Auditoría & Co

Cuando una entidad planifica su estrategia para gestionar los riesgos vinculados a sus activos de información, se enfrenta a un dilema decisivo que definirá el curso de sus actividades de protección: ¿Qué marco de referencia debe emplear para la gestión de riesgos de seguridad? Los marcos de la ISO 27001, NIST o COBIT son mundialmente reconocidos y utilizados por entidades de todos los sectores y todos los tamaños, pero en los últimos años se está abriendo paso el Esquema Nacional de Seguridad como marco de control de seguridad de referencia para las entidades públicas y privadas españolas.

¿Por qué el ENS está teniendo tanto tirón? ¿Qué valor aporta certificar con el ENS? Existen varias razones por las que el Esquema Nacional de Seguridad se está utilizando e implementando tanto en entidades públicas como privadas. El principal motivo es que el Esquema Nacional de Seguridad es un requerimiento legal de obligado cumplimiento para la Administración Pública y aquellas entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, como por ejemplo RENFE o AENA. Asimismo, a través de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, se obliga a los operadores del sector privado que presten servicios o provean soluciones a las entidades públicas a cumplir también con el ENS. Con lo que, desde la pyme que ha desarrollado una aplicación para un organismo público hasta los gigantes mundiales de servicios Cloud, todos sin excepción tienen que adaptar sus procesos a este nuevo Marco de Seguridad. De hecho, este requisito ya se está materializando en los pliegos de condiciones para los concursos públicos donde se solicitan los correspondientes Certificados de Conformidad como condición ineludible de contratación.

Por otra parte, al ser considerado como el Marco de Seguridad de referencia de la Administración Pública española, su aplicación se está promocionando para cubrir otros requerimientos regulatorios como es el caso de la Ley de Protección de Datos. En este sentido, la nueva LOPD en su disposición primera establece el Esquema Nacional de Seguridad como el elemento idóneo para garantizar las medidas de seguridad técnicas y organizativas que exige el RGPD en el ámbito del sector público y en las empresas vinculadas al mismo sujetas al derecho privado. Esto significa que la Agencia Española de Protección de Datos, considera adecuado el marco de control de seguridad del ENS para aplicar a los tratamientos de datos de carácter personal. Así pues, no se obliga a aplicar este marco de control, pero sí se otorga una legitimidad irrefutable al Esquema Nacional de Seguridad.

Por lo tanto, vemos como el Certificado de conformidad con los requerimientos del ENS se está convirtiendo más en una necesidad que en una opción. A continuación enumeramos los beneficios que dicha Certificación de Conformidad aporta a una entidad privada:

  • Cumplir con un requerimiento legal si se ofrece servicios a la Administración Pública.
  • Dar confianza a las Administraciones Públicas y entidades del sector privado de que los servicios prestados son seguros.
  • Poder optar a concursos públicos.
  • Ventaja competitiva y diferencial respecto a otros proveedores.
  • Cumplir con otras disposiciones legales con la LOPD-GDD.

Para obtener la certificación ENS, una organización necesita cumplir unas exhaustivas especificaciones que marca el Centro Criptológico Nacional (CCN), estas medidas de seguridad se agrupan en tres niveles distintos:

  1. Organizativo: en este grupo se recogen las políticas, normativas, procedimientos y procesos.
  2. Operacional: este orden hace referencia a la planificación, controles, continuidad y monitorización de la seguridad.
  3. Activos: a nivel de activos, la seguridad se garantiza con medidas de protección concretas, para instalaciones e infraestructuras, equipos, comunicaciones, aplicaciones, soportes, servicios y datos.

La certificación de la conformidad con el Esquema Nacional de Seguridad se realiza mediante un procedimiento de auditoría formal que verifica el cumplimiento de los requerimientos contemplados en el Esquema. Dicha auditoría tiene que ser realizada, al menos cada dos años, por una entidad de certificación acreditada, como es BDO Auditores, S.L.P. BDO pone a disposición de las entidades un proceso de certificación experto, especializado e independiente para transmitir la máxima confianza frente a terceros.

En definitiva, pese a que el objetivo inicial del ENS era su adopción por la Administración Pública española, su Marco de Control de Seguridad empieza a verse como una base de referencia para ser utilizada por cualquier empresa, independientemente de su sector o tamaño. El Esquema Nacional de Seguridad se ha convertido en el estándar de seguridad de la Administración Pública y en un estándar de referencia para el sector privado español, así como en un estándar de ciberseguridad muy valorado y respetado a nivel internacional.


Roger Pérez

Gerente en el área de Risk Advisory