Guía completa de la auditoría del Esquema Nacional de Seguridad: requisitos, fases y objetivos clave
La adaptación al Esquema Nacional de Seguridad (ENS) se ha consolidado como un pilar fundamental para cualquier entidad del sector público y, de forma creciente, para las empresas privadas que proveen servicios a la Administración. Sin embargo, implementar las medidas no es el final del camino; es la verificación de dicha implementación a través de una auditoría formal lo que supone el verdadero desafío. Muchas organizaciones se enfrentan a este proceso con incertidumbre, sin comprender en profundidad el alcance de la evaluación, los requisitos documentales y técnicos exigidos, o los objetivos reales que persigue el auditor.
La relevancia de este proceso es máxima. Una auditoría del ENS fallida o deficiente no solo implica un grave riesgo reputacional, sino que puede acarrear consecuencias directas como la exclusión de licitaciones públicas, la pérdida de contratos vigentes o la imposición de sanciones. Más allá de lo contractual, evidencia una debilidad estructural en la protección de la información y los servicios que se manejan, exponiendo a la entidad y a los ciudadanos a incidentes de seguridad, fugas de datos y paralización de servicios esenciales.
Este artículo servirá como una guía exhaustiva sobre la auditoría del Esquema Nacional de Seguridad. Desglosaremos en detalle qué es exactamente este proceso, cuáles son los objetivos que busca cumplir, los requisitos indispensables (tanto documentales como técnicos) que su organización debe preparar, y las fases paso a paso de la evaluación. Al finalizar, usted comprenderá cómo afrontar la auditoría no como un mero trámite, sino como una herramienta estratégica para validar y mejorar su postura de seguridad, asegurando la conformidad con el servicio de Esquema Nacional de Seguridad.
La auditoría del Esquema Nacional de Seguridad (ENS) es un proceso de evaluación obligatorio para verificar que las entidades públicas y sus proveedores cumplen con las medidas de seguridad exigidas. Sus objetivos son garantizar la protección de la información y los servicios. Sus requisitos implican revisar la gestión de riesgos, la implementación de medidas y la adecuación del sistema.
Qué es exactamente la auditoría del Esquema Nacional de Seguridad (ENS)
Para entender la auditoría, primero hay que comprender el marco que la sustenta. El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022, es la normativa española que establece la política de seguridad en la utilización de medios electrónicos por parte de las Administraciones Públicas y sus proveedores. Su fin último es crear las condiciones necesarias de confianza en el uso de dichos medios, estableciendo medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos.
La auditoría del ENS es, por tanto, el mecanismo formal de verificación y dictamen de conformidad. Es el proceso mediante el cual una entidad auditora competente e independiente evalúa si el sistema de información de una organización cumple con los principios básicos, requisitos mínimos y medidas de seguridad establecidos en el RD 311/2022.
No se trata de una simple revisión técnica o un pentesting, aunque puede incluir elementos de este. Es una evaluación holística que abarca tres grandes pilares: la gestión (documentación, políticas, roles), la tecnología (controles técnicos implementados) y las personas (concienciación, formación).
El marco legal: El Real Decreto 311/2022 y su impacto
El RD 311/2022, que actualiza el anterior de 2010, introduce un enfoque más alineado con la gestión de riesgos y el contexto de ciberseguridad actual. Este nuevo marco refuerza principios clave que la auditoría busca verificar:
Prevención, Reacción y Recuperación: El sistema no solo debe prevenir incidentes, sino demostrar que puede detectarlos a tiempo, reaccionar de forma organizada y recuperar la operativa normal.
Vigilancia Continua: La seguridad no es un proyecto puntual, sino un proceso cíclico (PDCA – Plan-Do-Check-Act) que debe monitorizarse.
Gestión de Riesgos: El corazón del ENS. La auditoría no espera que se apliquen todas las medidas con la misma intensidad, sino que la selección e implementación de controles esté justificada por un análisis de riesgos previo.
La Declaración de Aplicabilidad (DdA): Este documento se convierte en la pieza central de la auditoría. Es la «declaración jurada» de la entidad donde indica, de las 75 medidas del Anexo II, cuáles aplica, cuáles no y por qué. El auditor basará gran parte de su trabajo en validar esta DdA.
¿Quién está obligado a realizar la auditoría del ENS?
