El pasado 3 de mayo de 2022 se aprobó el RD 311/2022, que conocemos como el “nuevo ENS”, y en el mes de noviembre se ha publicado la Guía de Seguridad CCN-STIC CCN-CERT IC-01/19 denominada ENS: Criterios Generales de Auditoría y Certificación, que plantea las pautas para su realización, y entre las cuales nos parece interesante destacar las siguientes:

Comparte

Auditorías internas

Esta es quizás la novedad más importante, y por ello, aunque se encuentra al final de la guía, la referimos al comienzo de este artículo.

Aunque no está así indicado en el Real Decreto 311/2022, de 3 de mayo, la guía establece claramente que es imperativo realizar auditorías internas anuales de seguimiento de las medidas de seguridad del Anexo II del ENS implantadas.

Su ausencia debe ser tipificada como una No Conformidad Mayor no subsanable en el caso de sistemas de información de categoría MEDIA o ALTA, lo que provocaría que el dictamen sea DESFAVORABLE.

Al realizarse dentro de cada año natural que media entre dos auditorías de certificación, cada una de tales auditorías podría contemplar la evaluación de la mitad de los requisitos exigibles. Su resultado, así como el posible Plan de Acciones Correctivas, debe quedar documentado y registrado.

Certificación de servicios en la nube

Aunque era algo que ya veníamos realizando, la guía establece que los certificados deben expresar la ubicación (ciudad, región y país) de los CPD en los que se soportan dichos servicios, junto con una mención sobre los que hayan sido objeto de evaluación directa por parte de la Entidad de Certificación.

Obviamente, este requisito resulta de particular relevancia para conocer el alcance de la certificación de los servicios prestados, por ejemplo, por los grandes hiper-escalares.

Empleo de las Guías CCN-STIC

Estas guías, particularmente la serie 800, deben ser conocidas y formar parte del conjunto documental utilizado para la realización de las auditorías de seguridad, con la consideración de “mejores prácticas”.

Por tanto, no tratándose exactamente de normas imperativas, su cumplimiento no resulta obligatorio, aunque su inobservancia, caso de producirse algún incidente que pueda poner en riesgo la seguridad de los sistemas de información concernidos, podría derivar en responsabilidad.

Tal inobservancia podría ser calificada por el Equipo Auditor como una Observación, No Conformidad Menor o No Conformidad Mayor, atendiendo al impacto que su incumplimiento pudiera tener en la seguridad del sistema de información.

Planes de acciones correctivas

No siendo novedad, nos parece relevante hacer una mención específica.

Cuando la auditoría finaliza con un dictamen Favorable con No Conformidades, es necesario presentar un Plan de Acciones Correctivas, y el auditor debe verificar que todas las No Conformidades (mayores o menores) se han corregido.

No obstante, en caso de que la entidad auditada precise de un tiempo para la implantación de unas acciones correctivas que ataquen a la causa del problema, deberá demostrar que se han establecido acciones de remedio para el problema detectado y que el Plan de Acciones Correctivas contiene una planificación concreta de acciones precisas que, en el tiempo adecuado y razonable en función de las no conformidades detectadas y su tipificación, traten y resuelvan las causas de las desviaciones halladas.

En caso de que el despliegue de las correcciones a lo largo de todos los sistemas requiera un plazo superior a tres meses, y solamente para sistemas de categorías Básica o Media, se podrá optar a una Aprobación Provisional de Conformidad (APC), hasta la total implantación de las mismas.

Contenido del certificado

Cualquier servicio que no se encuentre explícitamente reseñado en la correspondiente Certificación de Conformidad se entenderá que no está amparado por ella. Cuando el alcance de la Certificación de Conformidad con el ENS comprenda sistemas de información utilizados para la prestación de servicios comercializados bajo signos distintivos (marcas y nombres comerciales), la denominación de tales signos deberá figurar, explícitamente, en la Certificación de Conformidad.

Esta condición tampoco es novedosa, pero queremos destacarla por el posible impacto que pueda tener a la hora de optar a prestar servicios en una entidad del Sector Público. Es importante tenerlo en cuenta desde el principio, a fin de que quede correctamente reseñado tanto en la propuesta de certificación, como en el informe de auditoría.

Como indicamos al principio, estas pueden ser las condiciones más destacables. Otra relevante puede ser el aumento en media jornada de los tiempos mínimos establecidos para la realización de las auditorías. En todo caso, el documento completo está disponible en este este enlace.

All you need is LEET!

Recibe nuestras notificaciones desde este enlace