Qué es un sistema de información conforme al Esquema Nacional de Seguridad

Para proceder a realizar una correcta valoración de los sistemas de información, es de vital importancia tener claro el concepto de Sistema de Información conforme al ENS. El Real Decreto 311/2022 y las guías técnicas del CCN, en especial la Guía CCN-STIC 803, definen el sistema de información como un conjunto organizado e integral de recursos —tecnológicos, humanos y organizativos— cuya finalidad es gestionar información y prestar servicios públicos.

Desde esta perspectiva, un sistema de información no es simplemente una base de datos o una aplicación informática, sino un ecosistema de activos interrelacionados que soportan el cumplimiento de funciones administrativas esenciales. Entre sus componentes se encuentran:

  • Infraestructura tecnológica: servidores, redes y comunicaciones.
  • Aplicaciones: software de gestión y sedes electrónicas.
  • Datos: tanto personales como funcionales, relevantes para el servicio.
  • Personal: usuarios internos, responsables funcionales y administradores del sistema.
  • Servicios subcontratados y elementos auxiliares.
  • Soportes de Información

En la práctica, uno de los errores más comunes es confundir el sistema de información con una aplicación concreta o con uno solo de sus componentes. Por ejemplo, una base de datos o un portal web forman parte del sistema, pero no son el sistema por sí mismos.

Ejemplo aplicado: Sistema de Gestión Integral de Vivienda (SIGV)

La presentación ilustra este concepto con un ejemplo simulado: el Sistema de Gestión Integral de Vivienda (SIGV) de una consejería autonómica. Este sistema comprende:

  • Infraestructura tecnológica (servidores y redes).
  • Datos personales y administrativos (ciudadanos solicitantes, propiedades, expedientes).
  • Software de gestión y sede electrónica.
  • Módulos internos para empleados públicos.
  • Personal técnico y administrativo implicado.

La correcta delimitación del sistema permite identificar subsistemas específicos según los servicios prestados (por ejemplo, tramitación de ayudas, rehabilitación de viviendas, gestión de expedientes), lo que facilita una valoración adecuada de riesgos y la aplicación segmentada de medidas de seguridad, en función de la criticidad de cada componente.

Por ello, se recomienda comenzar el proceso de identificación atendiendo a los servicios administrativos prestados y a la información gestionada, y sobre esa base delimitar el sistema o sistemas de información correspondientes. En algunos casos, puede resultar necesario fragmentar un sistema en subsistemas, cuando distintos componentes exijan medidas de seguridad de distinto nivel.

Olga Martínez
Olga Mª Martínez es Consultora y Abogada colegiada en ICAM. Cuenta con un perfil multidisciplinar con experiencia en Ciberseguridad, Protección de Datos, Compliance y Derecho Digital. Profesora de la Universidad Europea de Madrid en el Master de Derecho Digital y Tecnológico y en el Máster de Protección de Datos. Socia y Fundadora de Applicalia.

Últimas publicaciones

Qué es un sistema de información conforme al Esquema Nacional de Seguridad

Leer más

Cumplimiento del ENS: Productos TIC y Medidas compensatorias

Leer más

NIS y DORA: dos marcos europeos que redefinen la resiliencia digital

Leer más