ENS y la gestión de incidentes de ciberseguridad

De Carles Latorre

ENS y gestión incidentes ciber

Guía completa para entender cómo aplicar el Esquema Nacional de Seguridad (ENS) en la gestión de incidentes de ciberseguridad.

En España, el Esquema Nacional de Seguridad (ENS) se ha convertido en la referencia normativa para definir no sólo qué medidas de seguridad son necesarias, sino también cómo gestionar los incidentes de seguridad, establecer protocolos adecuados y asignar responsabilidades claras dentro de las organizaciones.

¿Por qué es importante el ENS en la gestión de incidentes?

El objetivo principal del ENS es asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información y de los servicios digitales, construyendo un entorno digital confiable y resiliente frente a amenazas.

Uno de los principios fundamentales del ENS es que la seguridad es un proceso continuo, que no solo debe prevenir y detectar incidentes, sino también gestionar la respuesta y recuperación ante los mismos. Esto significa que una organización no puede limitarse a implantar controles técnicos: debe establecer procedimientos eficaces para gestionar incidentes de ciberseguridad.

De forma explícita, el artículo 25 del ENS establece que todas las entidades sujetas al esquema deberán contar con procedimientos de gestión de incidentes de seguridad, mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como canales de comunicación para notificar a las partes interesadas.

Este artículo remite expresamente al artículo 33 del Real Decreto 311/2022, relativo a la capacidad de respuesta a incidentes, donde se regulan los requisitos organizativos y técnicos necesarios para garantizar una respuesta coordinada ante ciberincidentes. Dicho artículo establece la obligación de disponer de capacidades de detección, análisis, respuesta y coordinación, así como la integración con los mecanismos nacionales de respuesta, atribuyendo al CCN-CERT un papel central como coordinador técnico en el ámbito del ENS.

Protocolos de gestión de incidentes en el ENS

¿Qué es un incidente de seguridad?

Antes de adentrarnos en los protocolos, es esencial definir qué se entiende por incidente de seguridad. En términos de ciberseguridad, se considera incidente cualquier evento que comprometa:

  • La confidencialidad de la información (ej., filtraciones de datos).
  • La integridad de la información (ej., alteraciones no autorizadas).
  • La disponibilidad de sistemas o servicios (ej., interrupciones, ransomware).

Aunque el ENS no detalla todas las tipologías de incidentes, sí marca las obligaciones mínimas de gestión y respuesta que toda organización debe cumplir.

Marco técnico de referencia: Guía CCN-STIC 817

Además del marco normativo definido por el ENS, la gestión práctica de incidentes se desarrolla mediante las guías técnicas elaboradas por el Centro Criptológico Nacional. Entre ellas, destaca la Guía CCN-STIC 817 — Gestión de Ciberincidentes en el ENS, considerada el documento técnico de referencia para la aplicación operativa de los requisitos del esquema.

Esta guía establece:

  • Una clasificación estructurada de nueve tipos de ciberincidentes, divididos en 36 subcategorías, que permite homogeneizar la gestión y el reporte de incidentes.

  • Los criterios de evaluación del impacto y criticidad.

  • Los procedimientos de notificación al CCN-CERT según la tipología y el momento del incidente.

  • Una metodología común para facilitar la coordinación entre organizaciones públicas y los equipos nacionales de respuesta.

El uso de esta guía permite asegurar que todas las entidades sujetas al ENS gestionen los incidentes bajo criterios homogéneos y comparables a nivel nacional.

Fases de la gestión de incidentes

Un protocolo completo de gestión de incidentes, conforme al ENS y a la metodología definida en la Guía CCN-STIC 817, se estructura en varias fases que abarcan tanto la prevención como la respuesta y mejora continua.

0. Preparación

El ENS adopta un enfoque preventivo, por lo que la gestión de incidentes comienza antes de que estos ocurran. La fase de preparación incluye:

  • Constitución del Equipo de Respuesta a Ciberincidentes (CSIRT o equipo interno equivalente).

  • Definición de procedimientos documentados.

  • Formación y concienciación del personal.

  • Implantación de herramientas de monitorización.

  • Adhesión a los servicios y capacidades del CCN-CERT (como los servicios SAT).

  • Definición de canales de comunicación y escalado.

Esta fase resulta esencial para garantizar una respuesta rápida y coordinada cuando se produzca un incidente.

1. Detección y clasificación

El primer paso para una gestión eficaz es detectar el incidente y clasificarlo según su impacto y criticidad. Esto requiere sistemas de monitorización continua, alertas automáticas y personal formado para identificar anomalías.

