Regístrate gratis
Seguridad de la información en la Administración Pública: Esquema Nacional de Seguridad
Seguridad de la información en la Administración Pública: ENS, principios, requisitos, riesgos, incidentes y claves de test para oposiciones.
La seguridad de la información en la Administración Pública es una materia cada vez más presente en oposiciones administrativas. La tramitación electrónica, las sedes electrónicas, los registros, las notificaciones, los expedientes digitales y el intercambio de datos entre Administraciones solo funcionan si los sistemas protegen la información y garantizan servicios fiables.
La norma clave es el Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad (ENS). El ENS establece principios básicos, requisitos mínimos y medidas de seguridad para proteger la información tratada y los servicios prestados por medios electrónicos por el sector público y por quienes colaboran con él en determinados supuestos.
En lenguaje de examen, la idea central es esta: el ENS no es solo ciberseguridad técnica; es el marco jurídico-organizativo que permite confiar en la administración electrónica.
Qué es el Esquema Nacional de Seguridad
El ENS es el conjunto de principios, requisitos y medidas que deben aplicar las entidades incluidas en su ámbito para garantizar la seguridad de sistemas, datos, comunicaciones y servicios electrónicos.
| Elemento | Qué protege |
|---|---|
| Información | Datos y documentos tratados por sistemas públicos |
| Servicios | Trámites, sedes, registros, notificaciones y plataformas |
| Sistemas | Aplicaciones, redes, infraestructuras y equipos |
| Comunicaciones | Intercambio seguro entre órganos, ciudadanos y entidades |
| Evidencias | Trazas, registros y pruebas de lo realizado |
Por eso el ENS se relaciona directamente con administración electrónica, procedimiento administrativo, protección de datos y continuidad de servicios públicos.
Objeto del RD 311/2022
El artículo 1 del RD 311/2022 regula el objeto del ENS. En términos prácticos, persigue:
- Crear las condiciones necesarias de seguridad en el uso de medios electrónicos.
- Establecer principios básicos y requisitos mínimos.
- Permitir una protección adecuada de la información y de los servicios.
- Fomentar una gestión continuada de la seguridad.
- Facilitar la cooperación entre Administraciones.
- Alinear medidas técnicas, organizativas y jurídicas.
La seguridad no es un añadido final: debe estar presente desde el diseño hasta la retirada del servicio.
Ámbito de aplicación
El ENS se aplica al sector público en los términos previstos por la normativa de régimen jurídico. La Ley 40/2015 conecta expresamente seguridad e interoperabilidad cuando las Administraciones se relacionan por medios electrónicos. El RD 203/2021, sobre actuación y funcionamiento electrónico del sector público, remite al ENS en numerosos servicios digitales.
También alcanza a ciertos sistemas de entidades privadas cuando prestan servicios o soluciones a entidades del sector público y tratan información o servicios que deban protegerse conforme al ENS.
| Sujeto o sistema | Relación con el ENS |
|---|---|
| Administraciones Públicas | Deben aplicar el ENS en sus sistemas de información |
| Organismos públicos y entidades vinculadas | Quedan dentro del sector público cuando proceda |
| Proveedores tecnológicos | Deben cumplir exigencias cuando prestan servicios afectados |
| Sistemas de administración electrónica | Sedes, registros, archivos, notificaciones, portales |
| Intercambio de datos | Debe garantizar seguridad e interoperabilidad |
Para test: el ENS no se limita a una oficina informática; afecta a toda la organización.
Principios básicos del ENS
El ENS se apoya en principios básicos. Son la base de toda la política de seguridad.
| Principio | Idea de examen |
|---|---|
| Seguridad integral | Proteger personas, procesos, tecnología e información |
| Gestión de riesgos | Analizar amenazas y adaptar medidas |
| Prevención, detección, respuesta y conservación | Cubrir todo el ciclo del incidente |
| Existencia de líneas de defensa | Evitar depender de una sola barrera |
| Vigilancia continua | Supervisar y actualizar la seguridad |
| Reevaluación periódica | Revisar medidas frente a cambios |
| Diferenciación de responsabilidades | Separar funciones y roles de seguridad |
La seguridad debe ser integral, proporcional, continua y organizada.
