La norma ISO 27001 se define como un estándar internacional que establece los requisitos para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI). 

A su vez, el ENS define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de los sistemas de información.

Sus características comunes son claras, ambos procuran la protección preventiva y reactiva de la seguridad de la información mediante la aplicación de controles que consideran los riesgos de una organización. 

No obstante, ambas normativas mantienen diferencias evidentes, pues, aunque ambas se centran en proteger la confidencialidad, integridad y disponibilidad de la información, involucran un proceso de implementación distinto el uno del otro. 

Para empezar, la ISO 27001 no es un estándar obligatorio que deba ser aplicado necesariamente, a no ser que se quiera acceder a concursos públicos relacionados con los sistemas de información o que sea exigido por algún cliente como condición previa para una contratación. Es decisión de la organización aplicar este estándar, aunque siempre se recomienda, puesto que además de garantizar la seguridad informática, también genera confianza en los clientes aumentando la posición de la empresa en el mercado laboral. 

Mientras tanto, el Esquema Nacional de Seguridad (o ENS), sí es de obligado cumplimiento sobre los medios electrónicos utilizados por las Administraciones Públicas y de las empresas privadas que les proporcionan servicios a estas, aunque también se puede aplicar de manera optativa para el resto de las empresas que no cumplen con estos requisitos. 

Por otro lado, en cuanto a la implementación práctica, en lo que la norma ISO 27001 se refiere, se aplican 93 controles, sin embargo, el ENS se rige por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación que se resumen en 73 controles. 

Además, la aplicación de los controles que se deben aplicar a una organización que se quiere certificar del ENS varía en función de la categoría que se le asigne (dependiendo del tipo de daño que puedan causar los riesgos a los que esté sometida, será de categoría ALTA, MEDIA o BAJA) y de las dimensiones de seguridad que afectan a los activos que contiene (siendo estas la disponibilidad, la confidencialidad, la integridad, la autenticidad, y la trazabilidad). 

Con la ISO 27001, estos controles se dividen en cuatro grupos: 
📌 Controles organizacionales
📌 Controles Orientados a personas
📌 Controles Físicos 
📌 Controles Tecnológicos

Mientras que, con el Esquema Nacional, se dividen en tres grupos:
📌 Marco Organizativo
📌 Marco Operacional 
📌 Medidas de Protección

El primer punto de los controles de la norma ISO 27001, el de controles organizacionales, pertenece al punto 5 de la norma. En esta parte se tratan 37 controles, cuyo propósito es asegurar que la organización tiene la estructura y los procesos necesarios para gestionar la seguridad de la información de manera efectiva. 

Estos 37 controles se resumen en: 
▪️ Políticas de Seguridad de la Información: Desarrollo, aprobación, implementación y revisión de políticas de seguridad.
▪️ Organización de la Seguridad de la Información: Establecimiento de roles y responsabilidades, coordinación de la seguridad y gobernanza.
▪️ Gestión de Activos: Identificación, clasificación y protección de los activos de información.
▪️ Relaciones con Proveedores: Gestión de la seguridad en la cadena de suministro.
▪️ Gestión de Incidentes: Procedimientos para la identificación, reporte y gestión de incidentes de seguridad.
▪️ Cumplimiento: Asegurar que se cumplen las leyes, regulaciones y normas pertinentes. 

De esta manera estos 37 controles del punto 5 de la ISO 27001 se comparan a 30 controles del Esquema Nacional de Seguridad, concretamente los 4 únicos controles que pertenecen al Marco Organizativo, 19 controles del Marco Operacional y 7 controles de las Medidas de Protección: 

◼️ Marco Organizativo:
    ▪️ [org.1] Política de Seguridad
    ▪️ [org.2] Normativa de Seguridad
    ▪️ [org.3] Procedimientos de Seguridad
    ▪️ [org.4] Proceso de Autorización

◼️ Marco Operacional:
    ▪️ [op.mon.3] Vigilancia
    ▪️ [op.exp.1] Inventario de activos
    ▪️ [op.exp.4] Mantenimiento y actualizaciones de seguridad
    ▪️ [op.exp.7] Gestión de incidentes
    ▪️ [op.exp.8] Registro de la actividad
    ▪️ [op.exp.9] Registro de la Gestión de Incidentes
    ▪️ [op.pl.2] Arquitectura de Seguridad
    ▪️ [op.pl.3] Adquisición de nuevos componentes
    ▪️ [op.ext.1] Contratación y ANS
    ▪️ [op.ext.2] Gestión diaria
    ▪️ [op.ext.3] Protección de la cadena de suministro
    ▪️ [op.acc.1] Identificación
    ▪️ [op.acc.2] Requisitos de Acceso
    ▪️ [op.acc.3] Segregación de funciones y tareas
    ▪️ [op.acc.4] Proceso de gestión de derechos acceso
    ▪️ [op.nub.1] Protección de Servicios en la Nube
    ▪️ [op.cont.1] Análisis de impacto
    ▪️ [op.cont.2] Plan de Continuidad
    ▪️ [op.cont.3] Pruebas Periódicas

