ENS y Continuidad de Negocio: Una brecha silenciosa que el CISO no debe ignorar

ENS y Continuidad de Negocio: Una brecha silenciosa que el CISO no debe ignorar

Parece que la vorágine de la inmediatez, a la que se somete el panorama de la actualidad, aparentemente ha apartado los focos del tema estrella hasta hace no tanto: el apagón.

Este artículo no pretende ser un refrito de información, tampoco (re)abrir debates, presentar su propia teoría del origen ni tampoco caer en el análisis fácil a toro pasado (cuando todos somos «expertos»). Vamos a traer al frente la Continuidad de Negocio desde el punto de vista del Esquema Nacional de Seguridad (ENS). Vamos a analizar hasta qué punto la exigencia del ENS es «suficiente» para poder estar tranquilo como CISO ante un desastre o incidente mayor, en este caso, acercándonos al escenario del apagón.

Para ello, aunque en la medida de lo posible trataré de no hacerlo, voy a permitirme el lujo de partir de la base de otros artículos que puedes encontrar en este blog del Club del CISO, como, por ejemplo: Conceptos clave de ciberseguridad.

Observemos esta tabla:

Nos muestra estrictamente las «Medidas de Seguridad del ENS», dentro del Marco Operacional, que contemplan la Continuidad del servicio (4.6). Si no lo conocías, quizás te haya llamado la atención la aplicabilidad en función del nivel de las dimensiones de seguridad. Pues sí, hay un elefante en la sala. ¿Lo ves? Sospecho que nos acompaña a los que ya conocíamos el contenido de esta tabla.

Efectivamente, vengo a confrontar la exigencia del Esquema Nacional de Seguridad contra la realidad que seguramente debamos hacer frente en pos de la Continuidad de Negocio o Continuidad de servicio (en idioma ENS). Eso sí, quiero dejar claro que para que esta reflexión no sea infinita, no vamos a hablar de todas aquellas medidas de seguridad que, de forma indirecta, también tienen un impacto en la Continuidad de Negocio, incluyendo las de gestión de incidentes. En este caso, estas últimas, sí son más exigentes y por ello guardan una mejor relación con la «tranquilidad» del CISO, o eso creo.

Lo que vimos durante el apagón

Fuimos testigos del efecto de esta tabla. De cómo tan solo algunos negocios u organizaciones pudieron garantizar la continuidad mínima o aceptable de su servicio. Fueron: o bien quienes entraban dentro de una categorización alta; o bien quienes se la autoimpusieron de alguna manera al considerar suficientemente su actividad suficientemente crítica como para no poder verse altamente impactada por un escenario de tal magnitud de desastre, imprevisible y, sobre el papel, poco probable.

Aplicabilidad del ENS

Recordemos, el Esquema Nacional de Seguridad aplica a una amplia gama de entidades en España que manejan información o prestan servicios mediante medios electrónicos en el sector público:

Administración Pública.
Entidades del sector privado que colaboran con el sector público:

- Prestan servicios o soluciones TIC a las Administraciones Públicas.
- Procesan o almacenan información por encargo de la Administración Pública.
Universidades públicas y privadas.
Organismos del sector público empresarial.
Otros casos según resolución o normativa sectorial.

En definitiva, cualquier sistema de información que soporte servicios públicos electrónicos debe estar alineado con el ENS.

El elefante en la sala: niveles y requisitos

La realidad: cualquier cumplimiento normativo, el ENS en nuestro caso, puede convertirse en un arma de doble filo si no lo aplicamos debidamente. ¿Cómo? Por un lado, nos rige unos mínimos a cumplir de una forma más o menos objetiva, lo cual aparentemente ya bastaría. Claro, los criterios de clasificación se han consensuado y actualizado con la experiencia de los años. Pero ¿qué ocurre si como organización o CISO nos ceñimos tan solo a ese criterio? ¿Nos basta con la tabla que hemos visto antes?

Bien, pues la realidad es que no debería. El obligado cumplimiento de unas medidas debería marcarnos un mínimo. Un punto de partida del que poder entrar a valorar si realmente, suponiendo que el ENS no lo exija por nivel del sistema, puedo y debo prescindir de:

Análisis de impacto de Negocio
Plan de Continuidad
Pruebas periódicas
Medios alternativos

¿Tranquilidad o falsa seguridad?

Muchas veces nos encontramos con que, por motivos varios, a muchas entidades alcanzan un alto grado de tranquilidad con estar dentro del marco de cumplimiento de leyes, Reales Decretos y estándares internacionales.

Seguramente, el pasado 28 de abril (con el apagón), hubo entidades que sintieron esa falsa seguridad. ¿Cómo era posible que, cumpliendo con todo, no pudieran brindar servicios (mínimos) y tampoco supieran como actuar ordenadamente?

Seguramente hayan podido detectar que necesitan reforzar aspectos relativos a su Continuidad de Negocio para poder, ahora sí, estar tranquilos ante el próximo desastre y esta vez ser capaces de no sufrir con un grado más de seguridad. Hacer lo que quizás sí hizo la entidad vecina, que de primeras les pareció exagerado y que, el tiempo les ha dado la razón. Como la hormiga a la cigarra. No está de más, si con cierto sentido aplicamos medidas de seguridad por encima del grado de obligado cumplimiento si nos van a reportar beneficios para la entidad.

Resulta capital entender bien qué significa la palabra riesgo y todas sus implicaciones: la probabilidad de suceso combinado con el impacto que trae consigo. Es decir, podremos estar algo más tranquilos siempre que lo estemos con nuestra aceptación del riesgo y su gestión o control desde su análisis, gestión de incidentes hasta una madurez de nuestro Sistema de Gestión de la Continuidad de Negocio.

Conclusiones para el CISO práctico

Casualmente, apenas un año antes del apagón, hablábamos de «El CISO y su función en la subsistencia de la organización».

Es tan o más importante saber hacer nuestro trabajo como saber comunicarlo a la Alta Dirección. Que al final, no hay mal que por bien no venga. Seguramente este suceso nos permita ganar un poco más de fuerza en el discurso de la Continuidad de Negocio, facilitar la identificación de aquellos procesos y sistemas críticos para nuestra entidad y reformular ese apetito del riesgo revaluando la comodidad de la entidad frente a este.

Gonzalo Ruiz de Miguel

Govertis, parte de Telefónica Tech

Por Blog AEC Govertis

26 de mayo de 2025

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Duración	Descripción
PREF	8 months	PREF cookie is set by Youtube to store user preferences like language, format of search results and other customizations for YouTube Videos embedded in different sites.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Duración	Descripción
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
yt-remote-cast-available	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.
yt-remote-cast-installed	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-fast-check-period	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.
yt-remote-session-app	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.
yt-remote-session-name	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

menú

Club CISO