Requisitos mínimos
Además de principios, el ENS establece requisitos mínimos que deben cumplir los sistemas. No son recomendaciones decorativas: son obligaciones de seguridad que se concretan después en medidas del anexo correspondiente.
| Requisito | Qué exige |
|---|---|
| Organización e implantación | Roles, responsables y proceso de seguridad |
| Análisis y gestión de riesgos | Identificar amenazas y decidir medidas |
| Gestión de personal | Concienciación, responsabilidades y autorizaciones |
| Profesionalidad | Formación y cualificación adecuadas |
| Autorización y control de accesos | Saber quién entra y con qué permisos |
| Protección de instalaciones | Seguridad física de espacios y equipos |
| Adquisición de productos y contratación | Seguridad desde compras y servicios externos |
| Mínimo privilegio | Cada usuario solo accede a lo necesario |
| Integridad y actualización | Sistemas mantenidos y protegidos |
| Protección de información almacenada y en tránsito | Seguridad de datos guardados y comunicados |
| Prevención ante otros sistemas interconectados | Control de conexiones e intercambios |
| Registro de actividad | Trazabilidad y evidencias |
| Incidentes de seguridad | Detección, comunicación, respuesta y aprendizaje |
| Continuidad de actividad | Servicios esenciales disponibles |
| Mejora continua | Revisión y actualización del sistema |
Para oposiciones, retén que el ENS combina medidas organizativas, operacionales y de protección.
Categorías de seguridad
El ENS clasifica los sistemas según la importancia de la información y los servicios que soportan. Esa categorización determina el nivel de medidas de seguridad aplicables.
Las categorías básicas son:
| Categoría | Idea |
|---|---|
| Básica | Impacto limitado si falla la seguridad |
| Media | Impacto relevante sobre derechos, servicios o Administración |
| Alta | Impacto grave sobre servicios esenciales, derechos o funcionamiento público |
La categoría se determina analizando dimensiones como disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. No todos los sistemas necesitan el mismo nivel, pero todos necesitan seguridad adecuada.
Política de seguridad
La política de seguridad es el documento de alto nivel que fija el compromiso de la organización. Debe definir objetivos, organización, responsabilidades, gestión de riesgos y reglas esenciales.
| Contenido típico | Utilidad |
|---|---|
| Alcance | Qué sistemas y servicios cubre |
| Objetivos | Qué se quiere proteger |
| Roles | Quién decide, gestiona y supervisa |
| Gestión de riesgos | Cómo se identifican y tratan riesgos |
| Normas y procedimientos | Cómo se aplica la política |
| Revisión | Cómo se actualiza y mejora |
La política no sustituye al análisis de riesgos ni a los procedimientos técnicos. Los coordina y les da marco.
Gestión de riesgos
La gestión de riesgos es una pieza central del ENS. Consiste en identificar amenazas, valorar posibles impactos y decidir medidas de seguridad proporcionadas.
Ejemplo: una cita previa, una sede electrónica y una plataforma de expedientes no tienen el mismo impacto si fallan. El análisis permite priorizar.
El ciclo básico es:
- Identificar activos: información, servicios, sistemas.
- Valorar amenazas y vulnerabilidades.
- Estimar impacto y probabilidad.
- Seleccionar medidas de seguridad.
- Implantar controles.
- Revisar resultados y mejorar.
La seguridad no es fija: cambian amenazas, tecnología, proveedores, datos y servicios. Por eso el ENS insiste en vigilancia y reevaluación.
Incidentes de seguridad
Un incidente de seguridad es un evento que afecta o puede afectar a la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información o servicios.
Ejemplos:
- Acceso no autorizado a un expediente.
- Pérdida o cifrado malicioso de información.
- Caída de una sede electrónica.
