La auditoría ENS se realiza cada 2 años por entidad acreditada ENAC. Verifica medidas del Anexo II, declaración de aplicabilidad y riesgos.
La auditoría de certificación ENS es el momento de la verdad. Después de meses de trabajo en la adecuación al Esquema Nacional de Seguridad, todo se juega en unos días en los que un equipo de auditores acreditados evaluará si su organización cumple realmente los requisitos que declara cumplir. La diferencia entre superar la auditoría a la primera o necesitar subsanaciones costosas radica casi siempre en la calidad de la preparación. Esta guía le da las claves para llegar al día de la auditoría con la máxima confianza.
🔗 ENLACE INTERNO: Si necesita entender el proceso completo de certificación, consulte nuestra guía sobre certificación ENS: proceso, requisitos y costes.
Qué evalúan los auditores: enfoque y alcance
Los auditores ENS no buscan la perfección. Buscan evidencias de que su organización ha implantado un sistema de gestión de seguridad que funciona de manera efectiva, que los controles declarados en la Declaración de Aplicabilidad están realmente operativos, y que existe una cultura de mejora continua de la seguridad.
El alcance de la auditoría abarca tres dimensiones. La primera es la dimensión documental: ¿existe la documentación requerida, es coherente y está actualizada? La segunda es la dimensión de implementación: ¿los controles están realmente implantados o solo documentados? La tercera es la dimensión de eficacia: ¿los controles funcionan y producen los resultados esperados?
Documentación imprescindible para la auditoría
Antes de que lleguen los auditores, asegúrese de tener preparada toda la documentación clave de forma organizada y accesible.
Documentos obligatorios
La política de seguridad de la información es el documento fundacional. Debe cumplir estrictamente los requisitos del Anexo II del ENS: identificar a los responsables, establecer los principios de seguridad, clasificar la información, definir la gestión de riesgos y contemplar la formación.
El análisis de riesgos debe estar completo, actualizado y realizado con una metodología reconocida (MAGERIT es la referencia). Los auditores verificarán que todos los activos relevantes están identificados, que las amenazas son realistas, que las valoraciones están justificadas y que las salvaguardas seleccionadas son proporcionales.
La Declaración de Aplicabilidad (SOA) relaciona los 73 controles del ENS con su estado de implementación. Para cada control debe indicar si aplica o no aplica (con justificación), su estado de implementación, las evidencias disponibles y los documentos de referencia.
Los procedimientos de seguridad detallan cómo se ejecutan las políticas y normativas en el día a día. Los auditores verificarán que existen procedimientos para al menos la gestión de incidentes, el control de acceso, la gestión de cambios, las copias de seguridad, la continuidad del servicio y la monitorización.
Los registros y evidencias demuestran que los procedimientos se aplican realmente. Incluyen logs de acceso, registros de incidentes, actas de reuniones del comité de seguridad, informes de auditoría interna, registros de formación y evidencias de revisiones periódicas.
Documentos complementarios pero muy valorados
El plan de mejora demuestra que la organización no se conforma con el cumplimiento mínimo sino que busca la excelencia. Los informes de la auditoría interna previa muestran madurez del sistema. Los indicadores de seguridad evidencian monitorización activa. Y el inventario de activos actualizado es imprescindible para el análisis de riesgos.
Consejos prácticos para superar la auditoría
Realice una auditoría interna rigurosa antes
La auditoría interna es su oportunidad de detectar y corregir problemas antes de que lo hagan los auditores externos. Tómesela en serio: contrate a un auditor interno con experiencia en ENS o forme a uno de sus técnicos. Los hallazgos de la auditoría interna y las acciones correctivas emprendidas demuestran al auditor externo que su sistema de mejora continua funciona.
Prepare a su equipo para las entrevistas
Los auditores entrevistarán al responsable de seguridad, al responsable del sistema, al personal técnico y potencialmente a usuarios finales. Asegúrese de que todas estas personas conocen la política de seguridad y su contenido esencial, saben qué procedimientos les aplican y dónde encontrarlos, pueden describir cómo actúan ante un incidente de seguridad, y conocen sus responsabilidades en materia de protección de la información.
No se trata de que reciten documentos de memoria, sino de que demuestren que la seguridad forma parte de su trabajo diario.
Organice las evidencias de forma accesible
Nada frustra más a un auditor que solicitar una evidencia y tener que esperar horas a que alguien la localice. Prepare una carpeta de evidencias organizada por controles del ENS, con índice y acceso rápido. Esto transmite organización y facilita enormemente el trabajo del auditor, lo que se traduce en una auditoría más ágil y una mejor impresión global.
No intente ocultar debilidades
Si hay controles que aún no están completamente implementados, es mejor reconocerlo abiertamente y mostrar un plan de acción creíble que intentar disimularlo. Los auditores tienen experiencia suficiente para detectar los intentos de maquillaje, y la transparencia genera más confianza que la perfección aparente.
Designe un interlocutor principal
El auditor necesita un punto de contacto que coordine las entrevistas, facilite las evidencias y resuelva dudas logísticas. Habitualmente este rol lo asume el responsable de seguridad o el consultor que ha acompañado la implantación.
Las 15 no conformidades más frecuentes en auditorías ENS
Conocer los errores habituales es la mejor forma de evitarlos. Estas son las no conformidades que aparecen con mayor frecuencia.
En el marco organizativo, las más comunes son la política de seguridad incompleta (sin todos los elementos del Anexo II), los roles de seguridad no formalmente designados y la ausencia de comité de seguridad o actas que evidencien su funcionamiento.
