Qué es la categorización y por qué importa
El artículo 40 del Real Decreto 311/2022 establece que los sistemas de información de las entidades del sector público deben categorizarse según el impacto que tendría un incidente de seguridad sobre la organización y los ciudadanos. Esta categoría determina qué medidas del Anexo II son de aplicación obligatoria y con qué exigencia.
La categorización no es un trámite formal. Es la declaración de cuánto daño puede causar que un sistema falle, sea comprometido o quede inaccesible. Un sistema mal categorizado —por defecto— ofrece una protección real inferior a la necesaria. Uno sobredimensionado genera costes y complejidad que no aportan valor.
El procedimiento está recogido en el Anexo I del ENS. Su aplicación es sencilla una vez comprendida la lógica de las cinco dimensiones de seguridad.
Las cinco dimensiones de seguridad
El ENS evalúa la seguridad de los sistemas a través de cinco propiedades fundamentales, conocidas por sus iniciales CIDAD o simplemente por las letras C, I, D, A y T:
- Confidencialidad (C): garantía de que la información solo es accesible a quienes están autorizados. Un incidente de confidencialidad implica acceso no autorizado a datos, ya sean personales, operativos o estratégicos.
- Integridad (I): garantía de que la información y los procesos no han sido alterados de forma no autorizada. Un incidente de integridad puede implicar modificación de datos, corrupción de registros o manipulación de configuraciones.
- Disponibilidad (D): garantía de que los usuarios autorizados pueden acceder al sistema y a la información cuando lo necesitan. Un incidente de disponibilidad implica interrupción del servicio, parcial o total.
- Autenticidad (A): garantía de que la identidad de usuarios, procesos y equipos es la declarada. Un incidente de autenticidad implica suplantación de identidad o uso de credenciales no legítimas.
- Trazabilidad (T): garantía de que las acciones sobre el sistema y la información quedan registradas y pueden atribuirse a un responsable. Un incidente de trazabilidad implica la imposibilidad de reconstruir qué ocurrió, cuándo y quién lo hizo.
Cada una de estas dimensiones se evalúa de forma independiente. El sistema no tiene una única valoración global; cada dimensión recibe su propio nivel.
Cómo se determina el nivel de cada dimensión
Para cada dimensión, el responsable del sistema debe preguntarse: ¿qué consecuencias tendría un incidente que comprometa esta propiedad? La respuesta determina si el nivel es BAJO, MEDIO o ALTO.
El Anexo I del ENS proporciona criterios cualitativos para esta valoración, agrupados en seis tipos de impacto potencial:
- Perjuicio a los ciudadanos (violación de derechos, daño personal, discriminación)
- Incumplimiento de una obligación legal o regulatoria
- Pérdida económica significativa para la entidad o para terceros
- Daño a la reputación e imagen pública de la organización
- Perturbación del funcionamiento de los servicios públicos
- Daño a la seguridad o defensa nacional
El nivel BAJO corresponde a daños de alcance limitado y reversible. El nivel MEDIO a daños significativos con afectación notable a ciudadanos o a la operación. El nivel ALTO a daños graves, extensos o irreversibles, con posible compromiso de la seguridad pública o derechos fundamentales.
Tabla de referencia para la valoración
La siguiente tabla resume los criterios orientativos para cada nivel y dimensión, tomando como referencia los tipos de impacto del Anexo I:
| Nivel | Impacto en ciudadanos | Impacto operativo | Impacto legal / reputacional |
|---|---|---|---|
| BAJO | Molestias menores, subsanables | Degradación leve del servicio | Incumplimiento menor, daño reputacional limitado |
| MEDIO | Daño significativo, difícilmente reparable | Interrupción relevante, pérdida económica apreciable | Incumplimiento legal relevante, daño reputacional notable |
| ALTO | Daño grave a derechos fundamentales, riesgo vital | Interrupción grave de servicios esenciales | Incumplimiento grave, impacto en seguridad nacional o pública |
Cómo se determina la categoría del sistema
Una vez asignado el nivel a cada una de las cinco dimensiones, la categoría del sistema es la que corresponde al nivel máximo obtenido en cualquiera de ellas. El razonamiento es conservador por diseño: si una sola dimensión requiere protección ALTA, todo el sistema debe cumplir los requisitos de esa categoría, porque un atacante explotará la dimensión más crítica.
