Medidas de seguridad de alto nivel: el Esquema Nacional de Seguridad de España (ENS)
Introducción al ENS de España
En 2007, el Gobierno español sancionó la Ley 11/2007, que establecía un marco jurídico para ofrecer a los ciudadanos acceso electrónico a los servicios del Gobierno y de la administración pública. Esta ley es la base del Esquema Nacional de Seguridad, que se rige por el Real Decreto (RD) 311/2022 actualizado. El objetivo del esquema es crear confianza en la prestación de servicios electrónicos y asegurar el acceso, la integridad, la disponibilidad, la autenticidad, la confidencialidad, la trazabilidad y la preservación de datos, información y servicios.
El esquema se aplica a todas las organizaciones y organismos gubernamentales de España que compren servicios en la nube, así como a proveedores de tecnologías de la información y comunicaciones (TIC). Guía a estas agencias y empresas en la implementación de controles eficaces de seguridad en la nube y local, cumpliendo con los estándares de seguridad y privacidad de la Unión Europea y España.
El esquema establece directivas fundamentales y requisitos obligatorios que deben cumplir tanto los organismos gubernamentales como sus proveedores de servicios. Define un conjunto de controles de seguridad específicos (muchos de los cuales se alinean directamente con ISO/IEC 27001), en relación con la disponibilidad, la autenticidad, la integridad, la confidencialidad y la trazabilidad. La confidencialidad de la información (baja, intermedia o alta) determina las medidas de seguridad que se deben aplicar para protegerla.
Cada agencia gubernamental debe adoptar un enfoque de administración de riesgos para la seguridad en el que se identifiquen y evalúen los riesgos y, a continuación, aplicar los controles de seguridad adecuados a los riesgos. Los proveedores de servicios también deben cumplir los estrictos requisitos del esquema para garantizar que los procedimientos, las capacidades técnicas y las operaciones sean seguros y permitan a las agencias cumplir las disposiciones.
El esquema prescribe un proceso de acreditación voluntario para los sistemas que controlan información de baja confidencialidad, pero obligatorio para los sistemas de tratamiento de información con un nivel intermedio o alto de confidencialidad. Un auditor independiente realiza la auditoría. El informe se revisa luego en un proceso de certificación antes de que se acepten los controles de administración de riesgos en el último paso de la acreditación.
Microsoft y las medidas de seguridad de alto nivel del ENS de España
Microsoft Azure y Microsoft Office 365 han superado un proceso de rigurosa evaluación por BDO, un auditor independiente, que les ha proporcionado un informe oficial de cumplimiento. BDO informa de que las medidas de seguridad de los servicios, así como sus sistemas de información y recursos de procesamiento de datos, cumplen en el nivel alto con RD 3/2010 sin necesidad de medidas correctivas. Microsoft fue el primer proveedor de servicios de nube ampliados en recibir esta certificación en España.
Servicios y plataformas en la nube dentro de Microsoft
- Azure
- Microsoft 365 & Microsoft 365 for Education
- Dynamics 365
Microsoft 365 y ENS High
Entornos de Microsoft 365 (Office 365)
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Microsoft 365 & servicios de aplicabilidad y ámbito de Microsoft 365 for Education
Use la tabla siguiente para determinar la aplicabilidad de los servicios y suscripciones de Microsoft 365 y Microsoft 365 for Education:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Microsoft Viva (incluye Connections, Insights, Learning y Engage), Microsoft 365 (incluye Word, Excel, PowerPoint, Outlook, Sharepoint, Exchange, OneNote, OneDrive, Microsoft Planner, Sway, Whiteboard, Delve, Microsoft Forms, Microsoft To Do y Windows), Microsoft Purview (incluye Audit, Adaptative Protection, Communication Compliance, eDiscovery, Compliance Manager, Information Protection, Data Lifecycle Management, Insider Risk Management, Data Loss Prevention and Unified Data Governance aka Azure Purview), Microsoft Teams (incluye audioconferencia y sistema telefónico), Microsoft Outlook Web App, Microsoft Outlook Mobile, Microsoft Copilot para Microsoft 365, Copilot en Windows, Microsoft Copilot con protección de datos comerciales, Microsoft Exchange Online Protection, Microsoft Defender XDR (incluye Microsoft Defender para punto de conexión, Microsoft Defender for Identity y Microsoft Defender para Office 365 y Microsoft Defender for Cloud Apps), Microsoft Defender para punto de conexión, Microsoft Defender for Identity, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps, Microsoft Intune |
Dynamics 365 y ENS High
Dynamics 365 servicios de aplicabilidad y dentro del ámbito