Los criterios de clasificación suelen basarse en el potencial impacto sobre la confidencialidad, integridad o disponibilidad de la información y servicios, contemplando categorías que van desde “incidente menor” hasta “incidente grave o crítico”.

2. Análisis y evaluación

Una vez detectado, el incidente debe ser analizado para determinar:

  • Alcance y causa raíz: ¿Qué sistemas o datos están afectados?
  • Origen y vectores de ataque: ¿Se trata de un fallo técnico, un error humano o un ciberataque malicioso?
  • Impacto potencial: ¿Puede afectar a otros sistemas o servicios?

Este análisis es fundamental para decidir la respuesta adecuada y evitar su propagación.

3. Respuesta y mitigación

La fase de respuesta implica acciones concretas para contener y mitigar los efectos del incidente. Según la gravedad, estas acciones pueden incluir:

  • Aislar sistemas afectados
  • Aplicar parches o soluciones temporales
  • Cambiar credenciales comprometidas
  • Activar sistemas de respaldo y recuperación

Es habitual que las organizaciones definan planes de respuesta a incidentes documentados, donde se asignan roles, tareas y tiempos de actuación.

4. Comunicación y notificación

El ENS establece que las organizaciones deben definir canales y mecanismos de comunicación para notificar la ocurrencia de incidentes a las partes interesadas, incluyendo:

  • Personal interno responsable
  • Proveedores de servicios externos
  • Autoridades de ciberseguridad (por ejemplo, INCIBE-CERT en España)
  • Usuarios afectados, si procede

La notificación debe realizarse de forma oportuna y clara, con información relevante para la gestión y remediación.

5. Registro y lecciones aprendidas

Finalmente, todas las actuaciones relacionadas con un incidente deben registrarse. Esto permite:

  • Analizar patrones o debilidades recurrentes
  • Mejorar los controles preventivos
  • Ajustar los procedimientos para futuras emergencias

Este ciclo de registro y mejora continua es un elemento clave del ENS, ya que la seguridad no es estática sino un proceso evolutivo.

Control operacional del ENS: medida op.exp.7 Gestión de incidentes

Los requisitos normativos establecidos en los artículos 25 y 33 del ENS se desarrollan operativamente en el Anexo II del Real Decreto 311/2022, mediante la medida [op.exp.7] Gestión de incidentes.

Este control operacional establece obligaciones concretas para las organizaciones, entre ellas:

  • Implantar medidas urgentes de contención, como la detención de servicios comprometidos o el aislamiento de sistemas afectados.

  • Preservar y recoger evidencias digitales para su análisis posterior.

  • Asignar recursos técnicos y humanos para investigar las causas raíz.

  • Informar a los responsables de la información y de los servicios afectados.

  • Garantizar el seguimiento y documentación completa del incidente.

La medida op.exp.7 actúa, por tanto, como la traducción práctica de los principios del ENS en actuaciones operativas verificables.

Roles y responsabilidades en la gestión de incidentes

Una correcta gestión de incidentes no puede realizarse sin una estructura organizativa clara, con funciones y responsabilidades bien definidas. El ENS dedica atención especial a la diferenciación de responsabilidades, tal como recoge su artículo 11.

1. Responsable de la información

Es la persona o área que determina los requisitos de tratamiento de la información y vela por su protección. En caso de incidente, es responsable de aportar criterios para valorar el impacto en los datos afectados.

2. Responsable del servicio

Este rol se centra en garantizar que los servicios digitales afectados por incidentes mantengan niveles adecuados de disponibilidad y continuidad. Tiene un papel clave en coordinar acciones para restablecer el servicio.

3. Responsable de seguridad

Es el responsable de definir las políticas de seguridad de la organización, supervisar la implantación de controles y coordinar la respuesta ante incidentes. Debe asegurar que los procedimientos de gestión de incidentes se actualizan y se prueban regularmente.

4. Responsable del sistema

Supervisa el funcionamiento técnico de los sistemas de información. En incidentes complejos, facilita información técnica, diagnósticos y colaboraciones con los equipos de respuesta.

Estas funciones diferenciadas permiten que no exista una sola persona encargada de todo, sino un trabajo coordinado entre áreas con roles específicos, algo exigido expresamente por el ENS para mejorar la eficacia y la trazabilidad de las acciones.

