Cumplimiento ENS

Capítulo 1: Introducción al ENS

El Esquema Nacional de Seguridad (ENS) fue establecido por el Real Decreto 3/2010 (modificado por el RD 951/2015) para garantizar la seguridad de la información y los servicios electrónicos de las administraciones públicas. Sus objetivos son:

Proteger la confidencialidad, integridad y disponibilidad de la información
Garantizar la trazabilidad de las operaciones
Asegurar la autenticidad de los usuarios y sistemas
Proteger los servicios electrónicos frente a amenazas
Establecer un marco común de seguridad para todas las administraciones

Categorización del sistema

El ENS clasifica los sistemas según el impacto que tendría un incidente de seguridad. Las categorías son:

BAJO: Impacto limitado sobre la organización o ciudadanos
MEDIO: Impacto considerable que afecta a derechos fundamentales
ALTO: Impacto muy grave que puede afectar a la seguridad nacional

El sistema ayuntamientosmart.com se analiza con objetivo de categorización MEDIO, sujeto a validación formal, porque:

Procesa datos de carácter personal sensibles (DNI, direcciones, teléfonos)
Contiene datos municipales protegidos (denuncias, sanciones, antecedentes)
Afecta a derechos fundamentales de los ciudadanos (intimidad, protección de datos)
Su indisponibilidad afectaría a la operativa municipal

Dimensiones de seguridad

El ENS evalúa cinco dimensiones:

Disponibilidad [D]: El sistema debe estar operativo cuando se necesita
Integridad [I]: Los datos no deben alterarse de forma no autorizada
Confidencialidad [C]: Los datos solo deben ser accesibles a usuarios autorizados
Autenticidad [A]: Garantía de la identidad de usuarios y origen de datos
Trazabilidad [T]: Registro de todas las operaciones para auditoría

Para ayuntamientosmart.com, la valoración de cada dimensión es:

Disponibilidad: MEDIO (el servicio debe estar disponible 24/7 con RPO < 24h)
Integridad: ALTO (los datos municipales no pueden alterarse sin detección)
Confidencialidad: ALTO (datos personales sensibles y municipales)
Autenticidad: MEDIO (identificación cierta de usuarios)
Trazabilidad: ALTO (obligación legal de auditoría completa)

Capítulo 2: Medidas organizativas

org.1 - Política de seguridad

El sistema dispone de una Política de Seguridad aprobada por el responsable del sistema (Concejal responsable o Alcalde). La política establece:

Objetivos de seguridad
Roles y responsabilidades
Normativa aplicable (ENS, RGPD, LO 7/2021)
Proceso de gestión de riesgos
Procedimiento de revisión anual

La política se revisa anualmente o cuando hay cambios significativos en el sistema.

org.2 - Normativa de seguridad

Se ha desarrollado normativa específica de seguridad que incluye:

Normas de uso aceptable del sistema
Política de contraseñas
Política de acceso remoto
Política de backup y recuperación
Normativa de gestión de incidentes

Todo usuario debe firmar un compromiso de cumplimiento de la normativa al recibir acceso al sistema.

org.3 - Procedimientos de seguridad

Se han documentado procedimientos operativos para:

Alta, modificación y baja de usuarios
Gestión de copias de seguridad
Restauración ante desastres
Actualización de software
Respuesta ante incidentes de seguridad
Gestión de logs de auditoría

org.4 - Proceso de autorización

Antes de poner en producción el sistema o tras cambios mayores, se requiere autorización formal del Responsable de Seguridad tras:

Análisis de riesgos actualizado
Verificación de que las medidas de seguridad están implementadas
Pruebas de seguridad superadas
Revisión de la Declaración de Aplicabilidad

Capítulo 3: Medidas de protección del marco operacional

mp.per - Protección de personal

El personal con acceso al sistema debe:

Firmar acuerdo de confidencialidad
Recibir formación en seguridad de la información
Conocer sus responsabilidades en materia de seguridad
Reportar incidentes de seguridad detectados

Los administradores del sistema requieren autorización especial y mayor nivel de confianza.

mp.eq - Protección de equipos

Los servidores donde se aloja el sistema están:

