Auditoria ENS – Esquema Nacional de Seguretat

Per què la nostra auditoria ENS?

Entén el valor diferencial del nostre procés d’auditoria i com assegurem la integritat dels teus sistemes d’informació:

Experiència específica en l'Esquema Nacional de Seguretat

No només coneixem la norma, l’apliquem. Comptem amb una trajectòria sòlida ajudant organitzacions a complir amb l’Esquema Nacional de Seguretat, a més d’altres certificacions com la ISO 27001 de seguretat de la informació, la ISO 9001 de gestió de qualitat, la ISO 14001 de gestió ambiental, la ISO 45001 de seguretat i salut en el treball, i altres normes ISO.

Comptem amb un equip de professionals certificats que aporten una visió objectiva i tècnica. La nostra independència garanteix un diagnòstic real del teu estat de seguretat, identificant bretxes que altres podrien passar per alt, gràcies al fet que comptem amb treballadors certificats en auditoria interna.

Ens adaptem a les seves necessitats i context. Treballem amb vostè des del principi per assolir la certificació ENS; un treballador extern al projecte realitzarà una auditoria interna, per després ser capaços de superar l’auditoria de certificació.

Aquest enfocament integral assegura que tots els dominis de seguretat de l’ENS Espanya estiguin coberts, reduint riscos i enfortint la teva resiliència.

Els nostres informes són documents estratègics redactats en un llenguatge clar, que inclouen una anàlisi de deficiències detallada i recomanacions pràctiques per a la millora. És un full de ruta dissenyat per facilitar la presa de decisions i agilitzar el camí cap a l’obtenció o renovació del certificat.

Requisits en l'auditoria de l'Esquema Nacional de Seguretat

L’auditoria de l’Esquema Nacional de Seguretat (ENS), regulada pel Reial Decret 311/2022, no es limita a un repàs tècnic; és una avaluació exhaustiva de com la teva organització protegeix la informació i els serveis públics.

Requisits de Compliment
Per superar amb èxit l’auditoria, la teva organització ha de demostrar una estructura sòlida basada en el Reial Decret 311/2022.
 
  • Categorització del Sistema: Has d’haver classificat els teus sistemes en nivells Bàsic, Mitjà o Alt basant-te en la valoració de les dimensions de seguretat (Confidencialitat, Integritat, Disponibilitat, Autenticitat i Traçabilitat).
  • Anàlisi de Riscos: És el pilar del certificat ENS. L’auditor verificarà que l’anàlisi estigui actualitzada i que les mesures de seguretat triades mitiguin els riscos identificats de forma efectiva.
  • Declaració d’Aplicabilitat (SoA): Un document formal que enumera quines mesures de l’Annex II del RD són aplicables i com s’estan complint.
El procés segueix les directrius de la Guia CCN-STIC 802 i se centra en tres marcs:
 
  • Marc Organitzatiu: Es valora l’existència d’una Política de Seguretat aprovada, l’assignació clara de rols (Responsable d’Informació, de Servei i de Seguretat) i la formació contínua del personal.
  • Marc Operacional: L’auditor revisarà processos crítics com la planificació, el control d’accessos, la gestió d’incidents i la continuïtat del negoci.
  • Mesures de Seguretat (Tècniques): Verificació de la protecció de les instal·lacions, perímetres, suports d’informació i les comunicacions. S’avalua si el programari i el maquinari estan configurats de forma segura.
El certificat ENS Espanya s’adapta a la criticitat de la teva informació mitjançant tres nivells de maduresa. Segons la sensibilitat de les dades que gestionis, els requisits d’auditoria varien:
 
  • Nivell Bàsic: Es permet l’autoavaluació o una declaració de conformitat, tot i que moltes empreses opten per auditories externes per a una major garantia.
  • Nivell Mitjà i Alt: L’auditoria externa per una entitat acreditada per l’ENAC és obligatòria cada dos anys per mantenir el certificat.

FAQs Auditoria ENS

Com es relaciona l'Esquema Nacional de Seguretat amb la ISO 27001?

La relació principal és que la ISO 27001 cobreix molts dels requisits de la certificació ENS. Si la teva empresa ja està certificada en ISO 27001, ja tens gran part del camí recorregut, i només necessitarem implementar els controls específics i l’estructura de rols que exigeix la normativa espanyola per obtenir el certificat ENS Espanya.

La certificació no és opcional per a totes aquelles entitats que interactuen amb l’Administració Pública. S’han de certificar:
 
  1. Tot el Sector Públic espanyol: Administracions estatals, autonòmiques i locals.
  2. Proveïdors tecnològics del Sector Públic: Empreses privades que prestin serveis d’IT, hosting, desenvolupament de programari o suport a entitats públiques (segons l’Article 2 del RD 311/2022).
  3. Empreses que participen en Licitacions Públiques: Cada vegada és més freqüent que els plecs de contractació exigeixin el Certificat ENS com a requisit imprescindible per poder presentar una oferta.