La obligatoriedad de la auditoría del ENS es amplia y no se limita solo a la Administración central. Están sujetas:
Toda la Administración General del Estado (AGE), sus organismos públicos y entidades de derecho público vinculadas.
Las Administraciones de las Comunidades Autónomas.
Las Entidades que integran la Administración Local (Ayuntamientos, Diputaciones, etc.).
Proveedores del Sector Privado: Aquí radica uno de los puntos clave. Cualquier empresa privada que preste servicios o suministre soluciones TIC a las entidades mencionadas anteriormente, y cuyos sistemas accedan o alojen información de la Administración, debe certificar su cumplimiento del ENS. Esto incluye desde desarrolladores de software hasta proveedores de servicios en la nube (Cloud) o consultoras.
Diferencias clave: Auditoría de categoría ALTA, MEDIA y BAJA
El ENS no aplica un enfoque único para todos. Exige que cada entidad categorice sus sistemas en función del impacto que tendría un incidente de seguridad sobre cinco dimensiones clave:
Confidencialidad (C)
Integridad (I)
Disponibilidad (D)
Autenticidad (A)
Trazabilidad (T)
El nivel de impacto (Bajo, Medio o Alto) en estas dimensiones determinará la Categoría del Sistema (BAJA, MEDIA o ALTA). Esta categoría es el requisito previo a cualquier auditoría, ya que define el rigor y la periodicidad de la misma:
Sistemas de Categoría BAJA: La normativa permite que la verificación se realice mediante una autoevaluación interna. Sin embargo, se recomienda una auditoría externa para garantizar la objetividad, especialmente si se manejan datos personales.
Sistemas de Categoría MEDIA y ALTA: Es obligatoria una auditoría formal realizada por una entidad de certificación acreditada por ENAC (Entidad Nacional de Acreditación).
Periodicidad: La auditoría formal (para MEDIA y ALTA) debe realizarse al menos cada dos años. También se requiere una auditoría extraordinaria tras modificaciones «sustanciales» en el sistema.
| Característica | Categoría BAJA | Categoría MEDIA | Categoría ALTA |
| Nivel de Impacto | El impacto de un incidente de seguridad es bajo en todas las dimensiones (C, I, D, A, T). | El impacto es medio en al menos una dimensión, sin llegar a ser alto en ninguna. | El impacto es alto en al menos una de las dimensiones de seguridad. |
| Método de Auditoría | Autoevaluación (recomendada auditoría externa si hay datos personales). | Auditoría Formal Obligatoria. | Auditoría Formal Obligatoria. |
| Periodicidad | Al menos cada dos años (la autoevaluación o auditoría). | Al menos cada dos años (auditoría formal). | Al menos cada dos años (auditoría formal). |
| Nivel de Medidas | Aplicación de medidas de nivel bajo. | Aplicación de medidas de nivel medio. Requiere mayor rigor y controles reforzados. | Aplicación de medidas de nivel alto. Exige los controles más estrictos. |
Los objetivos fundamentales de una auditoría del ENS
Es común pensar que el único objetivo de la auditoría es «conseguir el sello» o el Dictamen de Conformidad. Si bien este es el resultado tangible necesario para operar con la Administración, los objetivos de fondo del proceso de auditoría son mucho más estratégicos y buscan aportar un valor real a la seguridad de la entidad.
Objetivo 1: Verificar la conformidad para la certificación
El objetivo más directo es obtener una opinión independiente y cualificada sobre el grado de cumplimiento de la organización con el RD 311/2022. El auditor debe emitir un Informe de Auditoría que concluya si el sistema es «Conforme» o «No Conforme».
Este dictamen es el documento que permite a la entidad inscribirse en el registro de entidades certificadas en el ENS (gestionado por el CCN, Centro Criptológico Nacional) y demostrar ante terceros (clientes, AAPP, ciudadanos) su compromiso con la seguridad y el Esquema Nacional de Seguridad.
Objetivo 2: Identificar vulnerabilidades y no conformidades
La auditoría es, en esencia, una herramienta de diagnóstico avanzada. Un auditor experto no solo revisará la documentación, sino que buscará evidencias de la aplicación real de los controles. Este proceso inevitablemente saca a la luz:
No Conformidades Mayores: Incumplimientos graves que impiden la certificación. Suelen ser la ausencia de un análisis de riesgos, la falta de una Política de Seguridad aprobada o la no aplicación de medidas de seguridad críticas para la categoría del sistema.