Ubicados en CPD con control de acceso físico (tarjeta/biométrico)
Protegidos contra incendios (sistema de extinción automático)
Con alimentación redundante (SAI + grupo electrógeno)
Climatización controlada (temperatura 18-24ºC, humedad 40-60%)
Monitorizados 24/7 (alertas de temperatura, humedad, intrusión)

mp.com - Protección de comunicaciones

Las comunicaciones están protegidas mediante:

TLS 1.3 para toda comunicación HTTPS
Certificados SSL de CA reconocida (Let's Encrypt/Sectigo)
VPN IPSec para accesos remotos al servidor
Segmentación de red (VLAN para servidores, VLAN para usuarios)
Firewall perimetral con reglas restrictivas (whitelist)

mp.si - Protección de soportes de información

Los soportes de almacenamiento:

Discos cifrados en reposo (LUKS/dm-crypt)
Backups cifrados (AES-256)
Etiquetado según clasificación (PUBLICO, RESTRINGIDO, CONFIDENCIAL)
Destrucción segura al final de vida (borrado criptográfico o destrucción física)

Capítulo 4: Medidas de protección de marcos tecnológicos

mp.info - Protección de la información

Los datos sensibles están protegidos:

Datos en reposo cifrados con AES-256-GCM
Datos en tránsito cifrados con TLS 1.3
Clasificación de datos (público, restringido, confidencial, secreto)
Control de acceso basado en roles (RBAC)
Cifrado de campos sensibles en base de datos (DNI, direcciones)

mp.sw - Protección de servicios

El software del sistema:

Desarrollado con prácticas de seguridad (OWASP Top 10)
Validación de entrada contra inyecciones SQL, XSS, etc.
Sanitización de salida para prevenir XSS
Gestión segura de sesiones (HttpOnly, Secure, SameSite)
Protección CSRF con tokens
Rate limiting contra ataques de fuerza bruta

mp.hw - Protección de equipos

Los equipos informáticos:

Sistemas operativos actualizados (Ubuntu LTS con actualizaciones automáticas)
Antivirus en servidores (ClamAV)
Firewall local habilitado (iptables/ufw)
Deshabilitación de servicios innecesarios
Hardening del sistema operativo (CIS benchmarks)

Capítulo 5: Medidas de operación

op.pl - Planificación

Se ha desarrollado un Plan de Adecuación al ENS que incluye:

Inventario de activos del sistema
Análisis de riesgos (MAGERIT)
Medidas de seguridad a implantar
Calendario de implantación
Presupuesto necesario
Responsables de cada medida

op.acc - Control de acceso

El acceso al sistema está controlado:

Autenticación obligatoria con usuario y contraseña
Contraseñas robustas (mín. 8 caracteres, mayúsculas, minúsculas, números, símbolos)
2FA opcional (TOTP - Google Authenticator)
Bloqueo tras 5 intentos fallidos (15 minutos)
Cierre de sesión automático tras 30 minutos de inactividad
Control de acceso basado en roles (6 roles predefinidos)

op.exp - Explotación

La operación del sistema incluye:

Procedimientos de arranque y parada controlada
Monitorización 24/7 de disponibilidad y rendimiento
Gestión de capacidad (alertas si disco >80%, RAM >90%)
Procedimientos de actualización con entorno de test previo
Ventanas de mantenimiento planificadas (domingos 02:00-06:00)

op.ext - Servicios externos

Para servicios contratados externamente (hosting, soporte):

Contratos con cláusulas de seguridad y confidencialidad
Auditoría de proveedores (certificaciones ISO 27001)
SLA con garantías de disponibilidad (99.9%)
Procedimientos de terminación segura de servicios

op.cont - Continuidad del servicio

Se ha desarrollado un Plan de Continuidad que garantiza:

Backup diario incremental + semanal completo
Backups almacenados en ubicación geográficamente separada
RPO (Recovery Point Objective): 24 horas
RTO (Recovery Time Objective): 4 horas
Pruebas de restauración trimestrales
Procedimientos de contingencia documentados

Acciones

Imprimir Ver PDF Soporte

Categorías

Voz y mensaje

Equipo y territorio

Jornada y control

Premium

Voz y mensaje

Chatbot del Programa

Editor del Programa

Biblioteca de Argumentarios

Comunicación Interna

Biblioteca de Materiales

Equipo y territorio

Mapa Electoral

CRM Electoral

Tareas y Equipos

Puerta a Puerta

Actos y Eventos