En el marco operacional, destacan el análisis de riesgos desactualizado o incompleto, el control de acceso deficiente (cuentas genéricas, privilegios excesivos, contraseñas débiles), la ausencia de gestión formal de cambios, los planes de continuidad no probados, y la monitorización insuficiente (logs que no se revisan).
En las medidas de protección, las no conformidades más frecuentes son la formación y concienciación sin evidencias, la protección criptográfica inadecuada, la gestión de soportes sin procedimiento, la seguridad física insuficiente en salas de servidores, y las comunicaciones sin cifrar en redes públicas.
🔗 ENLACE INTERNO: Para profundizar en los 73 controles del ENS, consulte nuestro desglose detallado con aplicabilidad por categoría.
Después de la auditoría: qué esperar
Una vez completada la auditoría presencial, el equipo auditor elaborará su informe en un plazo de dos a cuatro semanas. Si no hay no conformidades mayores, recibirá el certificado tras la resolución de las menores (si las hubiera). Si hay no conformidades mayores, dispondrá de un plazo para subsanarlas y presentar evidencias de corrección.
Recuerde que el certificado tiene una validez de dos años, con una auditoría de seguimiento intermedia. No relaje los controles después de obtener el certificado: el seguimiento verificará que el sistema se mantiene y mejora.
Preparación específica para ayuntamientos y entidades locales
Las entidades locales enfrentan retos adicionales: presupuestos limitados, personal técnico escaso y sistemas de información heredados. La clave para estos organismos es abordar la adecuación de forma progresiva, aprovechar las herramientas gratuitas del CCN (PILAR, CLARA, ANA, microCLOUD) y, si los recursos lo permiten, contar con asesoramiento externo especializado que conozca la realidad de la administración local.
🔗 ENLACE INTERNO: Consulte nuestra guía específica de ENS para ayuntamientos y administración local.
📩 CTA: ¿Tiene una auditoría ENS próxima y quiere asegurarse de superarla a la primera? Contacte con nosotros. Le ayudamos a preparar su organización con un pre-audit que identifique y corrija las debilidades antes de que lleguen los auditores.
Preguntas frecuentes en profundidad
¿Qué documentación debo tener lista antes de una auditoría ENS?
El auditor pedirá, como mínimo: política de seguridad firmada por dirección, declaración de aplicabilidad (DDA) con cada medida del Anexo II marcada como aplicable/no aplicable con justificación, análisis de riesgos MAGERIT con activos identificados y valorados, plan de tratamiento de riesgos aprobado y registro de incidentes activo de al menos los últimos 6 meses.
Además debe haber procedimientos operativos documentados para gestión de identidades, copias de seguridad, gestión de cambios, gestión de soportes y formación al personal. El CCN-CERT publica plantillas oficiales que aceleran la preparación.
¿Cuánto tiempo necesito para preparar una auditoría ENS?
Para una organización de categoría BÁSICA partiendo de cero, prevé 3-4 meses de preparación. Para categoría MEDIA, entre 4 y 6 meses. Categoría ALTA suele exigir 6-12 meses por la cantidad de medidas reforzadas y la madurez documental requerida.
Si ya tienes ISO 27001 certificada, puedes reducir el plazo en un 30-40 % porque el SGSI ya cubre buena parte del marco operacional. La conversión inversa también funciona: una organización con ENS implantado tiene avanzado el camino hacia ISO 27001.
¿Cuánto cuesta una auditoría ENS externa?
Para una organización pequeña de categoría BÁSICA, una auditoría externa de un Organismo de Certificación acreditado por ENAC ronda los 2.500-4.500 € por el ciclo de 3 años (auditoría inicial + seguimientos anuales). Para categoría MEDIA, entre 5.000 y 9.000 €. Para categoría ALTA, a partir de 9.000 €.
Hay que sumar el coste de implantación previa (consultoría + horas internas), que normalmente multiplica por 3-5 el coste de la auditoría. El Esquema Nacional de Seguridad es financiable con Kit Digital y Kit Consulting de Red.es para PYMEs y autónomos.
¿Quién puede auditar el ENS oficialmente?
Solo los Organismos de Certificación acreditados por ENAC bajo la norma UNE-EN ISO/IEC 17065 para certificar conforme al ENS. La lista oficial está publicada en la web de ENAC. Para Administración Pública existe además la auditoría interna habitual del CCN.
¿Qué pasa si encuentran una no conformidad mayor?
Una NC mayor impide emitir el certificado hasta que se cierre. Tienes un plazo (habitualmente 90 días) para presentar evidencia del análisis de causa raíz, la acción correctiva implantada y la verificación de eficacia. Si la cierras en plazo, el certificado se emite con la fecha original.
Si la NC mayor persiste, hay que repetir parte de la auditoría. Por eso conviene hacer una pre-auditoría interna 30-60 días antes para detectarlas y cerrarlas sin presión.
¿Cómo se mantiene la certificación ENS tras superar la primera auditoría?
El certificado dura 3 años. En el segundo y tercer año hay auditorías de seguimiento más ligeras que verifican que el sistema sigue operativo y que las medidas se mantienen. Al final del ciclo se repite una auditoría completa de renovación.
Entre auditorías debes mantener vivos los registros (incidentes, formación, revisión por dirección, métricas, gestión de cambios) y actualizar el análisis de riesgos al menos una vez al año o tras cualquier cambio relevante.
¿Necesitas ayuda con esto?
Trabaja conmigo en Adecuación al ENS
Consultoría a medida en adecuación al ENS. Primera sesión sin coste.
Agendar sesión →