ORG.5 Checklist de Auditoría Interna ENS
Documentos de referencia
- Real Decreto 311/2022, Artículo 38 - Auditoría de seguridad
- CCN-STIC 808: Verificación del cumplimiento del ENS
- CCN-STIC 804: Guía de implantación del ENS
- ISO 19011:2018 - Guidelines for auditing management systems
- ISO/IEC 27007:2017 - Information security management systems auditing
Propósito
Establecer un checklist completo y sistemático para la realización de auditorías internas del Esquema Nacional de Seguridad en Legit Health, asegurando la evaluación exhaustiva del cumplimiento de todos los controles aplicables a sistemas de categoría MEDIA y el rol de proveedor de servicios de dispositivo médico.
Alcance
Este checklist aplica a:
- Auditorías internas ordinarias (anuales)
- Auditorías extraordinarias
- Auditorías de seguimiento
- Pre-auditorías de certificación
- Auditorías de cambios significativos
Checklist General de Auditoría ENS
Información de la Auditoría
AUDITORIA_ENS:
Identificacion:
codigo_auditoria: "AUD-ENS-2025-XXX"
tipo: "[Ordinaria | Extraordinaria | Seguimiento | Pre-certificación]"
alcance: "Sistema completo ENS - Categoría MEDIA"
fecha_inicio: "DD/MM/AAAA"
fecha_fin: "DD/MM/AAAA"
Equipo_Auditor:
auditor_jefe: "[Nombre - Certificación]"
auditores:
- "[Nombre - Especialidad]"
- "[Nombre - Especialidad]"
observadores:
- "[Nombre - Rol]"
Areas_Auditadas:
- "Marco Organizativo"
- "Marco Operacional"
- "Medidas de Protección"
- "Gestión de Riesgos"
- "Gestión de Incidentes"
- "Continuidad del Servicio"
Criterios_Auditoria:
- "RD 311/2022 - Controles categoría MEDIA"
- "CCN-STIC aplicables"
- "Política de Seguridad ENS v1.0"
- "Procedimientos internos ENS"
Marco Organizativo [org]
ORG.1 - Política de Seguridad
## CHECKLIST: ORG.1 - POLÍTICA DE SEGURIDAD
### Existencia y Aprobación
- [ ] Existe política de seguridad documentada
- [ ] Aprobada por la Dirección (fecha: **\_\_\_\_**)
- [ ] Firmada por máximo responsable
- [ ] Fecha última revisión < 2 años
### Contenido de la Política
- [ ] Misión y objetivos de seguridad definidos
- [ ] Marco normativo referenciado (ENS, MDR, etc.)
- [ ] Roles y responsabilidades definidos
- [ ] Estructura organizativa de seguridad clara
- [ ] Datos de contacto del responsable de seguridad
### Difusión y Conocimiento
- [ ] Publicada y accesible a todo el personal
- [ ] Evidencias de comunicación al personal
- [ ] Formación sobre la política realizada
- [ ] Registros de aceptación por empleados
- [ ] Incluida en proceso de onboarding
### Evidencias a Revisar:
1. Documento de política (versión vigente)
2. Acta de aprobación por Dirección
3. Registros de difusión y formación
4. Encuestas de conocimiento
5. Procedimiento de actualización
**Conformidad:** [ ] Sí [ ] No [ ] Parcial
**Observaciones:** \***\*\*\*\*\*\*\***\_\***\*\*\*\*\*\*\***
**NC Identificadas:** \***\*\*\*\*\***\_\_\_\***\*\*\*\*\***
ORG.2 - Normativa de Seguridad
## CHECKLIST: ORG.2 - NORMATIVA DE SEGURIDAD
### Desarrollo Normativo
- [ ] Normativa desarrolla la política de seguridad
- [ ] Cubre todos los aspectos del ENS
- [ ] Adaptada a categoría MEDIA
- [ ] Considera requisitos de dispositivo médico
### Procedimientos Documentados
- [ ] Gestión de usuarios y accesos
- [ ] Uso aceptable de recursos
- [ ] Protección de información
- [ ] Gestión de incidentes
- [ ] Copias de seguridad
- [ ] Destrucción de información
- [ ] Trabajo remoto/movilidad
- [ ] Uso de cloud y servicios externos
