Falco Feeds extends the power of Falco by giving open source-focused companies access to expert-written rules that are continuously updated as new threats are discovered.
Hay una conversación que aparece con frecuencia cuando las empresas españolas discuten su estrategia digital y su planificación cloud: ¿y el ENS?.
El Esquema Nacional de Seguridad es obligatorio para la administración pública y para cualquier empresa que preste servicios al sector público o aspire a contratos donde la certificación ENS es un requisito. Desde el Real Decreto 311/2022 el marco se ha endurecido: gestión de riesgos más estricta, certificación obligatoria para sistemas de nivel medio y alto y nuevos controles para entornos cloud y cadena de suministro.
No es un trámite menor. Cuando tu infraestructura vive en AWS, Azure, GCP u Oracle Cloud, o simplemente se utilizan instancias de computación o clusters de Kubernetes, demostrar cumplimiento implica relacionar los controles del ENS con la realidad de los recursos cloud. Y hacerlo de forma continua, como exigen los artículos 10 y 34.
Muchas organizaciones se bloquean en este punto, llegando a replantear sus planes en la nube o incluso a congelarlos.
Responsabilidad compartida y sus implicaciones
Aquí conviene recordar el modelo de responsabilidad compartida en cloud. Los proveedores cloud son responsables de la seguridad de la infraestructura que opera el servicio: centros de datos, hardware, red física y la propia plataforma cloud.
Pero el cliente sigue siendo responsable de cómo configura y utiliza esos servicios. La configuración de redes, identidades, permisos, almacenamiento, cifrado o contenedores recae en la organización que usa la nube. Esto incluye también las plataformas de orquestación como Kubernetes, que hoy son la base de muchas arquitecturas cloud native.
En cuanto a cumplimiento normativo, los principales proveedores cloud tienen sus certificaciones en orden, pero el responsable en capas de configuración y computación es el usuario.
El problema real es la operativa
El ENS define qué hay que cumplir. Las guías CCN-STIC del Centro Criptológico Nacional detallan cómo aplicarlo según el proveedor cloud. Pero trasladar esos controles a tu entorno real, verificar su estado, priorizar cambios y generar evidencia auditable es un trabajo que los equipos de seguridad y compliance no pueden hacer manualmente a escala y cambio constantes.
Piensa en lo que implica: auditar configuraciones de red, almacenamiento y acceso en decenas o cientos de servicios cloud. Verificar políticas de cifrado. Controlar privilegios excesivos. Detectar servicios expuestos y asegurar que las imágenes de contenedor no arrastran vulnerabilidades conocidas. Y hacerlo también dentro de clusters Kubernetes donde conviven los microservicios, cada uno con su propia configuración de red, identidades y permisos.
La presión regulatoria crece. En mayo de 2025 venció el plazo para que todos los sistemas de nivel medio y alto tuvieran certificación ENS válida.
Un enfoque “cloud native” para seguridad y cumplimiento
Sysdig nació en 2013 del mismo equipo que creó Wireshark y es también el origen de Falco, hoy uno de los proyectos open source de referencia para detección de amenazas en tiempo real perteneciente a la CNCF.
Sobre esa base, Sysdig ha construido una plataforma CNAPP que cubre las principales capas de seguridad cloud (CSPM, CIEM, CWPP, CDR). En pocas palabras, Sysdig establece un perímetro seguro que comienza en el ciclo de desarrollo de software y monitoriza su ejecución e infraestructura de forma permanente para evitar amenazas conocidas o desconocidas. No es un
El módulo de compliance evalúa de forma continua los recursos de AWS, Azure, GCP y Oracle Cloud, incluyendo el contenido de instancias y clusters, frente a distintos marcos regulatorios, incluido el ENS.
Sysdig y el ENS: qué significa en la práctica
Sysdig Secure incluye soporte nativo para el Esquema Nacional de Seguridad en categoría Alta como política de compliance lista para usar. Esto se traduce en capacidades concretas:
Visibilidad inmediata del gap. Conectas tus cuentas cloud y clusters Kubernetes y Sysdig evalúa los recursos frente a los requisitos del ENS, mostrando dónde cumples y dónde no con un score de cumplimiento por zona y política. Sin mapeos manuales.
Priorización basada en riesgo real. No todos los incumplimientos tienen el mismo impacto. Sysdig utiliza contexto de runtime para priorizar las desviaciones que representan riesgo operativo real.
Remediación guiada y automatizable. Cada control incluye guías de remediación. Puedes abrir un pull request desde la plataforma o aceptar el riesgo con trazabilidad documentada.
Informes para auditoría. Genera informes PDF de cumplimiento por zona de negocio y programa envíos periódicos. La evidencia está disponible cuando la necesitas.
Cobertura multi-cloud. Sysdig evalúa controles ENS de forma transversal en AWS, Azure, GCP y Oracle Cloud, incluyendo configuraciones de Kubernetes.
Más allá del ENS: un catálogo amplio de cumplimiento
La ENS no es el único framework relevante. Muchas organizaciones en España operan también bajo GDPR, NIS2, ISO 27001, PCI-DSS o DORA. Sysdig cubre más de 40 marcos regulatorios en su módulo de postura, incluyendo NIST (múltiples variantes: 800-53, 800-171, 800-190, CSF 2.0), CIS Benchmarks para los principales proveedores cloud y distribuciones Linux, FedRAMP, HIPAA, SOC 2, HITRUST, C5 (el equivalente alemán), y por supuesto la propia categoría Alta del ENS.
Esto permite algo que los equipos de compliance valoran especialmente: evaluar una misma infraestructura contra múltiples regulaciones desde un solo lugar, identificando solapamientos y reduciendo el esfuerzo duplicado.
Lo que no cubre una herramienta (y conviene recordar)
Sysdig no te da la certificación ENS. Ninguna herramienta lo hace. La certificación la emite un organismo acreditado por ENAC tras una auditoría independiente. Lo que Sysdig sí hace es mantenerte en estado de cumplimiento continuo, reducir drásticamente el esfuerzo de preparación para esa auditoría, y proporcionar la evidencia que necesitas cuando llega.
Si la ENS era un freno, ya no lo es
He oído referencias a proyectos retrasados porque el equipo de compliance no tenía forma eficiente de verificar postura ENS de forma continua y escalable. Esto es exactamente lo que resuelve Sysdig, además de cubrir otras necesidades de ciber seguridad.
Si operas en AWS, Azure, GCP u Oracle Cloud, Sysdig te da visibilidad ENS desde el primer día. Detecta los gaps, te ayuda a cerrarlos, y genera evidencia continua para tu próxima auditoría.
Si trabajas con la administración pública española o aspiras a hacerlo, esto es directamente relevante para tu negocio. Si tu cloud tiene cualquier componente regulado por la ENS (cada vez son más) merece la pena verlo en acción.
¿Quieres ver cómo funciona con tu infraestructura? Puedes consultar la documentación de Compliance de Sysdig o contactarme directamente. Y si te interesa la seguridad de infraestructura IA en cloud, no te pierdas mi último artículo sobre protección de cargas GPU en Oracle Kubernetes Engine y el reciente análisis de mi compañero Víctor Jiménez sobre por qué la infraestructura de IA merece su propia categoría de seguridad.