Documentación adicional relativa al Esquema Nacional de Seguridad (ENS)

1. El ​Esquema Nacional de Seguridad (ENS),
marco de referencia de obligado cumplimiento en
materia de seguridad para las TIC en el ámbito de
las ​Administraciones Públicas​, es de nuevo
noticia estos primeros meses de 2018.
En el mes de abril fueron publicadas en el ​BOE las
resoluciones de aprobación de dos nuevas
instrucciones técnicas de seguridad; cuyo objetivo es desarrollar de forma apropiada la implantación de los
requisitos y medidas recogidas en el ENS (Real decreto 3/2010).
Por un lado, la resolución de 27 de marzo de 2018 aprueba la ​Instrucción Técnica de Seguridad de Auditoría
de la Seguridad de los Sistemas de Información (​BOE-A-2018-4573​). Y, en segundo lugar, la resolución de
13 de abril de 2018 aprueba la ​Instrucción Técnica de Seguridad de Notificación de Incidentes de
Seguridad​ (​BOE-A-2018-5370​).
La Instrucción Técnica de seguridad de Auditoría tiene como propósito establecer las condiciones para la
realización de las auditorías previstas en el artículo 34 del Real Decreto 3/2010. Según el reglamento, los
sistemas de información de categorías MEDIA y ALTA están sujetos a superar una auditoría de seguridad al
menos cada dos años; mientras que los sistemas de categoría BÁSICA sólo precisan de una autoevaluación,
que podrá ser desarrollada por el mismo personal de operaciones del sistema.
En relación con la ejecución de la auditoría, la instrucción expresa la obligación del equipo auditor de ​recoger
las evidencias pertinentes​ que den soporte a las conclusiones del informe.
La instrucción subraya el ​carácter independiente de la Entidad Certificadora​, e insiste en que las actividades
de auditoría no pueden incluir acciones de consultoría o de implantación de medidas de seguridad.
Por otro lado, también se regula cómo deben ser los informes de auditoría. En concreto, deben recoger la
clasificación del sistema, aportar evidencias objetivas, clasificar los hallazgos, exponer las conclusiones
obtenidas, y emitir el dictamen. En este sentido se identifican los siguientes tipos dictámenes: favorable cuando
no se evidencian no conformidades, favorable con no conformidades cuando se comprueba la existencia de no
conformidades, y desfavorable en el caso de que las no conformidades no se puedan resolver con un plan de
acciones correctivas; lo cual impone la realización de una auditoría extraordinaria que verifique la adopción de
las medidas correctoras adecuadas. Para profundizar en el desarrollo del dictamen final de la auditoría se puede
consultar la ​Guía CCN-STIC 824​.

2. Para finalizar, la instrucción hace alusión mediante una disposición adicional al ​Reglamento General de
Protección de Datos​. En este sentido expresa que si los sistemas auditados incluyen el tratamiento de datos
personales se deberán cumplir dicho reglamento, y se deberá informar de ello al Delegado de Protección de
Datos.
Como se recordará, l​a obligación de conformidad con el ENS no sólo aplica a las Administraciones
Públicas, sino que se extiende a los proveedores que les suministren soluciones o servicios
tecnológicos​. Por tanto, para ofrecer servicios o soluciones de TI a cualquiera de las AAPP (ayuntamientos,
CCAA, universidades públicas, administración general del estado), se debe tener en cuenta que será necesario
disponer de la declaración o la certificación de conformidad con el ENS.
Estemos o no obligados a disponer de la certificación de conformidad con el ENS, no hay que olvidar que
calificar el servicio no sólo sirve como cumplimiento normativo, sino también para mejorar las capacidades de
ciberseguridad. Por esto es altamente recomendable la calificación de cualquier servicio TI; tanto para asegurar
la disponibilidad del servicio, como para dar confianza a los clientes; y de esta manera distinguirse de la
competencia.