No Conformidades Menores: Desviaciones que no comprometen gravemente el sistema pero que deben ser corregidas. Por ejemplo, un procedimiento de copias de seguridad que no se ejecuta con la frecuencia definida o registros de formación de personal incompletos.
Observaciones u Oportunidades de Mejora: Aspectos que, sin ser un incumplimiento, podrían optimizarse para fortalecer la seguridad.
Este feedback es oro puro para el Responsable de Seguridad (RSI), ya que le proporciona una hoja de ruta clara de mejora.
Objetivo 3: Evaluar la eficacia del análisis de riesgos
El ENS moderno se basa en la gestión de riesgos. No se trata de aplicar las 75 medidas del Anexo II a ciegas. Se trata de aplicar aquellas que mitigan los riesgos específicos identificados para ese sistema en concreto.
Por lo tanto, un objetivo central de la auditoría es evaluar la lógica, coherencia y adecuación del análisis de riesgos de la entidad (a menudo realizado con la metodología Magerit). El auditor preguntará:
¿Se han identificado correctamente todos los activos de información?
¿Se han valorado adecuadamente las amenazas y vulnerabilidades?
¿La selección de salvaguardas (medidas) se corresponde con el nivel de riesgo identificado?
¿El riesgo residual (el que queda tras aplicar medidas) es aceptable para la Dirección?
Objetivo 4: Fomentar la mejora continua de la seguridad
La auditoría no es el final, sino una foto fija dentro de un ciclo de vida. El informe de auditoría, con sus no conformidades y observaciones, debe ser el punto de partida para un Plan de Acciones Correctoras.
Al exigir una periodicidad bienal, el ENS fuerza a la entidad a entrar en un ciclo de mejora continua (PDCA): se planifica la seguridad (Plan), se implementa (Do), se audita (Check) y se corrigen las desviaciones (Act). La auditoría es el «Check» fundamental que mantiene vivo el sistema.
Requisitos indispensables para superar la auditoría del Esquema Nacional de Seguridad
Afrontar la auditoría sin una preparación exhaustiva es garantía de fracaso. Los auditores siguen una metodología sistemática y esperan encontrar un cuerpo documental y evidencias técnicas muy concretas. Estos son los requisitos innegociables.
Requisito previo: La categorización del sistema
No se puede iniciar una auditoría si la entidad no ha realizado y documentado la categorización de su sistema. El auditor no decide la categoría; la entidad la propone y el auditor la valida.
Este proceso implica:
Identificar los servicios que presta el sistema.
Valorar el impacto (Bajo, Medio, Alto) que tendría un fallo de seguridad en las 5 dimensiones (Confidencialidad, Integridad, Disponibilidad, Autenticidad, Trazabilidad) para esos servicios.
Determinar la categoría final del sistema (BAJA, MEDIA o ALTA), que será la más alta de las valoraciones obtenidas.
Sin este documento, la auditoría no puede comenzar, ya que la categoría define el nivel de exigencia de todas las medidas.
Requisito documental: El cuerpo normativo de seguridad
El auditor comenzará su trabajo revisando la «pirámide documental» de la seguridad. Esperará encontrar, como mínimo:
Política de Seguridad: El documento maestro, de alto nivel, que establece el compromiso de la alta dirección, define los roles y responsabilidades (como el Responsable de Seguridad – RSI y el Responsable del Servicio – RSL) y marca las directrices generales. Debe estar fechada, aprobada y comunicada.
Análisis y Gestión de Riesgos: El informe detallado que identifica activos, amenazas, vulnerabilidades, evalúa el riesgo y define las medidas a aplicar.
Declaración de Aplicabilidad (DdA): Como se mencionó, es el documento crucial. Es el listado de las 75 medidas del Anexo II donde la entidad justifica, una por una, si aplica o no aplica, y cómo la ha implementado.
Normativas y Procedimientos Específicos: Documentos que desarrollan la Política. Ejemplos:
Procedimiento de Gestión de Incidentes.
Procedimiento de Control de Acceso (altas, bajas, revisión).
Procedimiento de Copias de Seguridad y Recuperación.
Política de «mesas limpias y pantallas despejadas».
Procedimiento de Gestión de Cambios.
Plan de Continuidad de Negocio (para categorías MEDIA y ALTA).
