La categorización es el proceso fundamental que determina el nivel de medidas de seguridad que debe implementar un sistema según el Esquema Nacional de Seguridad.
Las tres categorías del ENS
El ENS establece tres categorías de sistemas:
| Categoría | Descripción |
|---|---|
| Básica | Sistemas cuya afectación produciría un perjuicio limitado |
| Media | Sistemas cuya afectación produciría un perjuicio grave |
| Alta | Sistemas cuya afectación produciría un perjuicio muy grave |
Las 5 dimensiones de seguridad
La categoría se determina evaluando el sistema en 5 dimensiones:
1. Disponibilidad (D)
Capacidad del sistema para estar operativo cuando se necesita. Se evalúa mediante el análisis de impacto en el negocio (BIA).
2. Confidencialidad (C)
Protección de la información frente a accesos no autorizados. Aplica especialmente a datos personales y secretos comerciales.
3. Integridad (I)
Garantía de que la información no ha sido alterada de forma no autorizada. Crítica para datos financieros y registros oficiales.
4. Trazabilidad (T)
Capacidad de atribuir las acciones realizadas en el sistema a una entidad concreta. Fundamental para auditorías.
5. Autenticidad (A)
Garantía de que una entidad es quien dice ser. Aplica tanto a usuarios como a sistemas y datos.
Cómo se calcula la categoría
La categoría del sistema se determina siguiendo estos pasos:
- Evaluar cada dimensión con nivel Bajo, Medio o Alto
- La categoría final es igual al nivel más alto de cualquier dimensión
Por ejemplo:
- D=Medio, C=Alto, I=Medio, T=Bajo, A=Bajo → Categoría ALTA
- D=Bajo, C=Medio, I=Bajo, T=Bajo, A=Bajo → Categoría MEDIA
Criterios de valoración
Nivel Bajo
- Consecuencias limitadas
- Daño menor a la imagen
- Incumplimientos formales sin sanción grave
- Pérdidas económicas menores
Nivel Medio
- Consecuencias graves pero subsanables
- Daño moderado a la reputación
- Posibles sanciones administrativas
- Pérdidas económicas significativas
Nivel Alto
- Consecuencias muy graves o irreparables
- Daño grave a la reputación institucional
- Sanciones penales o administrativas graves
- Pérdidas económicas muy importantes
Implicaciones de cada categoría
Categoría Básica
- Medidas de seguridad fundamentales
- Auditoría cada 2 años
- Certificación por el responsable
Categoría Media
- Medidas adicionales de control de acceso
- Auditoría anual
- Certificación por auditor interno
Categoría Alta
- Máximo nivel de medidas de seguridad
- Auditoría externa obligatoria
- Plan de continuidad del negocio
- Certificación por entidad acreditada
Usa nuestra herramienta
¿Necesitas determinar la categoría de tu sistema? Nuestra herramienta gratuita te guía paso a paso para:
- Realizar el análisis de impacto
- Evaluar las dimensiones CITA
- Calcular la categoría final
- Generar un informe para la certificadora