Resumen ejecutivo · TL;DR
Una auditoría ENS para una empresa proveedora se prepara en 6-10 semanas si el sistema ya está adecuado. Las tres claves son: tener la documentación del Anexo II ordenada por dimensión y por medida, evidenciar implantación operativa (no solo papel) y demostrar mejora continua. La auditoría externa la ejecuta una entidad certificadora acreditada por ENAC y dura 2-4 días en sitio para una PYME. Las 15 no conformidades más frecuentes se concentran en cinco bloques que, por frecuencia observada y de mayor a menor, son: control de accesos —el que más hallazgos concentra, con diferencia—, continuidad y respaldos, gestión de incidentes, proveedores y trazabilidad.
En este artículo
- El proceso de auditoría ENS, paso a paso
- Quién puede auditar el ENS (ENAC)
- Tipos de auditoría ENS: interna, externa, sorpresa
- Calendario de preparación (8-10 semanas)
- Evidencias obligatorias por dimensión
- Las 15 no conformidades más frecuentes
- Diferencias prácticas con la auditoría ISO 27001
- Cómo se desarrolla un día de auditoría externa
- Después de la auditoría: cierre y certificación
- Preguntas frecuentes
El proceso de auditoría ENS, paso a paso
Si tu empresa necesita acreditar la conformidad con el ENS para trabajar con la Administración, el proceso sigue siempre la misma secuencia. Así es como te acompaño en cada fase:
- Adecuación previa. El sistema debe estar categorizado, con las medidas del Anexo II implantadas y la declaración de aplicabilidad firmada. Sin esta base no hay auditoría que superar.
- Pre-auditoría interna. Una revisión independiente detecta las no conformidades y las cierra antes de que las encuentre el auditor externo. Es la fase donde yo aporto más valor.
- Fase documental. La entidad certificadora revisa la política de seguridad, el análisis de riesgos, la declaración de aplicabilidad y los procedimientos clave.
- Fase in situ. El auditor verifica sobre el terreno que las medidas funcionan: entrevistas al personal, muestreo de controles y evidencias en directo.
- Informe, cierre y certificado. Se subsanan los hallazgos dentro del plazo y la entidad decide sobre la emisión del certificado de conformidad.
¿Quién puede auditar el ENS?
No cualquiera. En los sistemas de categoría MEDIA y ALTA, la auditoría de certificación la realiza una entidad de certificación acreditada por ENAC para el ENS (en el sector público pueden actuar además órganos de auditoría técnica habilitados): un certificado emitido por una entidad no acreditada carece de validez a efectos del ENS. En categoría BÁSICA, la conformidad puede acreditarse mediante autoevaluación, con su correspondiente declaración de conformidad. Mi papel no es sustituir a la entidad certificadora, sino conseguir que llegues a ella con el sistema preparado: pre-auditoría, mapa de evidencias y cierre de brechas.
¿Tienes una auditoría ENS en el horizonte? Pide una pre-auditoría sin compromiso: identifico las brechas y te entrego el plan de cierre antes de que llegue el auditor. Escríbeme desde el formulario de contacto o directamente a hola@angelortegacastro.com.
Tipos de auditoría ENS: interna, externa, sorpresa
El Anexo III del Real Decreto 311/2022 exige al menos tres tipos de actividades de auditoría sobre el sistema durante el ciclo de vida de la certificación. Conocer la diferencia desde el principio evita preparar mal cada una de ellas.
Auditoría interna
Es la primera línea de defensa. La ejecuta personal cualificado independiente del sistema auditado (no puede ser quien diseñó o implantó los controles) y debe cubrir todas las medidas del Anexo II aplicables a la categoría. Su periodicidad mínima es bienal pero la práctica más sólida la planifica anualmente, dividida en bloques (acceso, continuidad, formación, etc.). Sus hallazgos se documentan como no conformidades mayores, menores u oportunidades de mejora. Se cierran con plan de acciones correctivas antes de la siguiente auditoría externa.
Auditoría externa de certificación
La ejecuta una entidad certificadora acreditada por ENAC para el ENS. Tiene dos fases. La fase 1 es documental: el auditor revisa política de seguridad, declaración de aplicabilidad, análisis de riesgos, procedimientos clave, evidencias de la auditoría interna y registro de incidentes. Dura 1-2 días, normalmente en remoto. La fase 2 es de implementación: el auditor visita la sede o sedes, entrevista a personal de distintos niveles (directivo, técnico, usuario), audita controles concretos con muestreo. Dura 2-4 días para una PYME en categoría MEDIA.
