Auditoría ENS para empresas proveedoras: cómo prepararse y superarla a la primera.

En este artículo

1. Tipos de auditoría ENS: interna, externa, sorpresa
2. Calendario de preparación (8-10 semanas)
3. Evidencias obligatorias por dimensión
4. Las 15 no conformidades más frecuentes
5. Diferencias prácticas con la auditoría ISO 27001
6. Cómo se desarrolla un día de auditoría externa
7. Después de la auditoría: cierre y certificación
8. Preguntas frecuentes

Tipos de auditoría ENS: interna, externa, sorpresa

El Anexo III del Real Decreto 311/2022 exige al menos tres tipos de actividades de auditoría sobre el sistema durante el ciclo de vida de la certificación. Conocer la diferencia desde el principio evita preparar mal cada una de ellas.

Auditoría interna

Es la primera línea de defensa. La ejecuta personal cualificado independiente del sistema auditado (no puede ser quien diseñó o implantó los controles) y debe cubrir todas las medidas del Anexo II aplicables a la categoría. Su periodicidad mínima es bienal pero la práctica más sólida la planifica anualmente, dividida en bloques (acceso, continuidad, formación, etc.). Sus hallazgos se documentan como no conformidades mayores, menores u oportunidades de mejora. Se cierran con plan de acciones correctivas antes de la siguiente auditoría externa.

Auditoría externa de certificación

La ejecuta una entidad certificadora acreditada por ENAC para el ENS. Tiene dos fases. La fase 1 es documental: el auditor revisa política de seguridad, declaración de aplicabilidad, análisis de riesgos, procedimientos clave, evidencias de la auditoría interna y registro de incidentes. Dura 1-2 días, normalmente en remoto. La fase 2 es de implementación: el auditor visita la sede o sedes, entrevista a personal de distintos niveles (directivo, técnico, usuario), audita controles concretos con muestreo. Dura 2-4 días para una PYME en categoría MEDIA.

Auditoría de seguimiento

Bienal en el periodo de vigencia del certificado (tres años). Más ligera que la inicial, suele durar 2-3 días para una PYME y se centra en cambios producidos desde la última auditoría, hallazgos pendientes y muestreo de medidas críticas. No es una segunda certificación: confirma el mantenimiento del sistema.

Auditoría sorpresa o auditoría motivada

El CCN-CERT puede solicitar una auditoría motivada en caso de incidente significativo, queja fundada o sospecha de incumplimiento sistémico. Es infrecuente pero existe. La empresa tiene obligación de colaborar y aportar evidencias. La mejor preparación es mantener el sistema realmente vivo durante todo el ciclo, no solo en la víspera de la auditoría programada.

Calendario de preparación (8-10 semanas)

El siguiente calendario asume que el sistema ya está adecuado (controles implantados, política aprobada, análisis de riesgos hecho, formación impartida) y solo se prepara la auditoría externa de certificación. Si todavía hay controles por desplegar, hay que sumar el calendario de adecuación previa.

Semanas -10 a -8 · planificación y mapa de evidencias

Se acuerda con el organismo certificador el alcance, la categoría, el calendario y los entrevistados. Se construye un mapa de evidencias por medida del Anexo II: para cada medida aplicable, dónde está la evidencia (carpeta, sistema, persona). Esto se documenta en una hoja de cálculo o GRC. Sin este mapa la auditoría es un caos de búsqueda de última hora.

Semanas -7 a -5 · auditoría interna completa

Si la auditoría interna anual reciente cubrió todas las medidas, se actualiza el registro de hallazgos. Si no, se ejecuta una pre-auditoría interna específica. Aquí es habitual contratar a un consultor externo distinto del que hizo la implantación: un par de ojos nuevos detecta lo que el equipo ha dejado de ver.

Semanas -4 a -3 · cierre de hallazgos críticos

Los hallazgos críticos identificados en la pre-auditoría se cierran con prioridad. Los menos críticos se documentan como oportunidades de mejora con plan de acción.

Semanas -2 a -1 · ensayo de entrevistas y limpieza documental

Se ensaya con los entrevistados las preguntas más probables: política de seguridad, gestión de incidentes, copia de seguridad, control de accesos, formación recibida. No es que el personal recite documentos: es que demuestre que conoce sus responsabilidades. La documentación se ordena por dimensión y por medida en una unidad compartida con permisos de solo lectura para el auditor.

Semana 0 · auditoría externa

El día de la auditoría hay que tener: persona de contacto único con autoridad para resolver dudas, sala dedicada al auditor con conectividad y proyección, agenda de entrevistas confirmada con margen, los entrevistados liberados de su agenda regular ese día, café y comida. Los detalles logísticos importan porque marcan el tono.