Requisito técnico: La implementación de las medidas de seguridad
La documentación no sirve de nada si no se traduce en controles reales y operativos. El auditor verificará por muestreo que las medidas «en papel» están «en producción». Estas 75 medidas se agrupan en tres marcos:
Marco Organizativo [org]: Incluye medidas sobre la organización de la seguridad.
Ejemplos: Definición de roles (op.org.1), Política de seguridad (op.org.2), Procedimientos de seguridad (op.org.3), Gestión de la formación y concienciación (op.org.8).
Marco Operacional [op]: Se centra en la planificación y gestión de las operaciones.
Ejemplos: Análisis de riesgos (op.pln.1), Gestión de incidentes (op.exp.1), Gestión de la continuidad (op.exp.2), Monitorización del sistema (op.mon).
Marco de Protección [mp]: Son las medidas de protección concretas (controles técnicos y físicos).
Ejemplos: Control de acceso físico (mp.fis.1), Protección de instalaciones (mp.fis.2), Gestión de soportes (mp.fis.4), Identificación (mp.ace.1), Control de acceso (mp.ace.2), Protección de comunicaciones (mp.com), Seguridad en desarrollos (mp.des).
Implementar de forma coherente este conjunto de medidas es el núcleo del Esquema Nacional de Seguridad.
Requisito de evidencia: Registros y trazabilidad
El lema del auditor es: «Lo que no está registrado y evidenciado, no existe». La entidad debe ser capaz de probar que sus procedimientos se ejecutan. Es vital tener:
Registros (Logs): Registros de acceso a sistemas, de eventos de seguridad, de intentos fallidos, de acciones de administradores. El auditor pedirá verlos y comprobará que se almacenan y revisan.
Registros de Formación: Hojas de asistencia o registros de plataforma online que demuestren que el personal ha recibido la concienciación en seguridad.
Informes de Revisiones: Pruebas de que se revisan periódicamente los derechos de acceso, las copias de seguridad, etc.
Actas de Reuniones: Actas del Comité de Seguridad donde se traten los riesgos, incidentes y el estado del sistema.
Pruebas de Continuidad: Informes de las pruebas de recuperación de desastres (restore de backups, activación del plan de continuidad).
Las fases clave del proceso de auditoría del ENS
Una auditoría formal de certificación del ENS sigue una metodología estándar, dividida en varias fases claras que garantizan el rigor y la objetividad del proceso.
Fase 1: Planificación y preparación (Pre-auditoría)
Esta fase es crucial para que la auditoría se desarrolle sin contratiempos.
Selección de la Entidad Auditora: La organización debe contratar a una entidad acreditada por ENAC para la certificación del ENS.
Definición del Alcance: Se establece de forma precisa qué sistema o sistemas van a ser auditados. Es fundamental delimitar claramente el «perímetro» de la auditoría.
Revisión Documental Preliminar: La entidad auditada envía la documentación clave (Política, DdA, Análisis de Riesgos) al equipo auditor.
Elaboración del Plan de Auditoría: El auditor jefe crea un cronograma detallado que especifica qué se auditará, cuándo, cómo y a quién se entrevistará. Este plan se consensúa con la entidad.
Fase 2: Ejecución de la auditoría (Trabajo de campo)
Es el núcleo de la auditoría, donde los auditores visitan (física o remotamente) la organización para recabar evidencias.
Reunión de Inicio (Kick-off): Una reunión formal con la dirección y los responsables clave para presentar al equipo auditor, confirmar el plan, la metodología y asegurar la colaboración.
Entrevistas: Los auditores se reúnen con el RSI, RSL, personal de IT, RRHH, y otros roles clave para entender los procesos y verificar su conocimiento de las políticas.
Muestreo y Revisión de Evidencias: Aquí es donde el auditor pide «ver».
«Muéstreme la configuración del firewall.»
«Enséñeme los registros de acceso al servidor de base de datos de los últimos 30 días.»
«Vamos a la sala de servidores (CPD) para ver el control de acceso físico.»
«Seleccionemos 3 empleados dados de baja el último mes y verifiquemos que sus cuentas están bloqueadas.»
Reuniones de Sincronización: Diariamente, el equipo auditor se reúne internamente y puede comunicar al RSI los hallazgos preliminares.
Fase 3: Informe y hallazgos
Una vez recopiladas todas las evidencias, el equipo auditor las analiza y prepara sus conclusiones.