- Si al menos una dimensión es ALTA → el sistema es de categoría ALTA.
- Si ninguna dimensión es ALTA y al menos una es MEDIA → el sistema es de categoría MEDIA.
- Si todas las dimensiones son BAJA → el sistema es de categoría BÁSICA.
Esta lógica de máximo se aplica tanto a los sistemas como a los servicios que prestan. Un servicio que integra múltiples sistemas hereda la categoría más alta del conjunto.
Ejemplo práctico: sistema de gestión de expedientes de un ayuntamiento
Consideremos el sistema de gestión de expedientes administrativos de un ayuntamiento mediano. El sistema procesa solicitudes de licencias de obra, gestiona datos personales de contribuyentes y produce resoluciones administrativas con efectos jurídicos.
El análisis de cada dimensión arroja lo siguiente:
- Confidencialidad (C) — MEDIA: los expedientes contienen datos personales y fiscales. Su divulgación causaría daño significativo a los afectados y podría vulnerar el RGPD.
- Integridad (I) — ALTA: la alteración de una resolución administrativa (por ejemplo, cambiar los metros autorizados en una licencia de obra) podría causar daño grave e irreparable a terceros y comprometer la seguridad jurídica.
- Disponibilidad (D) — MEDIA: la interrupción del servicio durante varios días impediría la tramitación de solicitudes y causaría perjuicios a ciudadanos y a la gestión municipal, pero no constituye una emergencia de orden público.
- Autenticidad (A) — MEDIA: la suplantación de un funcionario o de un ciudadano podría introducir documentación fraudulenta en el expediente.
- Trazabilidad (T) — MEDIA: la ausencia de registros impediría detectar actuaciones fraudulentas o determinar responsabilidades en caso de litigio administrativo.
Resultado: la dimensión de Integridad alcanza nivel ALTO. Por tanto, el sistema es de categoría ALTA y debe aplicar todas las medidas del Anexo II correspondientes a ese nivel.
Por qué la categorización correcta es la base de todo el ENS
El Anexo II del ENS define más de setenta medidas de seguridad, pero no todas son obligatorias para todos los sistemas. Cada medida indica si aplica a categoría BÁSICA, MEDIA, ALTA o a alguna combinación. Una categorización incorrecta invalida este proceso: si se asigna una categoría inferior a la real, las medidas más exigentes quedan fuera del alcance y el sistema queda desprotegido frente a las amenazas que justificaban un nivel superior.
Además, la categoría del sistema determina el tipo de auditoría requerida (interna o externa acreditada), la periodicidad de las revisiones y los requisitos de continuidad. Es, en definitiva, el punto de partida de todo el modelo de seguridad.
La buena noticia es que el proceso es metodológico y repetible. Una vez establecidos los criterios de valoración con el responsable del sistema y el responsable de seguridad, el ejercicio de categorización puede completarse en pocas horas para un sistema bien documentado.
Herramienta de categorización online
Para facilitar este proceso, Yucros ha desarrollado una herramienta gratuita que guía la valoración de cada dimensión y calcula automáticamente la categoría resultante según los criterios del Anexo I del RD 311/2022. El resultado puede exportarse en PDF para incluirlo en la documentación del sistema.
Categoriza tu sistema ahora
Nuestra herramienta online guía la valoración de cada dimensión de seguridad y calcula la categoría ENS de forma inmediata, sin registro y sin coste.
Usar el Categorizador ENS →