AUDITORIA ESQUEMA NACIONAL DE SEGURIDAD

Auditoria Esquema Nacional de Seguridad ENS

AUDITORIA ESQUEMA NACIONAL DE SEGURIDAD

En este post quería comentar la última adecuación al Esquema Nacional de Seguridad ENS en una empresa que licita servicios de información en algunas comunidades autónomas. En este caso quería comentar el alcance y la motivación del proyecto que he realizad. Para ello muchas empresas contratan mis servicios de Auditoria esquema nacional de seguridad.

AUDITORIA ESQUEMA NACIONAL DE SEGURIDAD ENS

Como auditor CISA y con decenas de auditorias ISO27001, la auditoria ENS es una colaboracion natural puesto que podemos afirmar que existe una relación directa entre ISO27001 y el ENS. El ENS es demandado, generalmente, por administraciones o empresas que proveen servicios a las mismas servicios susceptibles de obtener el Certificado de Conformidad. En este último caso de éxito mi labor ha consistido en ayudar a mi cliente a implantar medidas para lograr la conformidad con el Esquema Nacional de Seguridad en sus sistemas. En siguientes años realizaremos realizaremos auditorías periódicas o extraordinarias.

Para la norma ISO 27001 existen tres dimensiones de la seguridad, que son:

Confidencialidad, que preserva la información de modo que únicamente sea accesible o conocida por quien tiene autorización para hacerlo.

Integridad, que preserva la información de modo que únicamente sea alterada por quien tiene autorización para hacerlo. Un caso extremo, es la supresión de la información.

Disponibilidad, que garantiza que la información sea accesible durante el período acordado, normalmente mediante un acuerdo de nivel de servicio (SLA/ANS). Habitualmente es una dimensión asociada a los servicios que tratan la información.

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos:

  • Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Establecer la política de seguridad en el manejo de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios fundamentales y los requisitos mínimos para una protección adecuada de la información.
  • Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
  • Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de las exigencias de seguridad de la información a la Industria.
  • Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
  • Facilitar un tratamiento continuado de la seguridad.

El Esquema Nacional de Seguridad añade a estas tres, dos dimensiones adicionales:

Autenticidad, que garantiza que quien realiza un trámite sea realmente quien dice ser o, desde el punto de vista de la información, garantizar que ésta sea auténtica.

Trazabilidad, que asegura que se registren todos los trámites realizados, con indicación de quién los hizo y en qué momento preciso o, desde el punto de vista de la información, posibilitar la comprobación a posteriori de quién la ha accedido, o modificado, y cuando.

Como auditor CISA (Certified Information System Auditor) quisiera comentar algunos pasos básicos en el proceso de certificación ENS de una organización. Para ello destacaría los siguientes:

  • Preparación y aprobación de la política de seguridad.
  • Categorizar los sistemas según la información manejada y los servicios prestados.
  • Realizar el análisis de riesgos.
  • Preparar la Declaración de Aplicabilidad, un resumen de las medidas del Anexo II del ENS que son aplicables.
  • Elaborar un plan de adecuación para la mejora de la seguridad sobre las deficiencias detectadas, incluyendo plazos estimados de ejecución.
  • Implantar, operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad.
  • Auditar la seguridad.
  • Informar sobre el estado de la seguridad

Auditoria Esquema Nacional de Seguridad ENSDependiendo del nivel de los sistemas de información que maneja la organización sean básicos (cuando un incidente no tendría consecuencias relevantes para la seguridad de la información o de los servicios) o medios/altos el proceso es diferente.

En el caso que los sistemas entren en la categoría de básicos, como en caso de éxito que comento, la conformidad con el ENS se declaró mediante procedimientos internos. En primer lugar, hay que realizar una auditoría interna, llamada autoevaluación cada dos años o cuando haya cambios relevantes en los sistemas.

Auditoria Esquema Nacional de Seguridad ENS

Se debe declarar la conformidad en sistemas de categoría BÁSICA, elaborando y publicando en formato electrónico un documento llamado Declaración de Conformidad, donde se listan los sistemas y servicios prestados que son conformes con el ENS, así como redactar y publicar un segundo documento llamado Distintivo de Declaración de Conformidad, que es un documento que acredita que se ha realizado la Declaración de Conformidad.

Conclusión

Como auditor CISA siempre recomiendo las siguientes fases:

  1. Auditoria inicial, identificando NO conformidades y recomendando un plan de acción.
  2. Acompañamos en modalidad Consultoria la subsanación de las no conformidades que ayuden al cliente a la implantación del ENS en sus sistemas, ayudándole a definir la política de seguridad, la categorización de sistemas, el análisis de riesgos, la Declaración de Aplicabilidad y elaboro el plan de adecuación.
  3. Pre-auditoria. Donde verifico que todas las NO conformidades y recomendaciones se han realizado.
  4. Auditoria final y elaboración de la documentación requerida.
  5. Acompañamiento continúo al negocio para evitar que aparezcan o se implementen NO conformidades.

Si esta interesado contacte a través de este formulario.

Luis Vilanova Blanco.

Auditor ISO27001, Auditor ENS, Máster en ciberseguridad por Deloitte y CISA por ISACA.

606954593