- Alteración no autorizada de documentos.
- Fuga de datos personales.
- Uso indebido de credenciales.
El ENS exige prevención, detección, respuesta y recuperación, especialmente si pueden verse afectados datos personales o servicios relevantes.
Relación con administración electrónica
El ENS es inseparable de la administración electrónica. El RD 203/2021 exige que sedes electrónicas, sistemas de identificación y firma, registros electrónicos, archivo electrónico único, intercambios de datos y portales funcionen con garantías de seguridad.
| Servicio electrónico | Riesgo si falla la seguridad |
|---|---|
| Sede electrónica | Suplantación, pérdida de confianza |
| Registro electrónico | Alteración de fechas o documentos |
| Notificaciones | Acceso indebido o falta de trazabilidad |
| Expediente electrónico | Manipulación de documentos |
| Archivo electrónico | Pérdida de integridad o conservación |
| Intercambio de datos | Cesión indebida o información errónea |
No basta con digitalizar trámites si no se protege el sistema.
Relación con protección de datos
El ENS no sustituye al RGPD ni a la normativa española de protección de datos. Son marcos distintos, pero conectados.
La protección de datos se centra en el tratamiento lícito, leal y transparente de datos personales, en los derechos de las personas y en las obligaciones del responsable y encargado. El ENS se centra en la seguridad de sistemas e información del sector público.
| Protección de datos | ENS |
|---|---|
| Base jurídica y principios de tratamiento | Seguridad de sistemas y servicios |
| Derechos de las personas | Medidas técnicas y organizativas |
| Responsable y encargado | Responsables de seguridad y sistema |
| Brechas de datos personales | Incidentes de seguridad |
Una brecha de datos personales puede ser también un incidente ENS. Por eso ambos marcos deben coordinarse.
Esquema de estudio
| Bloque | Pregunta clave |
|---|---|
| Objeto | ¿Qué pretende proteger el ENS? |
| Ámbito | ¿A quién se aplica? |
| Principios | ¿Qué ideas orientan la seguridad? |
| Requisitos mínimos | ¿Qué debe cumplir la organización? |
| Categoría | ¿Qué nivel de seguridad necesita el sistema? |
| Política | ¿Quién decide y cómo se organiza? |
| Riesgos | ¿Qué amenazas existen y qué medidas se aplican? |
| Incidentes | ¿Cómo se detecta, responde y recupera? |
| Conformidad | ¿Cómo se comprueba el cumplimiento? |
Este orden permite estudiar el ENS sin perderse en medidas técnicas.
Para test
- Norma clave: Real Decreto 311/2022.
- El ENS establece principios básicos, requisitos mínimos y medidas de seguridad.
- Su finalidad es proteger información y servicios prestados por medios electrónicos.
- Se relaciona con Ley 40/2015 y RD 203/2021.
- Principios: seguridad integral, gestión de riesgos, prevención, detección, respuesta, vigilancia y responsabilidades diferenciadas.
- Requisitos mínimos: organización, riesgos, accesos, protección, registros, incidentes, continuidad y mejora continua.
- Categorías de seguridad: básica, media y alta.
- La política de seguridad fija el marco organizativo.
- La gestión de riesgos determina medidas proporcionadas.
- ENS y protección de datos son distintos, pero se coordinan.
Errores frecuentes
- Pensar que el ENS es solo una norma informática sin relevancia jurídica.
- Confundir seguridad de la información con protección de datos personales.
- Creer que todos los sistemas tienen la misma categoría de seguridad.
- Estudiar requisitos mínimos sin entender la gestión de riesgos.
- Olvidar que el ENS afecta a la administración electrónica.
- Pensar que una política de seguridad es un documento meramente formal.
- Confundir incidente de seguridad con delito informático: puede haber incidente sin delito.
- No relacionar ENS con continuidad de servicios públicos.
Fuentes oficiales
¿Te ha sido útil?
Crea tu cuenta gratis y accede a más recursos para tu oposición
🚀 Regístrate gratis