Medidas de Seguridad ENS
Las Medidas de Seguridad ENS son los controles técnicos y organizativos que los sistemas de las administraciones públicas deben implantar en función de su categoría dentro del Esquema Nacional de Seguridad.
01 Definición
El Anexo II del Real Decreto 311/2022 define un catálogo de medidas de seguridad organizadas en tres grupos: marco organizativo, marco operacional y medidas de protección. Cada medida tiene un nivel de aplicación (básico, medio, alto o reforzado) que determina cuándo es exigible según la categoría del sistema.
Entre las medidas más relevantes para sistemas de atención ciudadana se encuentran: gestión de activos (mp.if.1), control de accesos (op.acc.1 a op.acc.7), protección de las comunicaciones (mp.com.1 a mp.com.4), protección de la información (mp.si.1 a mp.si.5) y trazabilidad del tratamiento (op.exp.8).
02 Qué significa para las AAPP
Para un ayuntamiento que implanta un chatbot de atención ciudadana, las medidas ENS más relevantes son las de protección de comunicaciones (cifrado TLS en todos los intercambios), control de accesos al panel de administración (autenticación robusta, segregación de roles), y trazabilidad (registro de todas las consultas sin almacenar datos personales del ciudadano). El responsable de seguridad debe verificar que el proveedor del chatbot cumple las medidas aplicables a la categoría del sistema.
03 Cómo lo aborda Agento
La arquitectura de Agento implementa por defecto las medidas de protección exigidas para sistemas ENS en categoría Media: cifrado TLS 1.3 en todas las comunicaciones, autenticación multifactor para el panel de administración, logs de auditoría inmutables, y anonimización de datos en los registros de conversación. La documentación de cada medida está disponible en el proceso de implantación.