Las empresas que deseen trabajar con la Administración Pública como proveedoras de servicios deben cumplir una serie de requisitos y contar con un certificado de conformidad con el Esquema Nacional de Seguridad (ENS).
En concreto, debe ser auditada conforme al marco normativo establecido por el Real Decreto 3/2010 de 8 de enero de 2010, modificado el 23 de octubre de 2015 (RD 951/2015) y su última actualización de 3 de mayo de 2022 (RD 311/2022), que tiene por objeto regular el Esquema Nacional de Seguridad (ENS).
Para conseguir dicho certificado, una empresa externa debe realizar una auditoría interna de la compañía y elaborar un informe evaluando sus medidas organizativas y de seguridad. El objetivo de la certificación se centra en entornos organizativos, informáticos y de comunicación, que dan soporte a los sistemas tecnológicos usados por la propia empresa y sus clientes y adaptadas a la legislación en vigor.
Qué se debe auditar
La auditoría se basará en diferentes puntos:
Primero, entrevistas con el personal responsable del servicio prestado y con todos los profesionales de área o departamentos de los sistemas de información.
En segundo lugar, proporcionar toda la información relativa al servicio prestado. Tercero, declaración de la metodología aplicada y establecida por la empresa. Cuarto, proporcionar la documentación de los procedimientos y mecanismos de seguridad implantados en la compañía, tales como políticas de seguridad, listados de configuración de los sistemas y listados de perfiles de acceso. Quinto, realización de pruebas de verificación y cumplimiento de las medidas de seguridad implantadas por la empresa con relación al reglamento ENS.
Las fases de la certificación de conformidad
La certificación de conformidad requiere cuatro fases:
- Planificación: Definición del equipo de trabajo de ambas compañías. Solicitud de información de los sistemas utilizados. Planificación inicial y calendario de reuniones y acciones. Inicio y lanzamiento.
- Auditoría: Análisis de la situación actual de la compañía. Auditoría de la metodología y los controles internos. Elaboración del informe final.
- Evaluación: Revisión del informe de auditoría. Aplicación de revisión del plan de acciones correctivas del auditado.
- Dictamen: Resultado final y entrega del certificado (en su caso).
El equipo para la realización del trabajo estará formado por un auditor técnico con experiencia en seguridad de la información y en el Esquema Nacional de Seguridad, y un auditor jefe, especialista en Sistemas de Información, auditorías informáticas y seguridad de la información, trabajos de cumplimiento normativo y revisiones del ENS.
La empresa auditora emitirá un informe de auditoría para el “sistema” conforme a lo establecido en la normativa y el certificado de cumplimiento, con el contenido y las conclusiones contrastadas con los diferentes responsables.
El informe de auditoría
El informe de auditoría incluirá lo siguiente:
- Una sección de alcance, detallando su extensión y limitaciones, así como el objetivo de la auditoría, con la debida identificación del sistema o sistemas auditados.
- Descripción del proceso metodológico aplicado para realizar la auditoría.
- Identificación de la documentación revisada.
- Indicación de si ha habido alguna limitación en la realización de la auditoría, que impida al equipo auditor formarse una opinión sobre determinados criterios de la auditoría, incluidas las medidas de seguridad.
- Un apartado de informe ejecutivo resumiendo los puntos fuertes y las debilidades.
- Resumen de las No conformidades y Observaciones.
- Y un resumen general del grado de cumplimiento.
En caso de conclusión favorable, la empresa auditora emitirá el “Certificado de conformidad con el Esquema Nacional de Seguridad”. Éste incluirá:
- Nombre, datos y logo de la empresa auditora.
- Número de certificado.
- Descripción explicativa y alcance de la certificación.
- Fecha inicial de la certificación de conformidad.
- Fecha de renovación del certificado de conformidad.
- Firma y fecha del certificado.
