Somos consultores del ENS y trabajamos el Real Decreto 311/2022 para adaptarlo a los procesos y sistemas de las organizaciones para superar la auditoría externa con éxito.
En este post te voy a explicar cómo llevamos a cabo nuestro proceso de consultoría en ENS, concretamente:
- Cómo estudiamos la situación actual de una organización que quiere cumplir con el ENS.
- Cómo realizamos el análisis GAP entre los requisitos del ENS y los controles y procesos de la organización.
- Nuestra metodología para implantar los requisitos del ENS en los procesos y sistemas de la organización.
Contents
Cómo ayudamos como consultores ENS a nuestro cliente
Sabemos que las organizaciones que necesitan ayuda para cumplir con el Esquema Nacional de Seguridad no tienen suficiente tiempo ni conocimientos acerca de lo que hay que hacer y cómo hacerlo.
Por eso nosotros en IVE Consultores no encargamos de:
- Identificar el alcance que tendrá el cumplimiento del ENS.
- Estudiar la situación actual para confirmar la categoría de los sistemas de información.
- Realizar un análisis GAP inicial entre los procesos, documentación y herramientas que usa la organización y los requisitos del ENS.
- Redactar las políticas y procedimientos de trabajo que darán cumplimiento a los requisitos de la ENS.
- Asesorar a la organización de posibles herramientas y tecnología que deba usar para cumplir con el ENS.
Todo ello lo conseguimos mediante una serie de reuniones de trabajo con la organización optimizadas para que el proceso de implantación de los requisitos sea de la forma más eficiente posible.
Estudio situación actual (confirmación categoría del sistema de información).
En esta primera fase, desde nuestro proceso de consultoría ENS nos centramos en identificar la situación actual. Esto es:
- Identificar el objetivo y para qué cumplir el ENS.
- Identificar el alcance que tendrá el cumplimiento del ENS, es decir, cuáles serán las actividades de la organización que tienen como soporte los sistemas de información que deben cumplir con el ENS.
- Confirmar cuál es la categoría del sistema de información que tendrá el cumplimiento de la ENS.
La parte más importante es confirmar que el nivel de categoría que tiene el sistema de información es congruente con el nivel de categoría que está solicitando cumplir la organización.
Para ello hay que saber como identificar la categoría del esquema nacional de seguridad .
Como consultores de ENS, nosotros nos encargamos de confirmar esto, identificando:
- El tipo de información que trabaja la organización para cada dimensión de seguridad (confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad).
- Identifique el nivel de seguridad para el tipo de información.
- Categorizar el sistema de información.
La categoría de seguridad del sistema de información será por tanto una de estas tres: BÁSICA, MEDIA, ALTA.
Análisis GAP como consultores ENS
Una vez conocemos el nivel de categoría del sistema de información y por tanto el nivel de categoría por el cuál se va a cumplir con el ENS, el siguiente paso es conocer cómo de lejos o de cerca está la organización de cumplir con los requisitos del ENS.
Para ello realizamos para cada una de las principales medidas de seguridad del ENS una comparación de los controles que tiene implementada la organización y cuáles son los controles que exige el ENS para la categoría seleccionada.
Con esta información tendremos un análisis GAP entre “lo requerido” y “lo que tenemos” para hacernos una idea del trabajo que llevará el trabajo del cumplimiento con el ENS.
Medidas de seguridad op.pl Planificación
Algunos de los controles y medidas de seguridad que revisaremos serán los que te cito a continuación.
Revisaremos si existe un análisis de riesgos realizado, con cuántas dimensiones se ha realizado, su resultado y el plan de tratamiento.
Solicitaremos si existe un análisis de la capacidad (de recursos humanos y de infraestructura).
Comprobaremos si existe un protocolo para la compra de componentes, y si éstos deben estar certificados (solo para categoría MEDIA y ALTA).
Medidas de seguridad op.acc Control de acceso
Entre otros controles y medidas de seguridad se revisarán los que te cito a continuación.
Nuestra labor como consultores del ENS será revisar los requisitos de acceso para los diferentes roles en la organización.
Revisaremos además si existe un procedimiento para tener redactado el cómo se gestionan los accesos.
Cómo son los mecanismos utilizados para llevar a cabo la autenticación en los sistemas de información propios y de terceros.
Medidas de seguridad op.exp Explotación
Como consultores ENS revisaremos algunos de estos controles:
– si existe inventario de activos y cómo están inventariados.
– el control de la configuración de los principales sistemas existentes.
– si existe un procedimiento escrito de control de cambios.
– el procedimiento de gestión de incidentes de seguridad de la información.
Medidas de seguridad op.ext Recursos externos
Para estas medidas de seguridad revisaremos alguno de estos controles:
- Si existe un procedimiento de contratación externa y cómo se materializa en contratos con terceros
- Si en dichos contratos existe la protección de la cadena de suministro.
Medidas de seguridad op.cont Continuidad del servicio
En estas medidas de seguridad revisaremos alguno de estos controles:
- Si existe un plan de continuidad.
- El simulacro de continuidad realizado.
Medidas de seguridad mp.if Protección de las instalaciones e infraestructuras
Como consultores en ENS revisaremos alguno de estos controles:
- El proceso para realizar una gestion de identidades
- Protección frente a amenazas externas de locales (fuego, electricidad, etc).
Y así continuaremos con el resto de medidas de protección y de explotación que están descritas en el Anexo II del Esquema Nacional de Seguridad.
Proceso de implantación de requisitos en los sistemas de información.
Conociendo cuál es el GAP entre “lo requerido” y “lo que tenemos”, comienza el trabajo del consultor en ENS.
En esta fase es donde nos encargamos de:
- Si no existen, se redactan políticas y procedimientos de trabajo necesarios.
- Adaptar políticas y procedimientos de trabajo existentes.
- Preparar registros que sirvan como evidencia del cumplimiento del ENS.
- Asesorar a la organización en la utilización de herramientas determinadas
- Planificar la auditoría interna para el cumplimiento del ENS.
Auditoría interna como consultores en ENS.
Representa la última fase antes de que los organismos certificadores realicen la auditoría para comprobar el cumplimiento del ENS.
En esta auditoría nosotros como consultores ENS realizamos una revisión de todas las de seguridad contenidas en el Anexo II del Real Decreto 311/2022 para verificar el cumplimiento del nivel de categoría que se haya designado previamente (BÁSICA, MEDIA, ALTA).
Entregamos un informe final con los detalles de todo lo que auditamos:
- Evidencias de todas las medidas de seguridad vistas y aprobadas.
- Evidencias de los hallazgos que identificamos con desviaciones y por lo tanto se deben solucionar.
Para cada una de las desviaciones comentamos a la organización qué debería hacer para cumplir con los requisitos de la medida de seguridad.
Si necesitas cumplir con ENS, nosotros podemos ayudarte.
Fecha : 2 de junio de 2025
Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022
Fuente imagen principal: Freepik
- Licenciado en Administración y Dirección de Empresas,
- Colegiado nº1498 por el colegio de economistas de Las Palmas de Gran Canaria,
- IRCA Certified ISO 9001 Lead Auditor con nº ENR-00555531
- Experto en Customer Experience Management
En mi web podrás encontrar información gratuita de mucho valor que comparto para mejorar la gestión de las empresas.
También encontrarás otros recursos como libros y otras herramientas que ofrezco al mercado para profundizar en las áreas que conozco y ayudar así a las organizaciones a ser más competitivas.
Autor del libro Como Implantar ISO 9001:2015 Paso a Paso.
Autor de la Academia Online IVE Academy