Com preparar-se per a una auditoria de compliment de l’ENS?

De Carles Latorre el 19.2.2026

auditoria-cumplimiento-ens

Preparar-se per a una auditoria de compliment de l’Esquema Nacional de Seguridad (ENS) és un procés que va molt més enllà de recopilar documents i obtenir un certificat. Requereix una planificació adequada, la implantació real de controls de seguretat i un enfocament de millora contínua en la gestió de la seguretat de la informació. Una auditoria ENS no només verifica el compliment normatiu, sinó també l’efectivitat de les mesures de seguretat aplicades als sistemes d’informació d’una organització.

Abans d’iniciar qualsevol preparació, és imprescindible comprendre què exigeix l’ENS. Regulada pel Reial Decret 311/2022, aquesta normativa estableix un conjunt de requisits de seguretat aplicables a les administracions públiques, als proveïdors que presten serveis o gestionen informació per a elles i, en determinats supòsits, a sistemes que tracten informació classificada i a operadors de serveis essencials quan així ho exigeix el marc normatiu corresponent.

Un dels punts centrals és la Guia CCN-STIC 808, elaborada pel Centro Criptológico Nacional, que recull l’itinerari d’auditoria per verificar el compliment de l’ENS. Aquesta guia és clau tant per a qui audita com per a qui s’ha de sotmetre a auditories, perquè detalla com es comproven els diferents requisits i mesures de seguretat establerts a l’Annex II de l’ENS.

A més, durant la fase de preparació resulten especialment rellevants altres guies del CCN-STIC. La Guia CCN-STIC 803 estableix la metodologia per a la valoració i categorització dels sistemes d’informació, mentre que la Guia CCN-STIC 804 proporciona directrius pràctiques per a la implantació efectiva de les mesures de l’ENS. En conjunt, aquestes guies constitueixen la referència tècnica principal per abordar correctament les fases prèvies a l’auditoria.

Nueva llamada a la acción

Planificar la preparació: fases prèvies a l’auditoria

Definició de l’abast i categorització

El primer pas en la preparació consisteix a definir clarament quins sistemes d’informació seran auditats i quina és la seva categoria de seguretat (bàsica, mitjana o alta). Aquesta categorització es basa en la criticitat dels serveis i la sensibilitat de la informació que gestionen, seguint les directrius de valoració establertes a la Guia CCN-STIC 803. En funció d’això, les exigències de seguretat seran més o menys elevades.

Tenir un abast ben delimitat permet centrar els esforços de preparació en aquells processos i controls que realment seran objecte de verificació, cosa que redueix riscos d’improvisació i omissions el dia de l’auditoria.

Elaborar i implantar un pla d’adequació i seguretat

Un cop definits l’abast i la categorització, és fonamental comptar amb un Pla d’adequació a l’ENS que inclogui, entre altres elements, la política de seguretat de la informació, l’anàlisi de riscos i la documentació de compliment corresponent.

En sistemes de categoria MITJANA i ALTA es requereix l’elaboració d’una Declaració d’Aplicabilitat (DA), mentre que per a sistemes de categoria BÀSICA el Reial Decret 311/2022 introdueix el perfil de compliment com a mecanisme específic simplificat de justificació del compliment normatiu.

Aquest pla actua com a full de ruta per implantar les mesures necessàries i garantir que els controls de seguretat no només estan documentats, sinó que funcionen de manera efectiva, seguint les recomanacions pràctiques recollides a la Guia CCN-STIC 804.

La implantació de la seguretat no s’ha d’entendre com un mer tràmit documental. Implica integrar els controls de seguretat en l’operativa diària dels sistemes d’informació i en els processos de gestió de l’organització, acompanyats d’evidència que es pugui presentar durant l’auditoria.

Implantar controls i demostrar-ne l’efectivitat

Mesures de seguretat operatives i de gestió

Una auditoria ENS no es limita a comprovar l’existència de polítiques o manuals. Avalua si les mesures de seguretat funcionen en la pràctica. Això significa que els procediments, registres, controls tècnics i evidències han d’estar actualitzats i ser accessibles. Per exemple, si existeix un control d’accés lògic a un sistema, no n’hi ha prou amb descriure’l, sinó que cal disposar de registres que en demostrin l’ús, revisions periòdiques i accions correctores quan correspongui.

De la mateixa manera, la gestió d’incidents, les còpies de seguretat, la continuïtat del servei i la gestió documental han d’estar implementades i ser coherents entre si. L’auditoria, basada en criteris i mètodes recollits a la normativa i a les guies de l’ENS, es recolzarà en evidència tangible per avaluar l’eficàcia de cada mesura de seguretat.

Preparació d’evidències consistents

La generació d’evidències no es pot deixar per a l’últim moment. Evidències consistents inclouen registres de configuracions, logs d’accés, informes de proves de seguretat, actes de reunions de seguretat, informes d’anàlisi de riscos i qualsevol document que demostri que les mesures de seguretat s’apliquen, es revisen i s’actualitzen. En auditories ENS, l’absència d’evidències clares pot derivar en no conformitats, que tenen un impacte directe en el resultat de l’avaluació.

Assajos previs i auditories internes

Realitzar un assaig previ en condicions similars a l’auditoria formal ajuda a identificar punts febles i àrees de millora que poden passar desapercebudes en el dia a dia. Aquestes revisions internes, conegudes com a auditories internes, són especialment útils per detectar llacunes en la documentació, en la implantació de controls o en la coherència dels processos de seguretat.

Així mateix, el tipus d’auditoria dependrà de la categoria del sistema. Segons la Guia CCN-STIC 808, els sistemes de categoria BÀSICA es poden avaluar mitjançant autoavaluació, mentre que els sistemes de categoria MITJANA i ALTA han de ser auditats per entitats certificades o auditors amb qualificació reconeguda. Conèixer aquest requisit des de la fase de preparació permet adaptar la generació d’evidències i el nivell de formalització esperat durant l’avaluació.

Una simulació d’auditoria també permet a l’equip responsable familiaritzar-se amb l’enfocament dels auditors externs, el tipus d’evidència que se sol sol·licitar i les possibles preguntes que poden sorgir durant la revisió.

Integrar la millora contínua en la preparació

La preparació per a una auditoria ENS no és un esdeveniment aïllat, sinó part d’un procés continu de millora de la seguretat. A mesura que canvien els sistemes, l’organització o el panorama d’amenaces, les mesures de seguretat s’han d’adaptar i evolucionar. Integrar millores contínues en la gestió de la seguretat demostra la maduresa i el compromís real de l’organització amb la protecció de la informació.

Preparar-se per a una auditoria de compliment de l’ENS requereix una visió estratègica i pràctica de la seguretat de la informació. Des de comprendre a fons els requisits normatius fins a implantar controls efectius i generar evidència verificable, cada pas és fonamental per afrontar amb èxit la certificació. Planificar amb antelació, aplicar mesures efectives i mantenir un enfocament de millora contínua són la base no només per complir la normativa, sinó també per reforçar la seguretat i la resiliència dels sistemes d’informació en qualsevol organització que operi en l’àmbit públic espanyol, però també en el privat.
Article anterior
← Ciberatacs més comuns en el sector legal
Següent article
Utilització d’aplicacions i sistemes al núvol (cloud) en el sector biotech: riscos i protecció →
Diferències entre l’ENS i altres normatives internacionals
Ciberseguretat

Diferències entre l’ENS i altres normatives internacionals

11.2.2026 4 min lectura
Principals ciberatacs a empreses del sector legal
ciberataques-sector-legal
Ciberseguretat

Principals ciberatacs a empreses del sector legal

7.1.2026 4 min lectura
Protecció de dades sanitàries: compliment del RGPD en hospitals
rgdp sector sanitario
Ciberseguretat

Protecció de dades sanitàries: compliment del RGPD en hospitals

27.1.2023 3 min lectura

Subscriu-te al nostre butlletí i coneix totes les novetats en tecnologia i ciberseguretat.
accio-10-negre (1)
pyme_innovadora_meic-SP_web
kit consulting cabecera