ENS y Cloud: el mayor reto de cumplimiento en 2026

ENS y Cloud: el mayor reto de cumplimiento en 2026

La adopción de entornos cloud (AWS, Azure, GCP) en el sector público y proveedores tecnológicos ha crecido de forma exponencial. Sin embargo, esta evolución ha puesto en evidencia una realidad incómoda:

La mayoría de organizaciones no está aplicando correctamente el Esquema Nacional de Seguridad en cloud.

El problema no es normativo. Es de interpretación, arquitectura y operación. El error de base: pensar que el cloud “ya cumple”

Uno de los fallos más frecuentes es asumir que el proveedor cloud garantiza automáticamente el cumplimiento ENS. Esto es incorrecto.

Los grandes proveedores ofrecen infraestructuras seguras, pero el ENS exige algo diferente:

• control sobre la configuración
• gestión del riesgo
• operación continua de la seguridad

Aquí entra en juego el concepto clave:

🔐 Responsabilidad compartida (mal entendida)

En cloud, la seguridad se divide entre proveedor y cliente. Pero en ENS, la responsabilidad no se delega.

Esto implica que la organización sigue siendo responsable de:

• la configuración de servicios
• la protección de la información
• la gestión de accesos
• la monitorización
• la respuesta ante incidentes

El proveedor ofrece capacidades. El cumplimiento ENS depende de cómo las uses.

Dónde están fallando las organizaciones

En auditorías recientes, se repiten patrones muy claros de incumplimiento en cloud:

1. Falta de visibilidad real

• Logs no centralizados
• Monitorización parcial
• Falta de correlación de eventos

2. Configuraciones inseguras por defecto

• Servicios expuestos a Internet
• Almacenamiento mal configurado
• Falta de hardening

3. Gestión deficiente de identidades (IAM)

• Exceso de privilegios
• Falta de control sobre cuentas privilegiadas
• Ausencia de revisiones periódicas

4. Inventario incompleto de activos

• Recursos desplegados sin control
• Shadow IT en cloud
• Falta de clasificación de sistemas

5. Ausencia de evidencias auditables

• No se puede demostrar cumplimiento
• Falta de trazabilidad
• Controles definidos pero no medidos

Qué exige realmente el ENS en entornos cloud

El ENS no distingue entre on-premise y cloud. Exige lo mismo:

🔹 Control y conocimiento del sistema

• Inventario actualizado
• Categorización
• Análisis de riesgos

🔹 Protección de accesos

• Control de identidades
• Autenticación robusta
• Principio de mínimo privilegio

🔹 Monitorización continua

• Registro de eventos
• Detección de anomalías
• Capacidad de respuesta

🔹 Seguridad en la configuración

• Hardening de servicios
• Revisión de configuraciones
• Gestión de cambios

🔹 Continuidad y resiliencia

• Copias de seguridad
• Planes de recuperación
• Pruebas periódicas

El punto crítico: auditorías ENS en cloud

Los auditores —especialmente bajo criterios del CCN-CERT— están elevando el nivel técnico en cloud. Ya no basta con decir:

• “usamos Azure/AWS”
• “el proveedor está certificado”

Ahora se exige:

✔️ Evidencia de configuración segura
✔️ Evidencia de monitorización real
✔️ Evidencia de control de accesos
✔️ Evidencia de operación continua

El cloud no reduce la exigencia ENS. La multiplica.

Cómo adaptar el ENS a cloud (enfoque práctico)

Para cumplir ENS en cloud de forma efectiva, es necesario evolucionar hacia un modelo operativo:

1. Gobierno cloud alineado con ENS

• Políticas específicas para cloud
• Definición clara de responsabilidades
• Integración con el SGSI

2. Seguridad “by design”

• Plantillas seguras (IaC)
• Configuración estandarizada
• Automatización

3. Monitorización centralizada

• Integración con SIEM
• Logging completo (no parcial)
• Alertas operativas

4. Control de identidades robusto

• MFA obligatorio
• Revisión de privilegios
• Gestión de identidades federadas

5. Auditoría continua

• Validación automática de configuraciones
• Escaneo continuo de vulnerabilidades
• Generación de evidencias.