Finalización: La mayoría de las auditorías de este estilo requieren un calendario de trabajo. Se estima su finalización aproximadamente en dos semanas para poder realizar las pruebas pertinentes.
La duración está calculada considerando la disponibilidad y entrega de documentación necesaria por parte de la empresa auditada; la colaboración de los responsables internos del proyecto y de los interlocutores para realizar las entrevistas correspondientes. También dependerá de la accesibilidad de la compañía a la documentación, información y sistemas.
Dictamen final de la auditoría realizada
El dictamen final del informe de Auditoría será uno de los tres siguientes:
- FAVORABLE: cuando no se evidencie ninguna “No conformidad mayor” o “No conformidad menor”.
- FAVORABLE CON NO CONFORMIDADES: cuando se evidencien “No conformidades menores” y/o “No conformidades mayores”. En este caso, la empresa deberá presentar, en el plazo máximo de un mes, un Plan de Acciones Correctivas (PAC).
- DESFAVORABLE: cuando exista un número significativo de No conformidades mayores cuya solución no pueda evidenciarse a través de un Plan de Acciones Correctivas y requiera la comprobación in-situ de su correcta implantación a través de una auditoría extraordinaria.
Clasificación de las No conformidades y las Observaciones
El equipo auditor clasifica las desviaciones en No conformidades y Observaciones de acuerdo con los siguientes criterios:
Se documentará una “No conformidad menor” ante la ausencia o el error en la implantación o mantenimiento de uno o más de los requisitos del ENS, incluyendo cualquier situación que pudiese, en base a una evidencia objetiva, sustentar una duda significativa sobre la conformidad del sistema de información con uno o más de tales requisitos.
El resultado será una “No conformidad mayor” cuando se detecten “No conformidades menores” en relación con cualquiera de los preceptos contenidos en el RD 3/2010 o en el marco organizativo, o en alguno de los subgrupos que integran el Marco operacional o las Medidas de protección (Planificación, Control de Accesos, Explotación, Servicios Externos, Continuidad del Servicio, Monitorización del Sistema, Protección de las Infraestructuras, Gestión del Personal, Protección de Equipos, Comunicaciones, Soportes de Información, Aplicaciones Informáticas, Información o Servicios) que, evaluadas en su conjunto, puedan implicar el incumplimiento del objetivo.
Se documentará una Observación cuando se encuentren evidencias de una debilidad, una vulnerabilidad o una situación que, sin comprometer cualquier área del sistema de gestión definida en el ENS o por la empresa, pueda, en la actualidad o en el futuro, derivar en un problema.
Cuándo se concede el Certificado de conformidad con el ENS
La Certificación de Conformidad con el ENS únicamente podrá expedirse si el dictamen del informe de auditoría fuera “FAVORABLE” o, si habiendo sido “FAVORABLE CON NO CONFORMIDADES”, el Plan de Acciones Correctivas presentado por la entidad titular del sistema de información, trata y resuelve las desviaciones evidenciadas.
Concesión: La empresa auditora emitirá un Certificado válido a la compañía certificada, en el que se detalla el alcance y las fechas de la certificación. Con el Certificado se otorgará la licencia para usar la marca correspondiente. En ningún caso, esta licencia puede ser empleada ni transferida a otra compañía.
Durante el mantenimiento o renovación de la certificación, la empresa puede solicitar la modificación del alcance, actividades y ubicaciones.
Suspensión: La política para la suspensión de la certificación es la siguiente:
Se suspenderán, por un período máximo de seis meses, las certificaciones en los siguientes casos:
- Cuando los servicios en el alcance de la certificación de la empresa hayan dejado de cumplir de forma persistente o grave los requisitos de la certificación del Esquema Nacional de Seguridad.
- Cuando la empresa certificada no permita la realización de las auditorías de renovación de la certificación de acuerdo con la periodicidad requerida.
- Cuando la compañía pida voluntariamente una suspensión.
Imagen de Freepik