo del riesgo residual tras aplicar salvaguardas
Principales amenazas identificadas
Las amenazas más relevantes para el sistema son:
- [E.1] Errores de usuarios: Borrado accidental de datos, configuración incorrecta. Probabilidad: MEDIA. Impacto: MEDIO.
- [E.2] Errores de administrador: Errores en gestión que comprometan seguridad. Probabilidad: BAJA. Impacto: ALTO.
- [E.8] Difusión de software dañino: Virus, malware. Probabilidad: MEDIA. Impacto: ALTO.
- [E.9] Acceso no autorizado: Intrusión en el sistema. Probabilidad: MEDIA. Impacto: MUY ALTO.
- [E.14] Interceptación de información: Escucha de comunicaciones. Probabilidad: BAJA. Impacto: ALTO.
- [E.15] Modificación de información: Alteración de datos. Probabilidad: MEDIA. Impacto: MUY ALTO.
- [E.23] Denegación de servicio: Ataque DoS/DDoS. Probabilidad: MEDIA. Impacto: MEDIO.
- [I.5] Avería de origen físico: Incendio, inundación. Probabilidad: BAJA. Impacto: ALTO.
Salvaguardas implementadas
Para mitigar los riesgos identificados:
- Contra errores de usuarios: Formación, confirmaciones antes de borrar, backups
- Contra malware: Antivirus actualizado, firewall, validación de entrada
- Contra accesos no autorizados: Autenticación fuerte, 2FA, control de acceso RBAC, auditoría
- Contra interceptación: Cifrado TLS 1.3, VPN para accesos remotos
- Contra modificación: Controles de integridad (hashes), auditoría, versionado
- Contra denegación de servicio: Rate limiting, firewall, CDN
- Contra averías físicas: CPD protegido, alimentación redundante, backups offsite
Riesgo residual aceptable
Tras aplicar las salvaguardas, el riesgo residual del sistema se sitúa en nivel BAJO para la mayoría de amenazas. El Responsable de Seguridad ha aceptado formalmente este nivel de riesgo residual mediante documento de Aceptación de Riesgos.
Auditoría y certificación
El cumplimiento del ENS debe ser auditado periódicamente por un auditor independiente acreditado.
Auditoría interna
Anualmente se realiza auditoría interna de seguridad que verifica:
- Que las medidas de seguridad están implementadas y funcionan
- Que la documentación está actualizada
- Que se cumplen los procedimientos establecidos
- Que los logs de auditoría se revisan periódicamente
- Que los usuarios cumplen la normativa de seguridad
Los hallazgos se documentan y se establece un plan de acción correctiva.
Auditoría externa
Cada 2 años se contrata auditoría externa por auditor acreditado por ENAC (Entidad Nacional de Acreditación). La auditoría verifica:
- Conformidad con ENS para categoría MEDIO
- Implementación efectiva de controles de seguridad
- Adecuación de la documentación
- Efectividad del análisis de riesgos
- Cumplimiento de normativa (RGPD, LO 7/2021)
El auditor emite un informe de auditoría y, si es favorable, un certificado de conformidad con el ENS.
Certificación ENS
La certificación ENS tiene validez de 2 años. Para mantenerla:
- Realizar auditoría de seguimiento anual
- Renovar auditoría completa cada 2 años
- Notificar al CCN-CERT cualquier cambio significativo en el sistema
- Mantener actualizada la Declaración de Aplicabilidad
El certificado puede ser revocado si se detectan incumplimientos graves o brechas de seguridad no gestionadas adecuadamente.
Publicación en ENS
Los sistemas certificados deben publicarse en el portal del ENS (https://ens.ccn.cni.es) con:
- Nombre del sistema
- Organización responsable
- Categoría (MEDIO)
- Fecha de certificación
- Auditor que certifica
Esto da transparencia y permite a ciudadanos verificar que el sistema cumple con la normativa.
Gestión de incidentes de seguridad
El ENS requiere establecer procedimientos para detectar, responder y recuperarse de incidentes de seguridad.
Detección de incidentes
Los incidentes pueden detectarse mediante:
- Alertas automáticas del sistema (IDS/IPS)
- Revisión de logs de auditoría
- Reportes de usuarios
- Monitorización de seguridad
- Notificaciones de CCN-CERT
Todo incidente detectado debe registrarse en el sistema de gestión de incidentes con: fecha/hora, descripción, gravedad, usuario afectado, etc.
Clasificación de incidentes
Los incidentes se clasifican por gravedad:
- CRÍTICO: Compromiso de datos sensibles, caída total del sistema. Respuesta inmediata (< 1 hora).
- ALTO: Brecha de seguridad sin compromiso de datos, caída parcial. Respuesta urgente (< 4 horas).
- MEDIO: Incidente que afecta a operativa pero no a seguridad. Respuesta en 24 horas.
- BAJO: Incidente menor sin impacto significativo. Respuesta en 48 horas.