Auditoría ordinaria de renovación del ciclo
El ENS exige auditoría ordinaria al menos cada dos años (artículo 31.1 del RD 311/2022) y el certificado de conformidad tiene, según las FAQ del CCN, una validez efectiva de dos años. El ciclo es bienal, no trienal: el trienal es el de ISO 27001. Cuando no ha habido cambios relevantes suele ser más ligera que la inicial —2-3 días para una PYME— y se centra en los cambios producidos desde la auditoría anterior, en los hallazgos pendientes de cierre y en el muestreo de las medidas críticas.
Auditoría sorpresa o auditoría motivada
El CCN-CERT puede solicitar una auditoría motivada en caso de incidente significativo, queja fundada o sospecha de incumplimiento sistémico. Es infrecuente pero existe. La empresa tiene obligación de colaborar y aportar evidencias. La mejor preparación es mantener el sistema realmente vivo durante todo el ciclo, no solo en la víspera de la auditoría programada.
Calendario de preparación (8-10 semanas)
El siguiente calendario asume que el sistema ya está adecuado (controles implantados, política aprobada, análisis de riesgos hecho, formación impartida) y solo se prepara la auditoría externa de certificación. Si todavía hay controles por desplegar, hay que sumar el calendario de adecuación previa.
Semanas -10 a -8 · planificación y mapa de evidencias
Se acuerda con el organismo certificador el alcance, la categoría, el calendario y los entrevistados. Se construye un mapa de evidencias por medida del Anexo II: para cada medida aplicable, dónde está la evidencia (carpeta, sistema, persona). Esto se documenta en una hoja de cálculo o GRC. Sin este mapa la auditoría es un caos de búsqueda de última hora.
Semanas -7 a -5 · auditoría interna completa
Si la auditoría interna anual reciente cubrió todas las medidas, se actualiza el registro de hallazgos. Si no, se ejecuta una pre-auditoría interna específica. Aquí es habitual contratar a un consultor externo distinto del que hizo la implantación: un par de ojos nuevos detecta lo que el equipo ha dejado de ver.
Semanas -4 a -3 · cierre de hallazgos críticos
Los hallazgos críticos identificados en la pre-auditoría se cierran con prioridad. Los menos críticos se documentan como oportunidades de mejora con plan de acción.
Semanas -2 a -1 · ensayo de entrevistas y limpieza documental
Se ensaya con los entrevistados las preguntas más probables: política de seguridad, gestión de incidentes, copia de seguridad, control de accesos, formación recibida. No es que el personal recite documentos: es que demuestre que conoce sus responsabilidades. La documentación se ordena por dimensión y por medida en una unidad compartida con permisos de solo lectura para el auditor.
Semana 0 · auditoría externa
El día de la auditoría hay que tener: persona de contacto único con autoridad para resolver dudas, sala dedicada al auditor con conectividad y proyección, agenda de entrevistas confirmada con margen, los entrevistados liberados de su agenda regular ese día, café y comida. Los detalles logísticos importan porque marcan el tono.
Evidencias obligatorias por dimensión
Las evidencias se organizan por las cinco dimensiones del Anexo II. Para cada una identifico aquí las evidencias mínimas que el auditor pedirá.
Confidencialidad
Política de clasificación de la información, inventario de información clasificada, controles de acceso aplicados según clasificación, política de criptografía, evidencia de cifrado de datos en reposo y en tránsito, registros de acceso a información clasificada, evidencia de control en endpoints (DLP, cifrado de disco) y procedimiento de destrucción segura de soportes.
Integridad
Procedimiento de gestión de cambios documentado con aprobaciones, registros de cambios producidos en los últimos 12 meses, controles de integridad sobre bases de datos críticas (firma, hash, auditoría de modificaciones), validación de datos de entrada en aplicaciones, evidencia de pruebas en entornos de desarrollo y preproducción.
Trazabilidad
Política de registro y monitorización, configuración de logs (qué se registra, dónde se guarda, cuánto tiempo), evidencia de revisión periódica de logs (no basta con tenerlos, hay que revisarlos), correlación de eventos en un SIEM o equivalente, capacidad de reconstruir un incidente con los logs.
Autenticidad
Política de identidad y autenticación, inventario de usuarios y privilegios, evidencia de MFA en accesos privilegiados, procedimiento de alta y baja con SLA documentado, revisión trimestral de privilegios con evidencia, uso de firma electrónica cualificada donde aplique.
