14 julio 2024

Notas de seguridad

Tecnología, seguridad, protección de datos y cumplimiento

ENS: actualizada la guía de auditoría y certificación (mayo 2021)

La guía CCN-CERT IC-01/19, uno de los documentos más importantes para el proceso de certificación en el Esquema Nacional de Seguridad, ha recibido recientemente una actualización que introduce interesantes novedades para aquellas organizaciones que ya estén certificadas o aspiren a estarlo. Pasamos a comentar todas ellos.

Alcance en los certificados para servicios Cloud

Este cambio es de aplicación únicamente a las organizaciones que estén certificando la prestación de servicios en la nube en cualquiera de sus modalidades. A partir de ahora, es requisito que en la definición del alcance se haga una mención expresa a todos los CPDs que hayan sido auditados y, por tanto, que hayan sido encontrados conformes a ojos de los requisitos del ENS. Este cambio aporta un mayor grado de seguridad en el certificado. Dado que sabemos que la nube haga en ocasiones determinar la ubicación exacta de los servicios y la información, recoger estas ubicaciones en el certificado dejará claro a los consumidores de los servicios en nube qué centros son conformes y cuales no.

Dado que la certificación ENS tiene una validez de 2 años, es de esperar que en mayo del 2023 este cambio haya sido aplicado a todos los certificados que se encuentren en vigor actualmente, por lo que hasta ese momento podremos encontrarnos con algunos que no cumplan esta condición pese a ser adecuados en el momento en que fueron emitidos.

Normalización del uso de la firma electrónica

Hasta ahora, era un requisito que los certificados emitidos estuvieran firmados, al menos, digitalmente. Ahora se amplía este requisito indicando que no será válido cualquier sistema de firma, sino que habrá que hacer uso de un certificado cualificado conforme al Reglamento eIDAS. Este mismo requisito será de aplicación a partir de ahora también a los informes de auditoría, al menos en lo respectivo a la firma del Auditor Jefe.

Conversión de un certificado de categoría MEDIA en ALTA

Probablemente el cambio más importante para las organizaciones, especialmente aquellas que aspiren a una certificación de categoría ALTA pero todavía estén en proceso de implantación. Hasta el momento el criterio seguido ha sido siempre que la solicitud de certificación era para un sistema de información, alcance y categoría concreta; teniéndose que reiniciar por completo el proceso de certificación en caso de algún cambio de calado en alguno de estos elementos.

Ahora, el nuevo criterio establece que un certificado podrá convertirse de categoría MEDIA en categoría ALTA, realizando una auditoría de tiempo reducido en la que únicamente se auditen las nuevas medidas de seguridad aplicables, en lugar de tener que realizar una auditoría completa. Esto podrá hacerse siempre y cuando el certificado continúe estando vigente, el alcance a certificar se mantenga y no se hayan producido modificaciones en el sistema de información. El nuevo certificado así emitido mantendrá la vigencia del certificado original de categoría MEDIA.

Como ya sabemos, el ENS es una certificación especialmente compleja y exigente, por lo que alcanzar una certificación de categoría ALTA suele suponer un gran reto para las organizaciones. Esta modificación logrará que el proceso de obtención de esta certificación sea más progresivo, permitiendo que las organizaciones accedan primero a una certificación de categoría MEDIA y, una vez se hayan implementado y asentado los procesos, aspirar a la certificación de categoría ALTA contando con una buena base mediante una auditoría más asumible.

Otros cambios

Además de lo anterior, se han recogido de forma documentada los requisitos para los revisores de las Entidades de Acreditación. Esta figura del revisor deberá cumplir con los mismos requisitos que un Auditor Jefe.

Se recoge y documenta de forma expresa la práctica habitual de agrupación de las No Conformidades en los informes de auditoría. Como decimos, es práctica habitual y, en cualquier caso, no afecta al proceso de decisión que habitualmente han venido siguiendo las Entidades de Certificación.