self.post_img_alt

Esquema Nacional de Seguridad (ENS): la ciberseguridad pública no es opcional

  • Alex De los Llanos Dueñas
  • Mayo 2025

Hasta no hace tanto, cuando se hablaba del Esquema Nacional de Seguridad, la mayoría de las empresas tecnológicas lo veían como una especie de formalidad. Un marco pensado para la administración, algo que no les concernía a menos que trabajaran directamente con el Estado. Pero esa percepción, aunque todavía persiste en algunos entornos, ya no encaja con la realidad operativa ni con los riesgos actuales.

La verdad es que el ENS es hoy una referencia clave para entender cómo se deben proteger los sistemas de información en el sector público español, y por extensión, también en muchas empresas privadas que trabajan con datos sensibles o prestan servicios a organismos públicos. No se trata solo de cumplir un requisito para poder optar a ciertos contratos. Es más profundo. Se trata de tener una base común de seguridad que garantice la integridad, la disponibilidad y la confidencialidad de los datos y servicios esenciales.

El marco del ENS se aplica a toda la Administración General del Estado, a las comunidades autónomas, entidades locales y a cualquier organización que colabore con ellas en la prestación de servicios mediante medios electrónicos. Esto incluye desde desarrolladores de plataformas digitales hasta proveedores de alojamiento web o mantenimiento técnico. El alcance es amplio, y no hay muchas excepciones.

¿Por qué ahora?

Vivimos un momento donde los servicios públicos no son simplemente complementarios: son indispensables. Trámites que antes se hacían presencialmente ahora se realizan casi en su totalidad por vía electrónica. Desde pagar impuestos hasta consultar un historial médico. Y con esa transformación digital, el volumen de datos que manejan los sistemas públicos ha crecido de forma exponencial.

En paralelo, el número y la sofisticación de los ciberataques también han aumentado. Ya no se trata únicamente de virus o de ataques masivos indiscriminados. Ahora se observan campañas dirigidas, aprovechamiento de vulnerabilidades específicas y ataques de ingeniería social muy bien preparados. El objetivo, muchas veces, no es simplemente el robo de información, sino comprometer la operativa de organismos que prestan servicios críticos. Y eso, en algunos casos, puede tener consecuencias sociales graves.

El ENS, en este contexto, no aparece como un freno, sino como una medida de contención estructural. No busca eliminar el riesgo por completo —porque eso es imposible—, sino reducirlo, hacerlo manejable y, sobre todo, preparar a las organizaciones para detectar y responder cuando algo falla.

Un camino más técnico de lo que parece

Quien se enfrenta por primera vez a un proceso de adecuación al ENS suele encontrarse con muchos términos nuevos, referencias cruzadas y documentos extensos. Es verdad: no es un marco ligero. Pero tampoco es arbitrario.

El ENS define un conjunto de principios básicos y requisitos mínimos de seguridad. A partir de ahí, cada organización debe adaptarlos a su contexto, a su nivel de exposición y a la sensibilidad de los datos o servicios que maneja. No se impone lo mismo a quien gestiona información pública sin valor crítico que a quien custodia datos personales especialmente protegidos o a quien mantiene en funcionamiento plataformas clave de atención ciudadana.

Ese enfoque por niveles permite que las medidas de seguridad sean proporcionadas y, sobre todo, sostenibles en el tiempo. Porque la seguridad que no se puede mantener, no sirve de nada. Aquí es donde muchas organizaciones cometen errores al intentar aplicar modelos que no les corresponden. La clave no está en hacer más, sino en hacer lo correcto, adaptado a cada caso.

Lo técnico viene después. Hay que definir políticas de seguridad, controlar los accesos, establecer mecanismos de trazabilidad, clasificar los activos, proteger las comunicaciones, aplicar procedimientos de recuperación ante incidentes... Sí, suena complejo, y lo es si se aborda sin planificación. Pero bien estructurado, el proceso permite tener una visión muy clara de lo que está protegido y lo que no.

Lo que cambia cuando se aplica bien

Uno de los grandes beneficios de trabajar con el ENS —aunque no se diga siempre— es la transformación organizativa que genera. Muchas empresas que han pasado por este proceso reconocen que, más allá del cumplimiento, el ejercicio de revisión les permitió identificar fallos internos que habían pasado desapercibidos durante años.

Por ejemplo, procedimientos de respaldo que no se probaban nunca. Contraseñas compartidas sin control real. Aplicaciones con permisos que nadie revisaba. O incluso accesos desde ubicaciones no controladas que nunca habían sido auditados. El ENS obliga a mirar. Y al hacerlo, muchas cosas salen a la luz.

Además, introduce un lenguaje común. Permite que los responsables técnicos, los jefes de proyecto y los encargados de cumplimiento legal hablen de lo mismo sin confusión. Cada uno desde su enfoque, pero dentro de un marco claro. Eso también es parte de la seguridad: saber quién hace qué y cómo se mide.

Y cuando el marco se interioriza —no solo en los documentos, sino en la práctica diaria—, la diferencia es evidente. Las decisiones técnicas dejan de tomarse “por intuición” y pasan a estar respaldadas por análisis de riesgos. Las incidencias se gestionan más rápido. Los errores se detectan antes. El personal sabe a quién informar y qué hacer si algo falla. Es otro nivel de madurez.

El factor humano: el punto fuerte y débil al mismo tiempo

Nada de esto tiene sentido si no se cuenta con las personas. No hay cumplimiento posible si no se entiende el porqué de cada medida. Un firewall bien configurado puede proteger una red, pero un correo abierto por error puede destruirla. Aquí es donde el ENS también insiste, con razón, en la necesidad de formar, sensibilizar y responsabilizar a quienes trabajan dentro del sistema.

Hay una tendencia, a veces, a pensar que la ciberseguridad es solo para los técnicos. Pero la realidad demuestra lo contrario. Gran parte de los incidentes más graves no se originan por fallos tecnológicos, sino por errores humanos. Un enlace abierto sin verificar. Un archivo cargado donde no debía. Una política ignorada por comodidad.

El ENS, al poner el foco en procesos y en roles, ayuda a hacer visibles esas zonas grises. Define quién es responsable de cada aspecto. Exige trazabilidad. Pide documentación. No por burocracia, sino porque en ciberseguridad, los vacíos acaban siendo puertas abiertas.

Cuando una organización entiende eso, cambia. Empieza a tomarse en serio la seguridad como parte de la calidad. No como un freno, sino como una garantía para seguir operando sin sobresaltos innecesarios.

Conclusión

El Esquema Nacional de Seguridad no es una barrera. Es una herramienta. Un marco que, cuando se aplica con sentido, no solo mejora la seguridad, sino que ordena, estructura y fortalece a toda la organización.

No está diseñado para complicar las cosas. Está pensado para hacerlas sostenibles. Y en un entorno donde cada vez más servicios públicos dependen del entorno digital, esa sostenibilidad importa.

Cumplir con el ENS no es una opción para quienes trabajan con el sector público. Pero incluso para quienes no están obligados, entenderlo y aplicarlo en su medida es una forma de prepararse para lo que viene.

Y si tu empresa necesita ayuda para adaptarse al Esquema Nacional de Seguridad, contacta con nosotros.

Etiquetas:
  • ciberseguridad
  • ens
  • esquema nacional de seguridad
  • seguridad empresarial
Categorías:
  • Ciberseguridad
VOLVER