Disponibilidad
Análisis de impacto en el negocio (BIA), plan de continuidad de negocio, procedimientos de respaldo y restauración con evidencia de prueba reciente (la prueba documentada de la última restauración real es la evidencia más solicitada y la que más empresas no tienen), métricas de RPO y RTO, evidencia de redundancia de infraestructura donde aplique, plan de crisis y comunicaciones.
Las 15 no conformidades más frecuentes
De las auditorías ENS de los últimos 24 meses que he analizado y comentado con auditores de tres entidades certificadoras, los 15 hallazgos que aparecen con más frecuencia son los siguientes. Los ordeno por frecuencia observada, de mayor a menor: no existe una estadística pública que permita poner un porcentaje detrás de cada bloque, así que no lo invento.
Control de accesos · el bloque que más hallazgos concentra, con diferencia
- Cuentas privilegiadas sin MFA o con MFA débil (SMS en lugar de aplicación o token).
- Cuentas de servicio sin caducidad documentada y sin revisión periódica.
- Privilegios de administrador concedidos hace años sin revisión.
- Procedimiento de baja con SLA superior a 24 horas (regular sería <4 h).
- Cuentas genéricas compartidas sin trazabilidad individual.
Continuidad y respaldos · el segundo bloque
- Copias de seguridad sin prueba documentada de restauración en los últimos 12 meses.
- Plan de continuidad de negocio sin actualizar tras cambios mayores.
- Ausencia de prueba o ejercicio de continuidad anual.
Gestión de incidentes · el tercero
- Registro de incidentes incompleto o sin clasificación por severidad.
- Falta de procedimiento de comunicación a CCN-CERT o autoridad competente para incidentes notificables.
Proveedores · el cuarto
- Contratos con proveedores TIC sin cláusulas de seguridad ni obligación de auditoría.
- Falta de inventario de proveedores SaaS con datos del cliente público.
Trazabilidad · el quinto
- Logs configurados pero nunca revisados (sin evidencia de revisión periódica).
- Tiempo de retención de logs inferior al exigido por la categoría.
Resto de hallazgos
- Análisis de riesgos desactualizado (más de 12 meses sin revisión) o con metodología no MAGERIT bien justificada.
Cinco diferencias prácticas con la auditoría ISO 27001
Si tu empresa ya tiene ISO 27001 vigente y va a auditar también ENS, conviene tener claras las cinco diferencias prácticas para evitar errores estratégicos.
1. El enfoque
ISO 27001 audita el sistema de gestión (la mecánica del SGSI: política, riesgos, mejora continua). ENS audita el sistema concreto y la implantación de las medidas del Anexo II. El auditor ENS pide ver controles operando, no solo procedimientos. Repasa los 73 controles del ENS antes de la auditoría para saber exactamente qué evidencias buscará el auditor.
2. La métrica de éxito
ISO 27001 acepta cierto nivel de riesgo residual si está justificado. ENS prescribe medidas concretas obligatorias por categoría: no aplicarlas no es un "riesgo asumido", es una no conformidad mayor.
3. La nacionalidad de los productos
ISO 27001 no exige productos concretos. ENS, sobre todo en categoría ALTA y en componentes específicos de MEDIA, exige productos cualificados por el CPSTIC del CCN. Esto puede obligar a sustituir tecnología que en ISO era perfectamente válida.
4. La autoridad supervisora
En ISO el supervisor último es la entidad certificadora y, sobre ella, ENAC. En ENS, además, está el CCN-CERT como autoridad nacional con capacidad de inspección.
5. La integración con otras normas
ENS dialoga natural con NIS2 y con la Ley de Protección de Infraestructuras Críticas. ISO 27001 dialoga natural con ISO 27002, 27017, 27018 y los frameworks NIST. Un auditor ENS te preguntará por NIS2; un auditor ISO te preguntará por NIST CSF.
Cómo se desarrolla un día de auditoría externa
Para que el equipo no llegue a ciegas al día D, este es un día tipo de auditoría in situ en una PYME proveedora en categoría MEDIA.
09:00 reunión de apertura con dirección, responsable de seguridad y persona de contacto único. El auditor presenta el plan de auditoría, las técnicas que usará (revisión documental, entrevistas, observación, muestreo) y resuelve dudas. Dura 30-45 minutos.
09:45 revisión documental dirigida con el responsable de seguridad: política de seguridad, declaración de aplicabilidad, análisis de riesgos, plan de tratamiento. Dura 2-3 horas.
12:30 entrevista con el responsable de TI sobre gestión de accesos, criptografía, monitorización, copias de seguridad. Suelen pedir evidencia en directo: "muéstrame la última prueba de restauración". Dura 1-2 horas.
