Categorías ENS: Básica, Media y Alta explicadas con ejemplos
Cómo decidir la categoría correcta de tu sistema ENS: criterios del Anexo I, dimensiones de seguridad y ejemplos reales de clasificación.
Decidir la categoría ENS de un sistema es la primera gran decisión del proyecto y una de las que más se improvisa. Clasificar demasiado alto dispara el coste de medidas; clasificar demasiado bajo deja al descubierto riesgos reales y, sobre todo, compromete la propia certificación cuando la auditoría detecta la desviación. En este artículo explicamos cómo categorizar bien, con ejemplos reales de sistemas que hemos clasificado para administraciones y proveedores privados.
Qué estás categorizando exactamente
Primero una aclaración que ahorra problemas: no se categoriza la organización, se categoriza cada sistema de información dentro del alcance ENS. Una misma entidad puede tener un sistema en Básica (una web institucional) y otro en Media (una sede electrónica que tramita expedientes).
“Sistema” se entiende aquí en sentido funcional: el conjunto de aplicaciones, infraestructura, datos y servicios que soportan un servicio o trámite concreto.
Las cinco dimensiones de seguridad
La categorización no se hace “de un plumazo”. Se evalúa el impacto que tendría un incidente sobre cinco dimensiones, cada una con tres niveles (Bajo, Medio, Alto):
- Confidencialidad (C): daño si la información se divulga.
- Integridad (I): daño si la información se altera sin autorización.
- Trazabilidad (T): daño si no puede atribuirse una acción a su autor.
- Autenticidad (A): daño si no puede verificarse quién originó una acción.
- Disponibilidad (D): daño si el servicio se interrumpe.
La categoría global del sistema es la más alta de las cinco dimensiones. Un sistema puede tener C:Bajo, I:Medio, T:Medio, A:Bajo, D:Bajo y ser Categoría Media.
Criterios del Anexo I para clasificar cada dimensión
El Anexo I del RD 311/2022 fija los criterios para asignar Bajo, Medio o Alto a cada dimensión. Resumidos:
- Bajo: el incidente causa un perjuicio limitado.
- Medio: el incidente causa un perjuicio grave.
- Alto: el incidente causa un perjuicio muy grave, irreparable o con afectación a derechos fundamentales, a la vida o a intereses generales.
Los criterios concretos cubren ámbitos como reputación, impacto económico, afectación a servicios esenciales, cumplimiento legal y protección de datos personales.
Ejemplos reales de categorización
Ejemplo 1 — Portal institucional de ayuntamiento pequeño
Un ayuntamiento de 8.000 habitantes con una web informativa (sin tramitación) y formulario de contacto.
- C: Bajo (información pública).
- I: Medio (alterar la web tendría impacto reputacional).
- T: Bajo.
- A: Bajo.
- D: Bajo (la web puede caer sin impacto en servicios esenciales).
Categoría global: Media (por la dimensión de integridad).
Ejemplo 2 — Sede electrónica de universidad
Sede electrónica de una universidad que tramita matrículas, actas, solicitudes de beca y certificados.
- C: Medio (datos personales de miles de estudiantes).
- I: Alto (alterar actas tiene consecuencias jurídicas).
- T: Medio.
- A: Medio.
- D: Medio (si cae durante matrícula, impacto grave).
Categoría global: Alta.
Ejemplo 3 — SaaS que aloja información de AAPP
Una empresa privada que ofrece un software de gestión de expedientes a ayuntamientos y comunidades autónomas, en modo multi-tenant.
- C: Medio (datos administrativos, algunos con datos personales).
- I: Medio (modificaciones no autorizadas afectarían procedimientos administrativos).
- T: Medio.
- A: Medio.
- D: Medio.
Categoría global: Media, con refuerzo contractual por cadena de suministro.
Ejemplo 4 — Sistema hospitalario con historia clínica
Un sistema de gestión de historia clínica electrónica de un hospital de la red pública.
- C: Alto (datos especialmente sensibles del art. 9 RGPD).
- I: Alto (alteración podría comprometer la salud del paciente).
- T: Alto.
- A: Alto.
- D: Alto (un corte en urgencias es crítico).
Categoría global: Alta.
Errores típicos al categorizar
- Categorizar el sistema entero a la alza porque “una parte” es crítica. Mejor segmentar y separar sistemas con alcance diferenciado.
- Olvidar la dimensión de trazabilidad y autenticidad. Son las que más se infravaloran.
- Categorizar sin el Responsable de la Información. La decisión es suya, no del técnico: implica asumir un riesgo organizativo.
- Documentar la decisión con un correo. La categorización debe constar en un documento firmado por el Responsable de la Información, con criterios trazables.
Implicaciones de la categoría elegida
| Aspecto | Básica | Media | Alta |
|---|---|---|---|
| Número de medidas | 41 | 64 | 73 (con refuerzos) |
| Auditoría | Auto-evaluación + declaración responsable | ENAC bienal | ENAC bienal más exigente |
| Coste típico | 8.000–15.000 € | 15.000–35.000 € | 35.000–80.000 € |
| Plazo de implantación | 2–3 meses | 4–7 meses | 6–12 meses |
Los rangos son orientativos para una implantación externalizada incluyendo consultoría, no incluyen inversiones técnicas (firewalls, SIEM, backup, etc.).
Cómo empezar
Si estás en la fase previa, dos consejos prácticos: primero, reúne a la dirección, al Responsable de la Información y al Responsable del Sistema en una misma sala durante dos horas y categoriza con el Anexo I en la mano. Segundo, documenta la decisión con criterios explícitos por dimensión. Una categorización bien argumentada es el mejor seguro contra una auditoría con desviaciones.