Use la tabla siguiente para determinar la aplicabilidad de los servicios de Dynamics 365 y la suscripción:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Copilot Studio, Dynamics 365 Sales, Dynamics 365 Customer Insights Journey, Dynamics 365 Customer Insights Data, Dynamics 365 Finance, Dynamics 365 Supply Chain Management, Dynamics 365 Business Central, Dynamics 365 Customer Service (incluye Omnichannel), Dynamics 365 Field Service (incluye Remote Assist), Dynamics 365 Human Resources, Dynamics 365 Project Operations, Dynamics 365 Commerce, Dynamics 365 Fraud Protection, Dynamics 365 Customer Voice, Power Platform (incluye Power BI, Power Apps, Power Automate y Power Pages), Copilot en Power Platform (incluye Copilot para Power Apps, Copilot para Power Automate y Copilot para Power Pages). y Copilot para Power BI), Copilot para ventas, Copilot para servicio, Copilot para finanzas, Copilot para Dynamics 365 |
Microsoft Azure y ENS High
Aplicación de Azure y servicios en el ámbito
Use la tabla siguiente para determinar la aplicabilidad de los servicios y la suscripción de Azure:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Azure Confidential Computing, Microsoft Entra (incluye Entra ID, Entra ID Governance, Entra Id. externo, Entra Servicios de dominio, Entra Verified ID, Entra Permissions Management, Entra Id. de carga de trabajo, Entra Internet Access y Entra Private Access), Azure Site Recovery, Azure Virtual Network, Azure ExpressRoute, Azure Load Balancer, Azure Backup, Azure AI Services (incluye Azure OpenAI, Azure Cognitive Search, Azure AI Vision, Azure AI Custom Vision, Azure AI Language, Azure AI Speech, Azure AI Translator, Azure AI Document Intelligence, Azure AI Bot Service, Azure AI Audio & Video, Azure AI Anomaly Detector, Seguridad del contenido de Azure AI, Azure AI Personalizer, Azure AI Metrics Advisor y Azure AI Lector inmersivo), Inteligencia artificial de Azure Studio (incluye Azure OpenAI Studio, Azure Machine Learning Studio, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio y Azure Content Safety Studio), Copilot para Azure, Azure SQL, Azure Cosmos DB, Azure SQL Database, Azure Database for PostgreSQL, Azure SQL Managed Instance, Azure Database for MySQL, Azure Cache for Redis, Azure Database for MariaDB, Azure Storage (incluye Blob, Archive, Disk, File y Data Box), Azure Synapse Analytics |
| Azure Databricks, Azure Data Factory, Azure HDInsight, Azure Analysis Services, Azure Data Lake, Azure Data Lake Analytics, Microsoft Fabric, Fabric Copilot, Power BI Embedded, Azure DevOps, Azure IoT Hub, Azure Event Hubs, Azure Log Analytics, Azure Monitor, Azure Key Vault (incluye Standard, Premium y Managed HSM), Microsoft Sentinel, Microsoft Copilot para seguridad, Microsoft Defender para IoT, Microsoft Defender para la nube, Administración de la posición de seguridad en la nube de Microsoft Defender, Administración de superficie expuesta a ataques externos de Microsoft Defender (EASM), Azure DDOS Protection, Azure Firewall, Azure Firewall Manager, Azure Web Application Firewall, Azure Application Gateway, Azure VPN Gateway, Azure Bastion, Azure Virtual Machines, Azure Kubernetes Service, Azure Container Instances, Azure Container Registry, Azure Containers Apps, Azure App Service, Azure Web Apps, Azure Logic Apps, Azure API Management, Azure Service Bus, Azure Event Grid, Azure VMWare Solution, Azure Virtual Desktop (AVD), Azure Arc |
Auditorías, informes y certificados
La certificación es válida durante dos años, con una auditoría de vigilancia anual.
Azure
- Certificado de Azure National Security Framework (ENS) (español)
- Informe de auditoría de Azure National Security Framework (ENS) (español)
Microsoft 365 y Microsoft 365 para Educación
- Microsoft 365 & certificado del Marco nacional de seguridad (ENS) de Microsoft 365 for Education (español)
- Informe de auditoría de Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) (español)
Dynamics 365
- certificado del marco de seguridad nacional (ENS) de Dynamics 365 (español)
- Informe de auditoría del marco de seguridad nacional (ENS) de Dynamics 365 (español)
Preguntas más frecuentes
¿Cómo puedo obtener copias de los certificados y los informes de auditoría?
El Portal de confianza de servicios ofrece informes de auditoría y certificaciones tanto en español como en inglés. Sus auditores puedan usarlos para comparar los resultados de los servicios de nube de Microsoft con sus propios requisitos legales y regulatorios.
¿Cómo puedo empezar con los esfuerzos de cumplimiento normativo de mi organización?
Si su organización usa Azure u Office 365, puede usar acreditaciones e informes de auditorías del ENS de Microsoft como parte de su propio proceso de acreditación. Sin embargo, usted tiene la responsabilidad de contratar a un auditor para evaluar la implementación del cumplimiento normativo y asegurarse de que los controles y procesos de su propia organización se alineen con los del esquema.
Recursos
- Esquema Nacional de Seguridad de España (en español e inglés)
- Términos de Microsoft Online Services
- Cumplimiento normativo en el Centro de confianza de Microsoft
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de