14:30 entrevista con un usuario final aleatorio (auxiliar administrativo, comercial, etc.) sobre formación recibida, contraseñas, qué hace si recibe un correo sospechoso, dónde está la política. 20-30 minutos.
15:00 entrevista con responsable de RRHH sobre alta, baja y formación del personal. 30-45 minutos.
16:00 entrevista con responsable de proveedores o contratos sobre cláusulas de seguridad, inventario de SaaS, revisión de proveedores críticos. 30-45 minutos.
17:00 cierre del día con resumen oral de hallazgos preliminares al responsable de seguridad. No es vinculante: los hallazgos definitivos van en el informe final.
Después de la auditoría: cierre y certificación
El informe de auditoría llega entre 2 y 4 semanas después de la visita. Documenta los hallazgos como no conformidades mayores, no conformidades menores u observaciones. El procedimiento de cierre varía según el tipo de hallazgo.
Las no conformidades mayores deben cerrarse antes de la emisión del certificado. El plazo habitual es de 60-90 días desde la recepción del informe. Hay que presentar plan de acción correctiva, ejecutarlo, evidenciar el cierre y, si el auditor lo considera, recibir una visita corta de verificación.
Las no conformidades menores pueden cerrarse en el plazo siguiente al recibo del certificado, con compromiso firme de cierre y verificación en la siguiente auditoría ordinaria.
Las observaciones u oportunidades de mejora no son obligación: son recomendaciones para fortalecer el sistema. Documentarlas e incluirlas en el plan de mejora interno es buena práctica y se valora positivamente en la auditoría siguiente.
El certificado de conformidad con el ENS tiene una validez efectiva de dos años (así lo recogen las FAQ del CCN), coherente con la exigencia del artículo 31.1 del RD 311/2022 de someter el sistema a auditoría ordinaria al menos cada dos años. Ojo con la confusión más habitual: el ciclo de tres años con auditorías de seguimiento intermedias es el de ISO 27001, no el del ENS. Planifica la siguiente auditoría contando dos años, no tres. Cambios mayores en el sistema (alcance, infraestructura, categoría) deben comunicarse al organismo certificador sin esperar a esa fecha.
Cómo elegir entidad certificadora ENS sin equivocarse
La elección de la entidad certificadora marca calendario, presupuesto y, sobre todo, la experiencia del proceso. El punto de partida es cerrado: solo pueden certificar el ENS las entidades acreditadas por ENAC para ese esquema. Entre las acreditadas están AENOR, Bureau Veritas, SGS, LRQA, TÜV y AUDISEC, y el directorio actualizado se consulta siempre en la web de ENAC. No voy a decirte cuál es mejor —no tengo datos comparables que lo sustenten y sería injusto—, pero sí puedo decirte qué preguntarles a todas por igual.
Criterio 1 · experiencia sectorial
Pregunta cuántos sistemas como el tuyo han auditado: misma categoría, sector parecido y tamaño parecido. Y pide referencias del auditor concreto que te van a asignar, no solo de la entidad: quien se sienta enfrente durante la fase 2 es una persona, no un logotipo.
Criterio 2 · disponibilidad de agenda
Las agendas se llenan y condicionan tu calendario más de lo que la gente espera. Antes de firmar nada, pide por escrito las fechas reales de fase 1 y fase 2 y comprueba que encajan con el plazo que te exige tu cliente público. Si el contrato te obliga a presentar el certificado en una fecha concreta, la agenda del certificador decide más que el precio.
Criterio 3 · honorarios y desglose
Pide oferta a varias entidades acreditadas y exige desglose detallado: fase 1, fase 2, desplazamientos, gestión administrativa, emisión del certificado y, sobre todo, número de jornadas de auditoría incluidas. Compara jornadas, no solo importe: una oferta más barata puede serlo porque incluye menos días de auditoría, y eso se acaba notando en el informe.
Auditoría ENS contra auditoría tipo ISACA (CISA, CRISC): qué cambia
Algunas empresas grandes se enfrentan a auditorías ISACA (CISA-style) de sus clientes y se preguntan cómo difieren de la auditoría ENS. La diferencia es clara: la auditoría ISACA mira gobierno, gestión del riesgo, gestión de servicios IT y aseguramiento del valor; está pensada para auditoría interna corporativa, no para certificación oficial.
El auditor ENS no se dedicará a discutir gobierno corporativo: irá directo al cumplimiento de medidas del Anexo II. Pero si tu organización tiene buena base ISACA, los procesos internos te facilitarán la vida en la fase 1 documental de ENS. Aprovechar esa base sin confundir auditorías es una palanca útil para empresas con función de auditoría interna madura.
