El plan de adecuación al ENS es el proceso de implantación del ENS. De por sí es un procedimiento publicado por el CCN en varias de sus guías y que con el presente artículo pretendemos resumir para hacer más sencillo y claro en qué consiste que una organización lo implemente y pueda certificarse.
ENS. Project Plan
El plan de adecuación al ENS está compuesto por las siguientes actuaciones:
- Definir el alcance. El alcance es un texto que indica los Sistemas de Información y Dominios de Seguridad sobre los cuales queremos asegurarnos de que se cumpla las medidas de seguridad del ENS. Si la organización es un proveedor de servicios o productos, el sistema de información suele ser aquel que ofrece a su cliente. Si la organización a certificarse es una AAPP es el sistema o sistemas de información que se determinen
- Categorizar los sistemas. Valoración de los activos en las dimensiones de D,I,C,T y A. Esto nos marcará la categoría final del sistema y la profundidad de las medidas de seguridad en base a esta categoría.
- Elaborar una declaración de aplicabilidad «provisional», cómo se encuentra la organización en cada una de las medidas de seguridad sobre los sistemas de información.
- Realizar el análisis de riesgos, sobre el escenario de activos del sistema de información (sobre los cuales se desarrolla un servicio y se dispone de información)
- Desarrollar un Plan de mejora de la seguridad de la información en base al informe de insuficiencias detectadas. Con su elaboración, por un lado, se identificarán las personas u órganos responsables de que la implantación del ENS se lleve a cabo y por otro las medidas de seguridad que será necesario implantar, los recursos necesarios para llevarlas a cabo, y los plazos para ejecutarlas.
- Elaborar la declaración de aplicabilidad. Perfil de Cumplimiento Específico.
- Elaborar la Política de seguridad, y hacerla extensiva a las partes interesadas
Mapa de ruta de guías CCN
Cada una de estas fases se explican con detalle en las guías CCN. A continuación un esquema sencillo para poder indagar con más detalle como aplicar cada una de las fases.
Listos para la certificación de conformidad
La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categorías MEDIA o ALTA se realiza mediante un procedimiento de auditoría formal que, con carácter ordinario, verifica el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal auditoría deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado que pudieran repercutir en las medidas de seguridad que deban adoptarse. Este tipo de auditorías son realizadas por organizaciones que han sido acreditadas por el CCN y ENAC y que se pueden consultar en la página web Entidades de certificación acreditadas
Para la determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categoría BÁSICA bastará con la ejecución de un procedimiento de autoevaluación que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal autoevaluación deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado, que pudieran repercutir en las medidas de seguridad que deban adoptarse.
Siendo obligatoria la Auditoría en sistemas de categorías MEDIA o ALTA, nada impide que un sistema de categoría BÁSICA se someta igualmente a una Auditoría formal de verificación de conformidad, siendo esta posibilidad siempre la deseable.