Evidencias obligatorias por dimensión

Las evidencias se organizan por las cinco dimensiones del Anexo II. Para cada una identifico aquí las evidencias mínimas que el auditor pedirá.

Confidencialidad

Política de clasificación de la información, inventario de información clasificada, controles de acceso aplicados según clasificación, política de criptografía, evidencia de cifrado de datos en reposo y en tránsito, registros de acceso a información clasificada, evidencia de control en endpoints (DLP, cifrado de disco) y procedimiento de destrucción segura de soportes.

Integridad

Procedimiento de gestión de cambios documentado con aprobaciones, registros de cambios producidos en los últimos 12 meses, controles de integridad sobre bases de datos críticas (firma, hash, auditoría de modificaciones), validación de datos de entrada en aplicaciones, evidencia de pruebas en entornos de desarrollo y preproducción.

Trazabilidad

Política de registro y monitorización, configuración de logs (qué se registra, dónde se guarda, cuánto tiempo), evidencia de revisión periódica de logs (no basta con tenerlos, hay que revisarlos), correlación de eventos en un SIEM o equivalente, capacidad de reconstruir un incidente con los logs.

Autenticidad

Política de identidad y autenticación, inventario de usuarios y privilegios, evidencia de MFA en accesos privilegiados, procedimiento de alta y baja con SLA documentado, revisión trimestral de privilegios con evidencia, uso de firma electrónica cualificada donde aplique.

Disponibilidad

Análisis de impacto en el negocio (BIA), plan de continuidad de negocio, procedimientos de respaldo y restauración con evidencia de prueba reciente (la prueba documentada de la última restauración real es la evidencia más solicitada y la que más empresas no tienen), métricas de RPO y RTO, evidencia de redundancia de infraestructura donde aplique, plan de crisis y comunicaciones.

Las 15 no conformidades más frecuentes

De las auditorías ENS de los últimos 24 meses que he analizado y comentado con auditores de tres entidades certificadoras, los 15 hallazgos que aparecen con más frecuencia son los siguientes.

Control de accesos (37 % del total)

1. Cuentas privilegiadas sin MFA o con MFA débil (SMS en lugar de aplicación o token).
2. Cuentas de servicio sin caducidad documentada y sin revisión periódica.
3. Privilegios de administrador concedidos hace años sin revisión.
4. Procedimiento de baja con SLA superior a 24 horas (regular sería <4 h).
5. Cuentas genéricas compartidas sin trazabilidad individual.

Continuidad y respaldos (19 %)

6. Copias de seguridad sin prueba documentada de restauración en los últimos 12 meses.
7. Plan de continuidad de negocio sin actualizar tras cambios mayores.
8. Ausencia de prueba o ejercicio de continuidad anual.

Gestión de incidentes (14 %)

9. Registro de incidentes incompleto o sin clasificación por severidad.
10. Falta de procedimiento de comunicación a CCN-CERT o autoridad competente para incidentes notificables.

Proveedores (12 %)

11. Contratos con proveedores TIC sin cláusulas de seguridad ni obligación de auditoría.
12. Falta de inventario de proveedores SaaS con datos del cliente público.

Trazabilidad (10 %)

13. Logs configurados pero nunca revisados (sin evidencia de revisión periódica).
14. Tiempo de retención de logs inferior al exigido por la categoría.

Resto (8 %)

15. Análisis de riesgos desactualizado (más de 12 meses sin revisión) o con metodología no MAGERIT bien justificada.

Cinco diferencias prácticas con la auditoría ISO 27001

Si tu empresa ya tiene ISO 27001 vigente y va a auditar también ENS, conviene tener claras las cinco diferencias prácticas para evitar errores estratégicos.

1. El enfoque

ISO 27001 audita el sistema de gestión (la mecánica del SGSI: política, riesgos, mejora continua). ENS audita el sistema concreto y la implantación de las medidas del Anexo II. El auditor ENS pide ver controles operando, no solo procedimientos.

2. La métrica de éxito

ISO 27001 acepta cierto nivel de riesgo residual si está justificado. ENS prescribe medidas concretas obligatorias por categoría: no aplicarlas no es un "riesgo asumido", es una no conformidad mayor.

3. La nacionalidad de los productos

ISO 27001 no exige productos concretos. ENS, sobre todo en categoría ALTA y en componentes específicos de MEDIA, exige productos cualificados por el CPSTIC del CCN. Esto puede obligar a sustituir tecnología que en ISO era perfectamente válida.

4. La autoridad supervisora

En ISO el supervisor último es la entidad certificadora y, sobre ella, ENAC. En ENS, además, está el CCN-CERT como autoridad nacional con capacidad de inspección.

5. La integración con otras normas

ENS dialoga natural con NIS2 y con la Ley de Protección de Infraestructuras Críticas. ISO 27001 dialoga natural con ISO 27002, 27017, 27018 y los frameworks NIST. Un auditor ENS te preguntará por NIS2; un auditor ISO te preguntará por NIST CSF.

