Atención Comercial: 902 750 782
10:00 - 20:30

Auditorias de Seguridad acorde al ENS

Soluciones y Servicios para Autonomos, Emprendedores y Pymes

Servicio de Auditoria de Seguridad para sus TIC

Verifique sis sus tecnologias de la informacion y las comunicaciones cumplen con los requisitos del CCN-CERT en materia de seguridad

Auditoria de Seguridad de los Sistemas de Informacion

¿ Para que Realizar una Auditoria de Seguridad a mis Sistemas ?

  1. Dar cumplimiento a lo establecido en el RD 3/2010, específicamente en el artículo 34 y en el Anexo III, y verificar el cumplimiento de los requisitos establecidos en los capítulos II y III y en los Anexos I y II del ENS ( Esquema Nacional de Seguridad).
  2. Emitir una opinión independiente y objetiva, basada en los principios de integridad, presentación imparcial, debido cuidado profesional, confidencialidad, independencia y enfoque basado en la evidencia, sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y atender a las observaciones que pudiera haber identificado el Equipo Auditor y en su caso , posibilitar la obtención de la correspondiente Certificación de Conformidad, tal y como dispone la Instrucción Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad, regulada por Resolución de 13 de octubre de 2016, del Secretario de Estado de Administraciones Públicas.
  3. El objetivo final de la auditoría es sustentar la confianza que merece el sistema auditado sobre el nivel de seguridad implantado; tanto internamente como frente a terceros, que pudieran estar relacionados, es decir, calibrar la capacidad del sistema para garantizar la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los servicios prestados y la información tratada, almacenada o transmitida.

¡ Obenga ahora su Certificacion de cumplimiento del ENS !

certificados de conformidad con el ENS

¿ Como se Desarrolla y Ejecuta la Auditoria de Seguridad TIC ?

Como toda auditoria de sistemas de las tecnologías de la información, que incluye  normalmente, los aspectos de seguridad de los sistemas, ésta debe  realizarse de una forma metodológica que permita identificar claramente:

  • El Alcance y Objetivo de la Auditoria de seguridad.
  • Los recursos necesarios y apropiados para realizar la auditoria (equipo auditor), según lo establecido en los Anexos A y B de esta guía.
  • Las debidas comunicaciones con los responsables de la organización que soliciten la auditoria de seguridad.
  • La planificación preliminar o requisitos de información previos al desarrollo del plan de auditoria de seguridad, y a la ejecución de las pruebas que se consideren necesarias. CCN-STIC-802 Guía de auditoria SIN CLASIFICAR Centro Criptológico Nacional SIN CLASIFICAR.
  • El establecimiento de un plan de auditoria detallado con las actividades, revisiones y pruebas de auditoria de seguridad previstas.
  • La presentación, de los resultados individuales de las pruebas, a las personas involucradas con estos resultados, para su confirmación sin valoraciones con respecto a los resultados finales.
  • La evaluación global de los resultados de la auditoria de seguridad en relación al objetivo y alcance definidos y a los requisitos del RD 3/2010.
  • La confección, presentación y misión formal del Informe de auditoria de seguridad.

Ademas la metodología aplicada debe permitir comprobar, a través de los registros y evidencias de auditoria, la consecución de estos pasos, las limitaciones que se hayan podido producir en el desarrollo de las tareas, y las actividades realizadas.

Para una consecución eficaz de la auditoria, el equipo auditor verificará que las medidas de seguridad para el sistema auditado se ajustan a los principios básicos del RD 3/2010 (artículo 4), y satisfacen los requisitos mínimos de seguridad (artículo 11).

¿ Que Tipos de Sistemas se Auditan ?

Sistemas de Categoría Básica

  • Requerirán de una autoevaluación para su declaración de la conformidad que deberá realizarse al menos cada dos años o cuando se produzcan modificaciones sustanciales en el sistema.
  • La autoevaluación podrá ser desarrollada por el mismo personal que administra el sistema de información o en quién éste delegue.
  • Un sistema de categoría Básica se puede someter igualmente a
    una auditoría formal de certificación de la conformidad, siendo
    esta posibilidad siempre la deseable.

Sistemas de Categoría Media o Alta

  • Precisarán de una auditoría formal para su certificación de la
    conformidad al menos cada dos años, y con carácter extraordinario, siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoría extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la  siguiente auditoría regular ordinaria.
  • Deberá desarrollarse con las garantías metodológicas y de independencia, profesionalidad y adecuación requeridas.

¿ Que tipos de Resultados pueden arrojar la Auditoria?

certificados de conformidad con el ENS

Según marca la Ley que regula las Auditorias de seguridad TIC en base al ENS, los resultados de una auditoria de seguridad de este tipo pueden ser los siguientes:

  • “FAVORABLE”: Cuando no se evidencie ninguna “No conformidad Mayor” o “No Conformidad Menor”.
  • “FAVORABLE CON NO CONFORMIDADES”: Cuando se evidencien “No Conformidades Menores”. y/o “No conformidades Mayores”. En este caso, la entidad titular responsable del sistema de información auditado deberá presentar, en el plazo máximo de un mes, un Plan de Acciones Correctivas (PAC) sobre tales  desviaciones a la entidad certificadora para su evaluación.
  • “DESFAVORABLE”: Cuando exista un número significativo de No Conformidades Mayores cuya solución no pueda evidenciarse a través de un Plan de Acciones Correctivas y requiere la  comprobación in-situ de su correcta implantación a través de una auditoría extraordinaria.

¿ Esta preparado para Certificar sus TIC acorde al ENS ?

¡ Contacte con nosotros y un técnico le llamara en menos de 48 horas !

¿NECESITA AYUDA?

Estamos aquí siempre que lo necesite. Inicie un chat ahora pulsando el botón de soporte que ve en el inferior de la pagina.

Compartir esto en: