Imagen destacada de la entrada

La nueva guía del CCN-CERT IC-01/19: Implicaciones clave para los procesos de auditoría y certificación bajo el Esquema Nacional de Seguridad

Certificarse en el Esquema Nacional de Seguridad (ENS) en España implica cumplir con una serie de requisitos técnicos y organizativos para garantizar la protección adecuada de la información tratada por medios electrónicos, especialmente en el ámbito del sector público o en empresas que prestan servicios a la administración, y actual conforme el NIS2, en transición de la ley en España, comporta obligación de ciberseguridad a empresas no solo públicas o esenciales, sino a la mayoría de empresas que gestione medios digitales, soluciones de servicios, y por facturación u empleados.

El establecer un marco de seguridad en la compañía, no solo ayuda a cumplir todo ello u elementos o medidas técnicas, sino que ayuda a la actividad de la empresa a una revisión continua de sus procesos, un refuerzo de su gobierno en seguridad que va desde la entrada de un empleado y su identidad, hasta marcos legales y cumplimiento continuo.

En #OptimumTIC, empresa creada en Ciberseguridad hace más de 15 años, creemos completamente en lo que vendemos, y establecemos desde nuestra creación marcos normativos de cumplimiento y certificación continua, como es también nuestro nivel de cumplimiento en el Esquema Nacional de Seguridad (ENS), actual en nivel II y con auditoria para Nivel III en este año.

El contexto regulatorio de la ciberseguridad en España continúa evolucionando para responder a los crecientes desafíos del entorno digital. En este marco, el Centro Criptológico Nacional (CCN – CERT), organismo dependiente del Centro Nacional de Inteligencia (CNI), ha publicado una nueva versión actualizada de la guía IC-01/19, documento esencial que recoge los criterios generales para la auditoría y certificación de los sistemas bajo el Esquema Nacional de Seguridad (ENS).

Esta nueva edición introduce elementos sustanciales que impactan directamente en la operativa y la responsabilidad de las organizaciones, especialmente en lo referente a la calidad, trazabilidad y rigor de las auditorías internas.

Uno de los elementos más destacados de esta nueva guía es el punto 109, que define una serie de condiciones críticas cuya ausencia o deficiencia puede tener consecuencias significativas en el resultado final de las auditorías. Específicamente, se advierte que la inexistencia de una auditoría interna, o la falta de elementos documentales clave como el Plan de Auditoría, la demostración de la idoneidad del equipo auditor o la no elaboración de un Plan de Acciones Correctivas (PAC) para abordar desviaciones identificadas, serán consideradas como factores de riesgo que inciden negativamente en el dictamen final del proceso de certificación.

Esta consideración es aún más estricta en los casos en los que los sistemas evaluados manejan información de categoría MEDIA o ALTA, dado que cualquier omisión persistente podrá derivar en una No Conformidad Mayor que, a su vez, conllevará un resultado desfavorable en la siguiente Auditoría de Certificación.

Este nuevo enfoque regulador representa una llamada de atención clara para todas las entidades públicas y privadas que deben cumplir con el ENS. No basta con tener una arquitectura técnica de seguridad aparentemente robusta si no se acompaña de una gestión documental sólida, un ciclo de auditoría riguroso y una política de mejora continua claramente definida.

Las auditorías internas no son una formalidad, sino un componente esencial del sistema de gestión de seguridad de la información, cuya ausencia compromete la trazabilidad, la transparencia y, por tanto, la credibilidad del modelo de cumplimiento adoptado por la organización.

La guía IC-01/19 en su nueva edición, por tanto, no solo refuerza el papel del auditor como figura clave dentro del proceso de certificación, sino que también pone de relieve la necesidad de establecer equipos internos o externos altamente cualificados, capaces de identificar desviaciones con precisión, proponer medidas correctivas razonables y mantener una trazabilidad verificable de cata etapa del proceso.

Asimismo, se exige una actitud proactiva frente a los hallazgos de auditoría, donde cada desviación debe abordarse no solo desde la corrección puntual, sino también desde la perspectiva de la mejora estructural.

En este nuevo contexto normativo, cobra especial relevancia contar con un aliado estratégico que no solo entienda el lenguaje técnico de la ciberseguridad, sino que tenga experiencia contrastada en auditorías, certificaciones y cumplimiento regulatorio.

En OptimumTIC somos plenamente conscientes del nivel de exigencia que requieren actualmente las organizaciones y nos encontramos en una posición de liderazgo gracias a nuestra trayectoria, compromiso y nivel de especialización. No solo dominamos la normativa del Esquema Nacional de Seguridad, sino que estamos certificados bajo los más rigurosos estándares internacionales como ISO 27001 en gestión de la seguridad de la información, así como el ENS en su categoría ALTA, entre otros marcos de referencia que garantizan nuestra capacidad para guiar a nuestros clientes hacia la excelencia operativa y normativa.

Nuestro enfoque no se limita a ejecutar auditorías desde una perspectiva de cumplimiento mínimo. Apostamos por una visión de auditoría estratégica, orientada a aportar valor real a la organización. Nuestro equipo de expertos trabaja de forma cercana y personalizada, entendiendo el contexto específico de cada cliente, adaptando la metodología de auditoría a su realidad operativa y contribuyendo a construir una cultura de seguridad basada en evidencias, procesos eficientes y mejora continua.

Además, en un entorno digital que cambia rápidamente y en el que los riesgos se multiplican con la misma velocidad que la tecnología avanza, las organizaciones necesitan mucho más que una certificación para estar protegidas. Necesitan confianza, asesoramiento continuo y una visión integral de la ciberseguridad como activo de negocio.

En definitiva, la nueva guía supone un paso más hacia la consolidación de un modelo de seguridad más exigente, robusto y profesionalizado. Y en este escenario, contar con el respaldo de una empresa como OptimumTIC marca la diferencia.

En OptimumTIC, estamos aquí para ayudarte a navegar este panorama complejo y asegurar un futuro más seguro para tu negocio hacia una resiliencia total con un Buen Gobierno de Seguridad. Si deseas saber más sobre nuestros servicios o productos, puedes contactar con nosotros sin compromiso a través de nuestra página web www.optimumtic.com, escríbenos a info@optimumtic.com.