◼️ Medidas de protección: 
    ▪️ [mp.info.1] Datos personales 
    ▪️ [mp.info.2] Calificación de la información
    ▪️ [mp.info.3] Firma electrónica
    ▪️ [mp.si.1] Marcado de soportes
    ▪️ [mp.si.3] Procedimientos de seguridad Custodia
    ▪️ [mp.s.1] Protección del correo electrónico
    ▪️ [mp.s.2] Protección de los servicios y aplicaciones Web

El segundo punto de los controles de la norma ISO 27001, el de controles orientados a personas, pertenecen al punto 6 de la norma. En esta parte se tratan 8 controles que van enfocados a asegurar que el personal de la organización sea consciente de sus responsabilidades en materia de seguridad de la información y actúe en consecuencia. 

Estos 8 controles se resumen en: 
▪️ Seguridad de los Recursos Humanos: Controles antes, durante y después del empleo para asegurar que el personal entiende y cumple con las políticas de seguridad.
▪️ Concienciación y Formación en Seguridad: Programas de capacitación y concienciación para el personal sobre la seguridad de la información.
▪️ Gestión del Cambio de Personal: Procedimientos para gestionar los cambios en el personal, asegurando que los accesos y privilegios se actualicen de manera adecuada. 

Este punto se relaciona sobre todo con las Medidas de Protección del ENS (en 6 controles) aunque también se encuentra equivalencia con algún control del Marco Operacional (en 2 controles) y se vuelve a observar referencia con una parte del Marco Organizativo (en 2 controles): 

◼️ Marco Organizativo:
    ▪️ [org.1] Política de Seguridad
    ▪️ [org.2] Normativa de Seguridad

◼️ Marco Operacional:
    ▪️ [op.exp.7] Gestión de incidentes
    ▪️ [op.ext.1] Contratación y acuerdos de nivel de servicio

◼️ Medidas de protección: 
    ▪️ [mp.info.1] Datos personales
    ▪️ [mp.s.2] Protección de los servicios y aplicaciones Web
    ▪️ [mp.per.1] Caracterización del puesto de trabajo
    ▪️ [mp.per.2] Deberes y obligaciones
    ▪️ [mp.per.3] Concienciación
    ▪️ [mp.per.4] Formación

El tercer punto de los controles de la norma ISO 27001, el de controles físicos, pertenece al punto 7 de la norma. En esta parte se tratan 14 controles que tienen por objetivo proteger las instalaciones físicas y el entorno que contiene la información y los sistemas de información.

Estos 14 controles se resumen en: 

▪️ Seguridad Física y del Entorno: Medidas para proteger los edificios, oficinas y centros de datos contra el acceso no autorizado, daños y desastres naturales.
▪️ Control de Acceso Físico: Sistemas de control de acceso, vigilancia y medidas de protección física para asegurar que solo el personal autorizado tenga acceso a las áreas sensibles. 

El punto 7 de la ISO 27001 hace referencia principalmente y de nuevo, a las Medidas de Protección del ENS, en concreto a las que refieren a protección de las instalaciones e infraestructuras, de los equipos y de los soportes de información, aunque también vuelve a retomar algunos temas que ya hemos podido ver hasta ahora:  

◼️ Marco Organizativo:
    ▪️ [org.2] Normativa de Seguridad

◼️ Marco Operacional:
    ▪️ [op.exp.4] Mantenimiento y actualizaciones 

◼️ Medidas de protección: 
    ▪️ [mp.if.1] Áreas separadas con control de acceso
    ▪️ [mp.if.2] Identificación de las personas
    ▪️ [mp.if.3] Acondicionamiento de los locales
    ▪️ [mp.if.4] Energía eléctrica
    ▪️ [mp.if.5] Protección frente a incendios 
    ▪️ [mp.if.6] Protección frente a inundaciones
    ▪️ [mp.if.7] Registro de entrada y salida de equipamiento
    ▪️ [mp.info.1] Datos personales
    ▪️ [mp.eq.1] Puesto de trabajo despejado 
    ▪️ [mp.eq.2] Bloqueo del puesto de trabajo
    ▪️ [mp.eq.3] Protección de dispositivos portátiles
    ▪️ [mp.si.1] Marcado de soportes 
    ▪️ [mp.si.2] Criptografía
    ▪️ [mp.si.3] Custodia 
    ▪️ [mp.si.4] Transporte
    ▪️ [mp.si.5] Borrado y destrucción

Finalmente, el cuarto punto de los controles de la norma ISO 27001, el de controles Tecnológicos, pertenece al punto 8 de la norma. En esta parte se tratan 26 controles que pretenden proteger la información y los sistemas de información mediante el uso de tecnologías y prácticas técnicas.
 