Cómo se desarrolla un día de auditoría externa

Para que el equipo no llegue a ciegas al día D, este es un día tipo de auditoría in situ en una PYME proveedora en categoría MEDIA.

09:00 reunión de apertura con dirección, responsable de seguridad y persona de contacto único. El auditor presenta el plan de auditoría, las técnicas que usará (revisión documental, entrevistas, observación, muestreo) y resuelve dudas. Dura 30-45 minutos.

09:45 revisión documental dirigida con el responsable de seguridad: política de seguridad, declaración de aplicabilidad, análisis de riesgos, plan de tratamiento. Dura 2-3 horas.

12:30 entrevista con el responsable de TI sobre gestión de accesos, criptografía, monitorización, copias de seguridad. Suelen pedir evidencia en directo: "muéstrame la última prueba de restauración". Dura 1-2 horas.

14:30 entrevista con un usuario final aleatorio (auxiliar administrativo, comercial, etc.) sobre formación recibida, contraseñas, qué hace si recibe un correo sospechoso, dónde está la política. 20-30 minutos.

15:00 entrevista con responsable de RRHH sobre alta, baja y formación del personal. 30-45 minutos.

16:00 entrevista con responsable de proveedores o contratos sobre cláusulas de seguridad, inventario de SaaS, revisión de proveedores críticos. 30-45 minutos.

17:00 cierre del día con resumen oral de hallazgos preliminares al responsable de seguridad. No es vinculante: los hallazgos definitivos van en el informe final.

Después de la auditoría: cierre y certificación

El informe de auditoría llega entre 2 y 4 semanas después de la visita. Documenta los hallazgos como no conformidades mayores, no conformidades menores u observaciones. El procedimiento de cierre varía según el tipo de hallazgo.

Las no conformidades mayores deben cerrarse antes de la emisión del certificado. El plazo habitual es de 60-90 días desde la recepción del informe. Hay que presentar plan de acción correctiva, ejecutarlo, evidenciar el cierre y, si el auditor lo considera, recibir una visita corta de verificación.

Las no conformidades menores pueden cerrarse en el plazo siguiente al recibo del certificado, con compromiso firme de cierre y verificación en la auditoría de seguimiento bienal.

Las observaciones u oportunidades de mejora no son obligación: son recomendaciones para fortalecer el sistema. Documentarlas e incluirlas en el plan de mejora interno es buena práctica y se valora positivamente en la auditoría siguiente.

El certificado emitido tiene validez de tres años desde la fecha de decisión de certificación. Se mantiene con la auditoría de seguimiento bienal y se renueva con una auditoría de recertificación al final del ciclo. Cambios mayores en el sistema (alcance, infraestructura, categoría) deben comunicarse al organismo certificador.

Cómo elegir entidad certificadora ENS sin equivocarse

La elección de la entidad certificadora marca calendario, presupuesto y, sobre todo, la experiencia del proceso. Las seis entidades más activas en España para ENS son AENOR, Bureau Veritas, SGS, LRQA, TÜV Rheinland y AUDISEC. Tres criterios discriminan bien entre ellas.

Criterio 1 · experiencia sectorial

Algunas entidades llevan más auditorías ENS en tu sector que otras. AENOR domina el sector público y servicios profesionales. Bureau Veritas tiene volumen en industria y logística. SGS es fuerte en tecnología y software. LRQA en consultoría y servicios financieros. Pedir referencias del auditor concreto que te asignan, no solo de la entidad, es buena práctica.

Criterio 2 · disponibilidad de agenda

Las agendas se llenan. AENOR puede tener listas de espera de 4-6 meses para fechas concretas; las otras suelen comprometer fechas con 6-10 semanas de antelación. Si tu cliente público te exige certificado en mes 8 desde la formalización, el factor agenda decide más que el precio.

Criterio 3 · honorarios y desglose

Las diferencias para una PYME en categoría MEDIA son de 1.500-3.000 € entre las seis entidades. Pedir oferta a tres y exigir desglose detallado (fase 1, fase 2, viajes, gestión administrativa, emisión) evita sorpresas. Cuidado con ofertas significativamente más baratas: pueden estar quitando días de auditoría que se traducen en una auditoría menos rigurosa y peor reputación de tu certificado ante el cliente público.

Auditoría ENS contra auditoría tipo ISACA (CISA, CRISC): qué cambia

Algunas empresas grandes se enfrentan a auditorías ISACA (CISA-style) de sus clientes y se preguntan cómo difieren de la auditoría ENS. La diferencia es clara: la auditoría ISACA mira gobierno, gestión del riesgo, gestión de servicios IT y aseguramiento del valor; está pensada para auditoría interna corporativa, no para certificación oficial.