Respuesta ante incidentes
El procedimiento de respuesta es:
- Contención: Aislar el incidente para evitar propagación (ej: desconectar servidor comprometido)
- Análisis: Investigar el origen, alcance e impacto del incidente
- Erradicación: Eliminar la causa del incidente (malware, vulnerabilidad explotada)
- Recuperación: Restaurar el sistema a estado operativo seguro
- Lecciones aprendidas: Documentar lecciones y actualizar procedimientos
Notificación de incidentes
Los incidentes CRÍTICOS o ALTOS deben notificarse:
- Al CCN-CERT en 24 horas (obligación legal)
- A la Agencia Española de Protección de Datos si hay brecha de datos personales (72 horas)
- A los afectados si sus derechos pueden verse comprometidos
La notificación incluye: descripción del incidente, datos afectados, medidas tomadas, contacto del responsable.
Documentación obligatoria ENS
El ENS exige mantener actualizada cierta documentación de seguridad.
Política de Seguridad
Documento que establece los principios generales de seguridad del sistema. Debe incluir:
- Alcance y objetivos de seguridad
- Roles y responsabilidades
- Normativa aplicable
- Proceso de gestión de riesgos
- Proceso de revisión y actualización
Debe estar aprobada por el máximo responsable de la organización (Alcalde, Concejal responsable) y revisarse al menos anualmente.
Declaración de Aplicabilidad
Documento que indica qué medidas de seguridad del Anexo II del ENS son aplicables al sistema y cuáles están implementadas. Para cada medida:
- Código de la medida (ej: op.acc.1)
- Aplicable: SÍ/NO
- Estado: IMPLEMENTADA / EN PROCESO / NO IMPLEMENTADA
- Comentarios: Cómo está implementada o justificación de no aplicabilidad
Se revisa tras cada auditoría o cambio significativo en el sistema.
Plan de Adecuación
Si alguna medida aplicable no está implementada, el Plan de Adecuación establece:
- Medidas pendientes de implantar
- Responsable de cada medida
- Plazo de implantación
- Recursos necesarios (presupuesto, personal)
- Hitos y seguimiento
El plan se actualiza según progresa la implementación hasta alcanzar cumplimiento total.
Informe de Auditoría
Tras cada auditoría (interna o externa), se genera un informe que documenta:
- Alcance de la auditoría
- Metodología utilizada
- Hallazgos (conformidades y no conformidades)
- Recomendaciones
- Conclusión: CONFORME / NO CONFORME
Los informes se conservan durante 5 años y están disponibles para inspecciones.
Registro de incidentes
Base de datos de todos los incidentes de seguridad con:
- Fecha/hora de detección
- Descripción del incidente
- Gravedad
- Activos afectados
- Acciones de respuesta
- Lecciones aprendidas
- Estado (abierto/cerrado)
Se revisa mensualmente para identificar patrones y mejorar la seguridad.
Roles y responsabilidades
El ENS define diferentes roles con responsabilidades específicas en materia de seguridad.
Responsable de la Información
Responsable: Concejal responsable de Seguridad o Jefe de AyuntamientoSmart.
Responsabilidades:
- Aprobar la Política de Seguridad
- Aceptar formalmente los riesgos residuales
- Autorizar la puesta en producción del sistema
- Asignar presupuesto para medidas de seguridad
- Tomar decisiones estratégicas sobre seguridad
Responsable del Servicio
Responsable: Jefe de Sistemas o Responsable TIC del ayuntamiento.
Responsabilidades:
- Implementar las medidas de seguridad
- Gestionar las operaciones del sistema
- Realizar copias de seguridad
- Monitorizar la disponibilidad y rendimiento
- Aplicar actualizaciones de seguridad
- Responder ante incidentes técnicos
Responsable de Seguridad
Responsable: Puede ser el mismo que Responsable del Servicio o persona dedicada si el sistema es grande.
Responsabilidades:
- Elaborar y mantener la documentación de seguridad
- Realizar el análisis de riesgos
- Auditorías internas de seguridad
- Gestionar incidentes de seguridad
- Formación de usuarios en seguridad
- Contacto con CCN-CERT
Usuarios del sistema
Responsables: Todos los agentes, administrativos y usuarios.
Responsabilidades:
- Cumplir la normativa de seguridad
- Proteger sus credenciales de acceso
- Reportar incidentes de seguridad detectados
- Uso adecuado del sistema
- Participar en formación de seguridad
Historial de cambios
- Versión inicial del documento de cumplimiento ENS
- Introducción al Esquema Nacional de Seguridad
- Categorización del sistema (MEDIO)
- Medidas organizativas implementadas
- Medidas de protección de marcos operacionales y tecnológicos
- Medidas de operación y continuidad
- Análisis de riesgos con metodología MAGERIT
- Procedimientos de auditoría y certificación
- Gestión de incidentes de seguridad
- Documentación obligatoria ENS
- Roles y responsabilidades