Herramientas que te facilitan la auditoría desde dentro
Cinco herramientas o tipos de plataforma reducen sensiblemente el coste de preparación de una auditoría ENS.
GRC ligero (Excel estructurado o herramienta SaaS). Una hoja de evidencias por medida del Anexo II con responsable, ubicación, fecha de última actualización y enlace. Para una PYME, Excel funciona; a partir de cierta complejidad, herramientas como Vanta, Drata o Eramba simplifican el mantenimiento.
SIEM o equivalente para logs. Microsoft Sentinel, Splunk, Wazuh o ELK Stack centralizan logs con búsqueda. Sin centralización no se puede demostrar revisión periódica.
Gestor de identidades con MFA universal. Microsoft Entra ID, Okta o equivalente. El auditor pedirá listado de usuarios privilegiados con MFA: si está en la nube, son 30 segundos; si está en spreadsheets manuales, son horas.
Plataforma de formación y phishing. KnowBe4, Hoxhunt, Mailteck. Genera automáticamente evidencia de asistencia, simulacros de phishing y métricas de cultura. Cubre dos no conformidades habituales en una sola herramienta.
Solución de copias con prueba automatizada. Veeam, Acronis, Microsoft 365 Backup con verificación. La clave es la prueba automatizada documentada: el auditor pide informe de la última restauración y debe existir, fechado, con resultado y con responsable.
Errores de último minuto: lo que aún puedes corregir en la víspera
Si llegas a los 7 días previos a la auditoría externa y detectas alguno de estos cinco errores, todavía hay margen para corregirlos.
1. La página web no tiene política de privacidad y cookies actualizada. El auditor mirará. Actualizar plantilla con asesor RGPD, publicar y guardar evidencia. 4-6 horas.
2. No hay registro de la última reunión del comité de seguridad. Convoca al comité en formato breve, genera acta con orden del día y acuerdos básicos. Fecha real, no retrodatada (el auditor lo detecta).
3. La copia de seguridad del último mes no tiene prueba de restauración. Ejecuta la prueba ahora, documenta el procedimiento, registra resultado.
4. El inventario de SaaS está desactualizado. Pasa una hora con IT y compras revisando facturación de subscripciones cloud del último año. Actualiza el inventario y revisa cláusulas.
5. La formación obligatoria del último año no tiene acuse de recibo de algún empleado. Envía recordatorio formal con plazo de 24 horas y guarda el registro de respuesta.
Si llegas al día D con estos cinco puntos resueltos, has eliminado el 60 % de las no conformidades menores que el auditor habría detectado.
Cultura de auditoría: cómo viven el ciclo las empresas maduras
Las empresas más maduras no viven la auditoría ENS como un evento puntual sino como un punto fijo en un ritmo anual de mejora continua. Tres hábitos distinguen a una empresa con cultura de auditoría de una empresa que solo aprueba auditorías.
Primer hábito: mini-revisiones mensuales de evidencias. Una vez al mes, media hora con el comité de seguridad y los responsables de sistemas para refrescar evidencia sobre medidas críticas. Sin tecnología, solo disciplina. Resultado: cuando llega el auditor la evidencia es de los últimos 30 días, no de hace 6 meses.
Segundo hábito: simulacros pequeños de incidentes. Cada trimestre, simular un incidente real (portátil perdido, correo sospechoso abierto, caída de servidor) y ejecutar el procedimiento de punta a punta. Documentar. Lecciones aprendidas. Actualizar procedimiento si procede. El auditor reconoce a la empresa que ensaya porque responde sin dudar sobre escenarios que ya han ocurrido.
Tercer hábito: plan voluntario de mejora. Cada año añadir 2-3 controles más allá del mínimo estricto de su categoría como mejora voluntaria. Documentar la justificación. El auditor valora el gesto y la empresa gana madurez real. Es también una defensa en caso de incidente: la voluntad de hacer más demuestra diligencia debida.
Estos tres hábitos no exigen un CISO ni una gran inversión. Exigen rutina. La rutina se construye sumando la misma hora cada mes y no saltándola. Las empresas que lo hacen certifican a la primera año tras año, con auditorías de seguimiento cerradas sin hallazgos y una postura de seguridad real muy por encima del mínimo exigido por el marco.
Autor: Ángel Ortega Castro · consultor independiente en estrategia, cumplimiento y digitalización para PYMEs españolas y administraciones públicas. Aranda de Duero (Burgos) · Castilla y León.