CCN-CERT publica una guía para realizar auditorías del ENS

El Centro Criptológico Nacional (CCN-CERT) ha publicado la Guía CCN- STIC 802 de Auditoría del Esquema Nacional de Seguridad, con el fin de que todas las auditorías del Esquema Nacional de Seguridad (ENS) cumplan unos requisitos mínimos y que se realicen de forma homogénea. Ofrece pautas para la definición de alcance y objeto de la auditoría, el equipo auditor, la planificación de la auditoría, la presentación de los hallazgos y del informe final. Se centra en establecer unas pautas genéricas que ayuden a llevar a cabo auditorías centradas en seguridad.

Además de toda esta información que nos dirige durante todos los pasos de una auditoría, incluyen varios anexos útiles: requisitos para el auditor, incorporación de expertos técnicos, modelo de acuerdo de confidencialidad, un glosario y una bibliografía de referencia.

El objetivo del ENS (Esquema Nacional de Seguridad) es la seguridad y protección de la información al utilizar medios electrónicos en el ámbito de la Administración Electrónica Española. En específico, el artículo 34 del Real Decreto 3/2010 del 8 de enero por el que se regula el ENS se centra en que los sistemas de información de categorías alta o media, al igual que las empresas privadas que presten servicios del Esquema Nacional de Seguridad a organizaciones públicas, deben someterse a una auditoría regular ordinaria, al menos cada dos años.

Es por ello que esta guía es muy útil para todos los auditores de seguridad pues da unas tácticas generales que posteriormente cada equipo auditor puede poner en práctica de acuerdo con sus proyectos y objetivos específicos.