Integración con las funciones del CCN‑CERT bajo el ENS

El papel del CCN‑CERT en la gestión de incidentes

Dentro del marco del Esquema Nacional de Seguridad (ENS), una de las capacidades más relevantes para la gestión de incidentes de seguridad de la información es la que desarrolla el CCN‑CERT, el Centro de Respuesta a Incidentes de Seguridad de la Información dependiente del Centro Criptológico Nacional. Este equipo, creado para dar cumplimiento a lo establecido en el ENS y en la normativa propia de seguridad de las redes y sistemas de información, articula la respuesta técnica ante incidentes que afecten a sistemas, servicios y entornos de información del sector público español y otras entidades con responsabilidades estratégicas.

El ENS, en su artículo sobre capacidad de respuesta a incidentes de seguridad, señala expresamente que el CCN‑CERT actúa como el núcleo que coordina la gestión de incidentes a nivel nacional, integrando capacidades de análisis, respuesta y mitigación y cooperando con otros equipos internos de cada organización y con otras estructuras de respuesta a nivel internacional.

Coordinación y notificación de incidentes

Las organizaciones sujetas al ENS, especialmente las administraciones públicas, deben notificar los incidentes con impacto significativo a través de los mecanismos definidos por el CCN‑CERT. Esto incluye el uso de herramientas como LUCIA (plataforma habilitada para la gestión y registro de incidentes) o medios de contacto establecidos para reportar eventos que afecten la seguridad de sistemas, servicios o datos.

Además, en casos de especial criticidad, el CCN‑CERT actúa como centro de intercambio de información de seguridad, facilitando que las comunicaciones técnicas o judiciales necesarias con las Fuerzas y Cuerpos de Seguridad del Estado u otros actores se realicen de forma ordenada y bajo criterios de seguridad y confidencialidad.

Relación con otros CSIRT

Aunque el CCN‑CERT coordina la gestión de ciberincidentes en el ámbito público conforme al ENS, sigue existiendo cooperación con otros equipos de respuesta, como los orientados al sector privado o al ámbito de operadores de servicios esenciales, siempre en el marco normativo aplicable. Esta colaboración técnica facilita una gestión más eficaz, integral y coordinada frente a amenazas y ataques complejos que puedan traspasar los límites de un único dominio organizativo.

El CCN-CERT ejerce sus funciones principalmente en el ámbito del sector público español, Administración General del Estado, administraciones autonómicas y locales, así como en sistemas que gestionan información clasificada o que resultan estratégicos para la seguridad nacional, conforme al marco del ENS.

Por su parte, el INCIBE-CERT actúa como equipo de respuesta de referencia para:

  • Operadores de servicios esenciales del sector privado.

  • Proveedores de servicios digitales.

  • Ciudadanos y entidades privadas no incluidas en el ámbito subjetivo de aplicación de la Ley 40/2015.

  • Organizaciones privadas en general.

Ambos equipos cooperan y comparten información cuando la naturaleza del incidente lo requiere, permitiendo una respuesta coordinada frente a amenazas que afectan simultáneamente a sectores públicos y privados.

Conclusiones

La gestión de incidentes en el marco del Esquema Nacional de Seguridad (ENS) es un proceso que va mucho más allá de reaccionar ante fallos técnicos. Implica establecer protocolos completos, bien documentados y ajustados a la normativa, con fases claras de detección, análisis, respuesta, comunicación y mejora continua.

Además, exige una organización robusta con roles y responsabilidades diferenciados, asegurando que cada actor sepa qué hacer ante un incidente y cómo coordinarse con los demás, lo que finalmente fortalece la resiliencia global de los sistemas de información frente a amenazas actuales y futuras.
Artículo anterior
← Cómo detectar accesos no autorizados y fraudes internos en una empresa
¿Cómo prepararse para una auditoría de cumplimiento ENS?
preparacion-ens
Ciberseguridad

¿Cómo prepararse para una auditoría de cumplimiento ENS?

19.2.2026 4 min lectura
¿Qué es el ENS (Esquema Nacional de Seguridad)?
que-es-ens
Ciberseguridad

¿Qué es el ENS (Esquema Nacional de Seguridad)?

22.1.2026 5 min lectura
Red vs Blue Team: Simulaciones de ciberataques para mayor seguridad
Ciberseguridad

Red vs Blue Team: Simulaciones de ciberataques para mayor seguridad

22.4.2025 2 min lectura

Suscríbete a nuestra newsletter y mantente al día de las novedades en tecnología y ciberseguridad.
accio-10-negre (1)
pyme_innovadora_meic-SP_web
kit consulting cabecera