ENS Alto: qué cubre, qué no cubre y qué tiene que hacer el partner por su cuenta

El ENS Categoría Alta es uno de los argumentos más potentes que el partner IT puede usar en una propuesta a la Administración Pública. Y también uno de los que más malentendidos genera: hay partners que creen que trabajar sobre una infraestructura certificada ENS les da cobertura automática para cualquier proyecto público, y otros que asumen que el proceso de cumplimiento es tan complejo que no vale la pena intentarlo.

Ninguna de las dos posiciones es correcta. Este post explica con precisión qué cubre la certificación ENS de la infraestructura de Jotelulu, qué no cubre y qué tiene que hacer el partner por su cuenta para poder usarla de forma efectiva en sus propuestas.

Qué es el ENS y qué implica la Categoría Alta 

El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022, es el marco normativo que establece los requisitos de seguridad que deben cumplir los sistemas de información utilizados por las Administraciones Públicas en España y por los proveedores que les dan servicio.

El ENS tiene tres categorías: Básica, Media y Alta. La categoría se determina en función del impacto que tendría un incidente de seguridad sobre la disponibilidad, integridad o confidencialidad de la información tratada. A mayor impacto potencial, mayor categoría exigida.

La Categoría Alta es la más exigente: se aplica a sistemas que tratan información que, en caso de verse comprometida, podría tener un impacto muy grave sobre la organización, los ciudadanos o los servicios públicos. Es la que aparece en los pliegos de mayor valor y la que más puertas abre al partner que puede acreditarla.

Qué cubre la certificación ENS de la infraestructura de Jotelulu

La certificación ENS Categoría Alta de Jotelulu cubre la capa de infraestructura sobre la que el partner despliega sus servicios. Concretamente, la certificación ENS cubre la infraestructura física, infraestructura virtual, controles de seguridad, procesos y procedimientos.

Qué no cubre: la parte del partner

La certificación ENS de Jotelulu cubre la infraestructura, no el servicio completo del partner. Esto significa que hay una capa de responsabilidad que permanece en manos del partner y que este debe gestionar de forma independiente para poder afirmar que su solución cumple con los requisitos ENS.

Las aplicaciones desplegadas

El ERP, la plataforma de gestión documental, el sistema de comunicaciones o cualquier otra aplicación que el partner despliegue sobre la infraestructura de Jotelulu no está cubierta por la certificación ENS de la infraestructura. El partner debe asegurarse de que esas aplicaciones cumplen con los requisitos de seguridad del ENS aplicables a su nivel de categoría.

Los procesos y procedimientos del partner

El ENS exige que el proveedor del servicio tenga documentados y operativos sus propios procesos de seguridad: política de seguridad, gestión de accesos, gestión de incidencias, continuidad del servicio, gestión de cambios y formación del personal. Estos procesos son responsabilidad del partner, independientemente de la certificación de la infraestructura.

La gestión de usuarios y accesos del servicio

El control de quién accede al servicio, con qué privilegios, con qué mecanismos de autenticación y con qué registro de actividad es responsabilidad del partner. La infraestructura proporciona las herramientas técnicas para implementarlo; el partner debe definir y aplicar las políticas.

Qué tiene que hacer el partner para usar el ENS en sus propuestas

Para que el partner pueda incluir la certificación ENS de Jotelulu en una propuesta de forma rigurosa y efectiva, hay cuatro pasos que debe dar: 

1. Documentar su política de seguridad. No es necesario obtener una certificación ENS propia, pero sí tener documentadas las medidas de seguridad que aplica a nivel de servicio y que son coherentes con los controles ENS. 
2. Definir los controles de acceso del servicio. Autenticación de usuarios, gestión de privilegios, registro de actividad. Estos controles deben estar implementados y documentados. 
3. Preparar la documentación para el pliego. La propuesta técnica debe describir claramente qué parte del cumplimiento ENS se apoya en la infraestructura certificada de Jotelulu y qué medidas adicionales aplica el partner. La transparencia en este punto es valorada positivamente por los evaluadores. 
4. Solicitar la documentación acreditativa a Jotelulu. Jotelulu proporciona la documentación necesaria para acreditar la certificación ENS de la infraestructura. El partner debe solicitarla con suficiente antelación al proceso de licitación. 

Cómo redactar el argumento ENS en una propuesta técnica 

La forma correcta de incluir la certificación ENS en una propuesta técnica es describir con precisión el alcance de la certificación y las medidas adicionales del partner: 

Incorrecto: «Nuestra solución está certificada ENS Categoría Alta.» Esta afirmación es imprecisa si solo la infraestructura tiene la certificación, y puede penalizar la propuesta si los evaluadores detectan la inexactitud.  

Correcto: «El servicio se despliega sobre infraestructura certificada ENS Categoría Alta por Jotelulu (certificado adjunto). A nivel de servicio, [nombre de la empresa partner] aplica las siguientes medidas adicionales de seguridad alineadas con los controles ENS: [descripción de las medidas].» 

 Puedes consultar los principiois básicos, requisitos mínimos y medidas de seguridad de ENS en este enlace.  

ENS como argumento de entrada, no como carga

El ENS Categoría Alta no es un obstáculo que hay que superar: es una ventaja competitiva para el partner que sabe usarlo. La mayoría de la competencia del canal IT no tiene acceso a infraestructura certificada ENS Alto. El partner que sí lo tiene puede presentarse a proyectos donde el resto no puede ni llegar. 

El trabajo que el partner tiene que hacer, documentar sus procesos y preparar la propuesta, es considerablemente menor que construir el marco de cumplimiento desde cero. Y el retorno, acceso a licitaciones a las que la mayor parte del canal IT no puede presentarse, es proporcionalmente mayor.

Si quieres revisar cómo incluir el ENS en una propuesta concreta, nuestro equipo puede ayudarte a estructurarlo.