Reunión de Cierre: El equipo auditor presenta a la dirección y al RSI un resumen de los hallazgos, comunicando verbalmente las No Conformidades (Mayores y Menores) y Observaciones detectadas. Es una oportunidad para aclarar malentendidos antes de emitir el informe final.
Redacción del Informe de Auditoría: Se elabora el documento formal que detalla el alcance, la metodología, el equipo, las evidencias revisadas y, lo más importante, la lista detallada de todos los hallazgos.
Emisión del Informe: Se entrega el informe oficial a la entidad.
Fase 4: Plan de acciones correctoras y certificación
El resultado del informe determina los siguientes pasos.
Si NO hay No Conformidades Mayores: El auditor puede emitir directamente el Dictamen de Conformidad.
Si hay No Conformidades (Mayores o Menores): La entidad auditada debe elaborar y presentar al auditor un Plan de Acciones Correctoras. Este plan debe detallar qué se hará para solucionar cada no conformidad, quién es el responsable y en qué plazo.
Revisión del Plan: El auditor revisa si el plan es adecuado.
Cierre de No Conformidades: La entidad ejecuta el plan. Para las Menores, el plan puede ser suficiente. Para las Mayores, el auditor suele requerir una auditoría de seguimiento para verificar in situ que la solución se ha implementado y es eficaz.
Emisión del Dictamen: Una vez cerradas todas las No Conformidades Mayores, la entidad auditora emite el Dictamen de Conformidad. Con este documento, la organización puede publicitar su certificación e inscribirse en el registro del CCN.
| Fase de la Auditoría | Objetivo Principal | Actores Clave | Entregable Clave |
| Fase 1: Planificación | Definir el alcance y revisar la documentación inicial. | Entidad Auditora, Responsable de Seguridad (RSI) | Plan de Auditoría |
| Fase 2: Ejecución | Recopilar evidencias mediante entrevistas y muestreo. | Equipo Auditor, Personal técnico y de gestión | Registros de auditoría (borrador de hallazgos) |
| Fase 3: Informe | Comunicar formalmente los hallazgos y no conformidades. | Equipo Auditor | Informe de Auditoría (provisional) |
| Fase 4: Cierre y Seguimiento | Acordar soluciones y emitir el dictamen. | Entidad Auditada (RSI), Entidad Auditora | Plan de Acciones Correctoras, Dictamen de Conformidad |
Afrontar una auditoría del Esquema Nacional de Seguridad no es un mero trámite; es un proceso estratégico que valida la madurez de la seguridad de una organización. La complejidad del RD 311/2022 y la rigurosidad de las 75 medidas de seguridad requieren un acompañamiento experto para garantizar no solo la conformidad, sino la optimización de los recursos. Contar con una guía especializada permite transformar esta obligación en una ventaja competitiva, asegurando la confianza de los ciudadanos y la viabilidad de los contratos públicos. Para estructurar este proceso de adecuación de forma eficaz, es fundamental contar con un servicio de consultoría para el Esquema Nacional de Seguridad que guíe a su entidad en cada fase, desde la categorización inicial hasta la obtención del dictamen favorable.
Preguntas frecuentes sobre la auditoría del Esquema Nacional de Seguridad
¿Cada cuánto tiempo es obligatorio auditar el ENS?
La auditoría de certificación debe realizarse cada dos años para los sistemas de categoría MEDIA o ALTA. Para la categoría BAJA, la autoevaluación debe ser al menos bienal, aunque se recomienda una auditoría si maneja datos sensibles.
¿Qué diferencia hay entre la auditoría del ENS y la de ISO 27001?
Aunque ambas tratan de seguridad de la información, el ENS es obligatorio para el sector público español y se centra en principios y medidas concretas (75). La ISO 27001 es un estándar internacional voluntario (salvo obligación contractual) más enfocado en la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en un Anexo A más amplio. Son complementarias.
¿Qué es la Declaración de Aplicabilidad (DdA)?
Es el documento más importante para la auditoría. En él, la entidad justifica, una por una, cuáles de las 75 medidas de seguridad del ENS le aplican y cuáles no (y por qué). El auditor usará la DdA como su principal guía de revisión.
¿Qué pasa si suspendo la auditoría del ENS?
Si se detectan No Conformidades Mayores, la entidad no obtiene el dictamen favorable. Deberá presentar un Plan de Acciones Correctoras en un plazo determinado. El auditor verificará que se han solucionado antes de poder emitir la certificación.
