El Esquema Nacional de Seguridad actualiza sus criterios de auditoría ENS con novedades significativas, incluyendo la eliminación de la obligatoriedad de auditorías internas anuales.
El ENS (Esquema Nacional de Seguridad) ha dado un paso importante en la actualización de su marco normativo con la publicación de una nueva versión de la Guía CCN-CERT IC-01/19 de Criterios Generales de Auditoría y Certificación. Esta actualización, que ya ha entrado en vigor, introduce cambios relevantes que afectan directamente a las Entidades de Certificación del ENS y a los Órganos de Auditoría Técnica del Sector Público en todo el territorio nacional.
La guía, disponible en el Portal del ENS, recoge los acuerdos alcanzados durante la vigésimo segunda reunión del Comité de Certificación del ENS (CoCENS), el órgano colegiado responsable de establecer los criterios que rigen los procesos de certificación en materia de seguridad de la información dentro del ámbito de aplicación del Esquema Nacional de Seguridad.
Principales novedades de la actualización del ENS
Eliminación de la obligatoriedad de auditorías internas anuales
Sin duda, el cambio más significativo de esta nueva versión es la supresión de la obligatoriedad de las auditorías internas anuales. Esta decisión responde al principio de proporcionalidad que debe regir las medidas de seguridad, permitiendo un ajuste más adecuado entre los recursos disponibles y las exigencias de cumplimiento.
Esta modificación supone un alivio considerable para muchas organizaciones que, hasta ahora, debían destinar recursos significativos a la realización de auditorías internas con carácter anual. A partir de ahora, las entidades podrán planificar sus procesos de verificación interna de manera más flexible, siempre dentro del marco de cumplimiento establecido por el ENS.
El CCN-CERT ha anunciado que procederá a modificar las guías CCN-STIC afectadas por este cambio, garantizando así la coherencia del cuerpo documental que sustenta el Esquema Nacional de Seguridad.
Clarificación sobre fechas y plazos del Certificado de Conformidad
La nueva guía aporta mayor claridad respecto a las fechas del Certificado de Conformidad y las auditorías extraordinarias. Además, se incluyen orientaciones específicas para el cálculo de plazos, un aspecto que había generado dudas en anteriores versiones y que ahora queda mejor definido.
Esta clarificación resulta especialmente útil para las entidades que se encuentran en proceso de certificación o renovación, ya que les permite planificar con mayor precisión sus calendarios de auditoría y cumplimiento.
Actualización del Anexo A: Perfiles de Cumplimiento Específicos
El Anexo A de la guía ha sido actualizado conforme a lo acordado en la última reunión del CoCENS, incorporando ahora la referencia a los Perfiles de Cumplimiento Específicos. Esta actualización representa un avance en la especialización del marco de certificación del ENS, permitiendo adaptar los requisitos a diferentes contextos y tipos de servicios.
No obstante, es importante señalar que todavía no es posible emplear determinados perfiles específicos. En concreto, la CCN-STIC 896 (Perfil de Cumplimiento Específico para Servicios Gestionados) y la CCN-STIC 890 (Requisitos Fundamentales de Seguridad) permanecen pendientes de activación hasta que se determinen los requisitos correspondientes mediante el comunicado oficial pertinente.
¿Qué implica esta actualización para las organizaciones certificadas en ENS?
Las organizaciones que ya cuentan con certificación ENS o que se encuentran en proceso de obtenerla deben prestar especial atención a estos cambios. La eliminación de la obligatoriedad de auditorías internas anuales no significa que estas dejen de ser recomendables; simplemente, se flexibiliza su periodicidad atendiendo al principio de proporcionalidad.
Las entidades deberán revisar sus procedimientos internos y, en su caso, adaptar sus planes de auditoría a las nuevas disposiciones. Es recomendable que los responsables de seguridad de la información consulten la guía actualizada en el Portal del ENS para asegurarse de que comprenden el alcance de los cambios y pueden implementarlos correctamente.
El papel del CoCENS en la evolución del Esquema Nacional de Seguridad
El Comité de Certificación del ENS (CoCENS) desempeña un papel fundamental en la actualización y mejora continua del marco de certificación. Este órgano, compuesto por representantes de las Entidades de Certificación acreditadas y del CCN-CERT, se reúne periódicamente para analizar el estado de situación del parque de sistemas de información y proponer las adaptaciones necesarias.
La vigésimo segunda reunión del CoCENS, cuyos acuerdos se reflejan en esta nueva versión de la guía, demuestra el compromiso del Esquema Nacional de Seguridad con la mejora continua y la adaptación a las necesidades reales del sector público español.
Importancia del ENS en la ciberseguridad del sector público
El ENS constituye el pilar fundamental de la política de seguridad de la información en el sector público español. Establecido mediante Real Decreto, tiene como objetivo crear las condiciones necesarias de confianza en el uso de los medios electrónicos, garantizando la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos.
La certificación ENS acredita que una organización cumple con los requisitos de seguridad establecidos en el Esquema, lo que resulta especialmente relevante para aquellas entidades que prestan servicios a las Administraciones Públicas o que manejan información sensible.
Servicios de consultoría y certificación ENS en Castellón
Para las organizaciones ubicadas en la provincia de Castellón que necesiten orientación sobre cómo adaptarse a estos cambios, existen diversas opciones de asesoramiento especializado. La consultoría ENS Castellón se ha convertido en un servicio cada vez más demandado por empresas y entidades que buscan alcanzar o mantener su certificación conforme al Esquema Nacional de Seguridad.
Los profesionales especializados en ENS Castellón pueden ayudar a las organizaciones a interpretar correctamente los nuevos criterios de auditoría, a planificar sus procesos de certificación y a implementar las medidas de seguridad requeridas de manera eficiente y proporcionada.
Próximos pasos y recomendaciones
Las organizaciones afectadas por esta actualización deberían:
- Consultar la guía actualizada en el Portal del ENS para conocer en detalle todos los cambios introducidos.
- Revisar sus planes de auditoría interna a la luz de la nueva flexibilización.
- Actualizar sus procedimientos de gestión de la seguridad conforme a las nuevas orientaciones.
- Estar atentos a futuros comunicados del CCN-CERT, especialmente en lo relativo a la activación de los Perfiles de Cumplimiento Específicos pendientes.
- Consultar con especialistas en ENS si existen dudas sobre la interpretación o aplicación de los nuevos criterios.
La actualización de la Guía CCN-CERT IC-01/19 refleja el compromiso del ENS con la mejora continua y la adaptación de sus requisitos a la realidad del sector público español. Las organizaciones que se mantengan informadas y adapten sus procesos a estos cambios estarán mejor posicionadas para garantizar la seguridad de sus sistemas de información y cumplir con las exigencias del Esquema Nacional de Seguridad.