El auditor ENS no se dedicará a discutir gobierno corporativo: irá directo al cumplimiento de medidas del Anexo II. Pero si tu organización tiene buena base ISACA, los procesos internos te facilitarán la vida en la fase 1 documental de ENS. Aprovechar esa base sin confundir auditorías es una palanca útil para empresas con función de auditoría interna madura.

Herramientas que te facilitan la auditoría desde dentro

Cinco herramientas o tipos de plataforma reducen sensiblemente el coste de preparación de una auditoría ENS.

GRC ligero (Excel estructurado o herramienta SaaS). Una hoja de evidencias por medida del Anexo II con responsable, ubicación, fecha de última actualización y enlace. Para una PYME, Excel funciona; a partir de cierta complejidad, herramientas como Vanta, Drata o Eramba simplifican el mantenimiento.

SIEM o equivalente para logs. Microsoft Sentinel, Splunk, Wazuh o ELK Stack centralizan logs con búsqueda. Sin centralización no se puede demostrar revisión periódica.

Gestor de identidades con MFA universal. Microsoft Entra ID, Okta o equivalente. El auditor pedirá listado de usuarios privilegiados con MFA: si está en la nube, son 30 segundos; si está en spreadsheets manuales, son horas.

Plataforma de formación y phishing. KnowBe4, Hoxhunt, Mailteck. Genera automáticamente evidencia de asistencia, simulacros de phishing y métricas de cultura. Cubre dos no conformidades habituales en una sola herramienta.

Solución de copias con prueba automatizada. Veeam, Acronis, Microsoft 365 Backup con verificación. La clave es la prueba automatizada documentada: el auditor pide informe de la última restauración y debe existir, fechado, con resultado y con responsable.

Errores de último minuto: lo que aún puedes corregir en la víspera

Si llegas a los 7 días previos a la auditoría externa y detectas alguno de estos cinco errores, todavía hay margen para corregirlos.

1. La página web no tiene política de privacidad y cookies actualizada. El auditor mirará. Actualizar plantilla con asesor RGPD, publicar y guardar evidencia. 4-6 horas.

2. No hay registro de la última reunión del comité de seguridad. Convoca al comité en formato breve, genera acta con orden del día y acuerdos básicos. Fecha real, no retrodatada (el auditor lo detecta).

3. La copia de seguridad del último mes no tiene prueba de restauración. Ejecuta la prueba ahora, documenta el procedimiento, registra resultado.

4. El inventario de SaaS está desactualizado. Pasa una hora con IT y compras revisando facturación de subscripciones cloud del último año. Actualiza el inventario y revisa cláusulas.

5. La formación obligatoria del último año no tiene acuse de recibo de algún empleado. Envía recordatorio formal con plazo de 24 horas y guarda el registro de respuesta.

Si llegas al día D con estos cinco puntos resueltos, has eliminado el 60 % de las no conformidades menores que el auditor habría detectado.

Cultura de auditoría: cómo viven el ciclo las empresas maduras

Las empresas más maduras no viven la auditoría ENS como un evento puntual sino como un punto fijo en un ritmo anual de mejora continua. Tres hábitos distinguen a una empresa con cultura de auditoría de una empresa que solo aprueba auditorías.

Primer hábito: mini-revisiones mensuales de evidencias. Una vez al mes, media hora con el comité de seguridad y los responsables de sistemas para refrescar evidencia sobre medidas críticas. Sin tecnología, solo disciplina. Resultado: cuando llega el auditor la evidencia es de los últimos 30 días, no de hace 6 meses.

Segundo hábito: simulacros pequeños de incidentes. Cada trimestre, simular un incidente real (portátil perdido, correo sospechoso abierto, caída de servidor) y ejecutar el procedimiento de punta a punta. Documentar. Lecciones aprendidas. Actualizar procedimiento si procede. El auditor reconoce a la empresa que ensaya porque responde sin dudar sobre escenarios que ya han ocurrido.

Tercer hábito: plan voluntario de mejora. Cada año añadir 2-3 controles más allá del mínimo estricto de su categoría como mejora voluntaria. Documentar la justificación. El auditor valora el gesto y la empresa gana madurez real. Es también una defensa en caso de incidente: la voluntad de hacer más demuestra diligencia debida.

Estos tres hábitos no exigen un CISO ni una gran inversión. Exigen rutina. La rutina se construye sumando la misma hora cada mes y no saltándola. Las empresas que lo hacen certifican a la primera año tras año, con auditorías de seguimiento cerradas sin hallazgos y una postura de seguridad real muy por encima del mínimo exigido por el marco.

---

Autor: Ángel Ortega Castro · consultor independiente en estrategia, cumplimiento y digitalización para PYMEs españolas y administraciones públicas. Aranda de Duero (Burgos) · Castilla y León.