Los 26 controles se pueden resumir en:
▪️ Control de Acceso Lógico: Gestión de derechos de acceso a sistemas y aplicaciones, autenticación y autorización.
▪️ Criptografía: Uso de técnicas criptográficas para proteger la confidencialidad, integridad y autenticidad de la información.
▪️ Seguridad en las Comunicaciones: Protecciones para las redes de datos y la transferencia de información.
▪️ Seguridad en las Operaciones: Gestión de la seguridad en el uso y operación de los sistemas, incluyendo protección contra malware, copias de seguridad y gestión de vulnerabilidades.
▪️ Adquisición, Desarrollo y Mantenimiento de Sistemas: Incluir la seguridad desde el diseño hasta la implementación y el mantenimiento de los sistemas de información.

Este último punto se refleja en el ENS con las Medidas de Protección y el Marco Operacional a partes iguales:
  
◼️ Marco Operacional:
    ▪️ [op.acc.1] Identificación
    ▪️ [op.acc.2] Requisitos de acceso
    ▪️ [op.acc.3] Segregación de funciones y tareas
    ▪️ [op.acc.4] Proceso de gestión de derechos de acceso
    ▪️ [op.acc.6] Mecanismos de autenticación (usuarios de la organización)
    ▪️ [op.mon.3] Vigilancia
    ▪️ [op.exp.4] Mantenimiento y actualizaciones
    ▪️ [op.exp.2] Gestión de la Seguridad
    ▪️ [op.exp.3] Gestión de la Configuración
    ▪️ [op.exp.6] Protección frente a código dañino
    ▪️ [op.exp.8] Registro de la actividad
    ▪️ [op.exp.10] Protección de claves criptográficas
    ▪️ [op.cont.4] Medios alternativos
    ▪️ [op.pl.2] Arquitectura de Seguridad
    ▪️ [op.pl.4] Gestión de la Capacidad
    ▪️ [op.ext.1] Contratación y acuerdos de nivel de servicio
    ▪️ [op.ext.3] Protección de la cadena de suministro
    ▪️ [op.ext.4] Interconexión de sistemas

◼️ Medidas de protección: 
    ▪️ [mp.eq.3] Protección de equipos portátiles
    ▪️ [mp.eq.4] Otros dispositivos conectados a la red 
    ▪️ [mp.si.2] Criptografía
    ▪️ [mp.si.5] Borrado y destrucción
    ▪️ [mp.info.1] Datos personales
    ▪️ [mp.info.3] Firma electrónica
    ▪️ [mp.info.4] Sellos de tiempo
    ▪️ [mp.info.6] Copias de seguridad
    ▪️ [mp.com.1] Perímetro seguro
    ▪️ [mp.com.2] Protección de la confidencialidad
    ▪️ [mp.com.3] Protección Integridad/Autenticidad
    ▪️ [mp.com.4] Separación de flujos de información en la red
    ▪️ [mp.s.2] Protección de servicios y aplicaciones web
    ▪️ [mp.s.3] Protección de la navegación Web
    ▪️ [mp.s.4] Protección frente a DoS
    ▪️ [mp.sw.1] Desarrollo de aplicaciones
    ▪️ [mp.sw.2] Aceptación y puesta en servicio

De esta manera, podemos ver los controles del ENS que son cubiertos por la ISO 27001 en la siguiente tabla, en color amarillo los del punto 5, en color azul los del punto 6, en color verde los del punto 7 y en color lila los del punto 8:

Como se pude observar en la tabla, hay algunos controles que no son cubiertos por ningún punto de la norma ISO 27001. Estos son:

▪️ [op.pl.5] Componentes certificados
▪️ [op.acc.5] Mecanismo de autenticación (usuarios externos)
▪️ [op.exp.5] Gestión de cambios
▪️ [op.mon.1] Detección de intrusión
▪️ [op.mon.2] Sistema de métricas
▪️ [mp.info.5] Limpieza de documentos

Vemos que el control op.pl.1 de análisis de riesgos tampoco está subrayado, pero esto no quiere decir que no esté cubierto por la ISO 27001, sino que excepcionalmente, en vez de indicarse como un control específico de cumplimiento, se indica como requisito cuando se habla del Sistema de Gestión de Seguridad de la Información. 

Por lo tanto, se resume la diferencia de cobertura de ambos estándares en 6 controles de los cuales, todos son exigidos para todas las categorías, menos el op.pl.5 y el op.exp.5 que se exigen a partir de una categoría media. Recordemos que estos controles son obligatorios para el ENS, pero opcionales para la ISO, con lo que se hace mucho más sencillo poder obtener una certificación del ENS desde una implementación basada en la ISO y viceversa. 

Sabiendo esto, considero que no se debería descartar tener implementados ambas normativas, puesto que sus semblanzas proporcionan una enorme ventaja a la hora de construir un sistema que soporte ambos estándares, y el hecho de garantizar seguridad desde las dos partes no solamente asegura una protección mayor, sino que abre un abanico de posibilidades a la hora de establecer relaciones contractuales.

Referencias
📑 Guía de Seguridad de las TIC CCN-STIC 825, Anexo Independiente Mapeo entre la Norma ISO 27001:2022 y el RD 311/2022 (ENS).
📑 Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
📑 Norma ISO/IEC 27001:2022.