Falco Feeds extends the power of Falco by giving open source-focused companies access to expert-written rules that are continuously updated as new threats are discovered.
Hay una conversación que aparece con frecuencia cuando las empresas españolas discuten su estrategia digital y su planificación cloud: ¿y el ENS?
El Esquema Nacional de Seguridad es obligatorio para la administración pública y cualquier empresa que preste servicios al sector público o aspire a contratos donde la certificación ENS es un requisito. Desde el Real Decreto 311/2022 el marco se ha endurecido: gestión de riesgos más estricta, certificación obligatoria para sistemas de nivel medio y alto y nuevos controles para entornos cloud y cadena de suministro.
No es un trámite menor. Cuando la infraestructura vive en AWS, Azure, GCP u Oracle Cloud, o sencillamente se utilizan instancias de computación o clusters de Kubernetes, demostrar cumplimiento implica relacionar los controles del ENS con la realidad de los recursos cloud. Y hacerlo de forma continua, como exigen los artículos 10 y 34.
Muchas organizaciones se bloquean en este punto, llegando a replantear sus planes en la nube o incluso a congelarlos.
Responsabilidad compartida y sus implicaciones
Aquí conviene recordar el modelo de responsabilidad compartida en la nube. Los proveedores cloud son responsables de la seguridad de la infraestructura que opera el servicio: centros de datos, hardware, red física y la propia plataforma cloud.
Pero el cliente sigue siendo responsable de cómo configura y utiliza esos servicios. La configuración de redes, identidades, permisos, almacenamiento, cifrado o contenedores recae en la organización que usa la nube. Esto incluye también las plataformas de orquestación como Kubernetes, que hoy son la base de ejecución de muchas aplicaciones de misión crítica.
En cuanto a cumplimiento normativo, los principales proveedores tienen sus certificaciones en orden, pero el responsable en capas de configuración y computación es el usuario.
El problema real es la operativa
El ENS define qué hay que cumplir. Las guías CCN-STIC del Centro Criptológico Nacional detallan cómo aplicarlo según el proveedor cloud. Pero trasladar esos controles al entorno real, verificar su estado, priorizar cambios y generar evidencia auditable es un trabajo que los equipos de seguridad y compliance no pueden hacer manualmente a escala y cambio constantes.
Las implicaciones son muchas: auditar configuraciones de almacenamiento y acceso en cientos de servicios cloud. Verificar políticas de cifrado, controlar privilegios, y un largo etcétera. Todo esto se extiende también a los clusters donde conviven los microservicios, cada uno con sus propias configuraciones.
Un enfoque cloud native para seguridad y cumplimiento
Sysdig nació en 2013 del mismo equipo que creó Wireshark y es también el origen de Falco, hoy uno de los proyectos de código abierto de referencia para detección de amenazas en tiempo real perteneciente a la CNCF.
Sobre esa base, Sysdig ha construido una plataforma CNAPP que cubre las principales capas de seguridad cloud (CSPM, CIEM, CWPP, CDR). En pocas palabras, Sysdig establece un perímetro seguro que comienza en el ciclo de desarrollo de software y monitoriza su ejecución e infraestructura de forma permanente para evitar amenazas conocidas o desconocidas.
El módulo de compliance evalúa de forma continua los recursos de AWS, Azure, GCP y Oracle Cloud, incluyendo el contenido de instancias y clusters, frente a distintos marcos regulatorios, incluido el ENS.
Sysdig y el ENS: qué significa en la práctica
Sysdig Secure incluye soporte nativo para el Esquema Nacional de Seguridad en categoría Alta como política de compliance lista para usar. Esto se traduce en capacidades concretas:
Visibilidad inmediata del gap. Tras conectar las cuentas cloud y clusters, Sysdig evalúa los recursos frente a los requisitos del ENS, mostrando dónde se cumple y dónde no, con un score de cumplimiento por zona y política. Sin mapeos manuales.
Priorización basada en riesgo real. No todos los incumplimientos tienen el mismo impacto. Sysdig utiliza contexto del comportamiento de la infraestructura para priorizar las desviaciones que representan riesgo operativo real.
Remediación guiada y automatizable. Cada control incluye guías de remediación. Se puede abrir un pull request desde la plataforma o aceptar el riesgo con trazabilidad documentada.
Informes para auditoría. Genera informes PDF de cumplimiento por zona de negocio y programa envíos periódicos. La evidencia está disponible cuando se necesita.
Cobertura multi-cloud. Sysdig evalúa controles ENS de forma transversal en AWS, Azure, GCP y Oracle Cloud, incluyendo configuraciones de Kubernetes.
Más allá del ENS: un catálogo amplio de cumplimiento
Muchas organizaciones en España operan también bajo GDPR, NIS2, ISO 27001, PCI-DSS o DORA. Sysdig cubre más de 40 marcos regulatorios en su módulo de postura, incluyendo NIST (múltiples variantes: 800-53, 800-171, 800-190, CSF 2.0), CIS Benchmarks para los principales proveedores cloud y distribuciones Linux, FedRAMP, HIPAA, SOC 2, HITRUST, C5 (el equivalente alemán), y por supuesto la propia categoría Alta del ENS.
Esto permite algo que los equipos de compliance valoran especialmente: evaluar una misma infraestructura contra múltiples regulaciones desde un solo lugar, identificando solapamientos y reduciendo el esfuerzo duplicado.
Lo que no cubre una herramienta (y conviene recordar)
Sysdig no da la certificación ENS. Ninguna herramienta lo hace. La certificación la emite un organismo acreditado por ENAC tras una auditoría independiente. Lo que Sysdig sí hace es mantener el estado de cumplimiento continuo, reducir drásticamente el esfuerzo de preparación para esa auditoría, y proporcionar la evidencia que se necesita.
Si la ENS era un freno, ya no lo es
Existen proyectos retrasados porque el equipo de compliance no dispone de una forma continua y escalable de verificar postura ENS. Esto es exactamente lo que resuelve Sysdig, además de cubrir otras necesidades de ciber seguridad.
Sysdig ofrece visibilidad ENS para cualquier empresa que opere en AWS, Azure, GCP u Oracle desde el primer día. Detección de gaps, remediación, y generación de evidencia continua. Esto es muy relevante si se trabaja con la administración pública española o se aspira a hacerlo en el futuro.
Para más información se recomienda consultar la documentación de Compliance de Sysdig, contactar con la empresa directamente, o solicitar una demostración.