### Actualización y Mantenimiento
- [ ] Proceso de actualización definido
- [ ] Registro de cambios mantenido
- [ ] Revisión periódica (mínimo anual)
- [ ] Aprobaciones documentadas
**Conformidad:** [ ] Sí [ ] No [ ] Parcial
**Observaciones:** \***\*\*\*\*\*\*\***\_\***\*\*\*\*\*\*\***
ORG.3 - Procedimientos de Seguridad
## CHECKLIST: ORG.3 - PROCEDIMIENTOS DE SEGURIDAD
### Procedimientos Operativos
- [ ] Instalación y configuración segura
- [ ] Mantenimiento de sistemas
- [ ] Gestión de cambios
- [ ] Gestión de capacidad
- [ ] Monitorización y registro
- [ ] Respuesta a incidentes
- [ ] Continuidad del servicio
### Documentación de Procedimientos
- [ ] Formato estandarizado
- [ ] Versionado y control de cambios
- [ ] Responsables identificados
- [ ] Diagramas de flujo cuando aplique
- [ ] Métricas e indicadores definidos
### Implementación y Cumplimiento
- [ ] Personal formado en procedimientos
- [ ] Evidencias de ejecución
- [ ] Registros de actividades
- [ ] Auditorías de cumplimiento
**Conformidad:** [ ] Sí [ ] No [ ] Parcial
**NC Identificadas:** \***\*\*\*\*\***\_\_\_\***\*\*\*\*\***
ORG.4 - Proceso de Autorización
## CHECKLIST: ORG.4 - PROCESO DE AUTORIZACIÓN
### Sistema de Autorización
- [ ] Proceso formal de autorización establecido
- [ ] Matriz de autorizaciones definida
- [ ] Nuevos sistemas requieren autorización
- [ ] Cambios significativos requieren autorización
### Documentación de Autorizaciones
- [ ] Registro de sistemas autorizados
- [ ] Responsables de sistemas identificados
- [ ] Condiciones de autorización documentadas
- [ ] Fecha y vigencia de autorizaciones
### Evidencias a Revisar:
1. Procedimiento de autorización
2. Registro de sistemas autorizados
3. Formularios de autorización completados
4. Actas de comité de seguridad
**Conformidad:** [ ] Sí [ ] No [ ] Parcial
**Observaciones:** \***\*\*\*\*\*\*\***\_\***\*\*\*\*\*\*\***
Marco Operacional [op]
Planificación [op.pl]
## CHECKLIST: OP.PL - PLANIFICACIÓN
### OP.PL.1 - Análisis de Riesgos
- [ ] Metodología de análisis definida (MAGERIT/otra)
- [ ] Inventario de activos completo y actualizado
- [ ] Valoración de activos realizada
- [ ] Amenazas identificadas y evaluadas
- [ ] Análisis de riesgos documentado
- [ ] Riesgos residuales aceptados formalmente
- [ ] Revisión periódica (mínimo anual)
- [ ] Integración con ISO 14971 (dispositivo médico)
### OP.PL.2 - Arquitectura de Seguridad
- [ ] Documentación de arquitectura actualizada
- [ ] Segmentación de red implementada
- [ ] Puntos de interconexión controlados
- [ ] Arquitectura alineada con análisis de riesgos
- [ ] Diagrama de red actualizado
- [ ] Flujos de datos documentados
### OP.PL.3 - Adquisición de Nuevos Componentes
- [ ] Requisitos de seguridad en adquisiciones
- [ ] Evaluación de seguridad de proveedores
- [ ] Cláusulas de seguridad en contratos
- [ ] Pruebas de seguridad antes de producción
### OP.PL.4 - Dimensionamiento
- [ ] Análisis de capacidad realizado
- [ ] Proyecciones de crecimiento documentadas
- [ ] Umbrales de alerta definidos
- [ ] Plan de escalabilidad
### OP.PL.5 - Componentes Certificados
- [ ] Uso de productos certificados cuando requerido
- [ ] Justificación de excepciones documentada
- [ ] Registro de certificaciones vigentes
**Conformidad Global OP.PL:** [ ] Sí [ ] No [ ] Parcial
**NC Identificadas:** \***\*\*\*\*\***\_\_\_\***\*\*\*\*\***
Control de Acceso [op.acc]
## CHECKLIST: OP.ACC - CONTROL DE ACCESO
### OP.ACC.1 - Identificación
- [ ] Sistema de identificación único implementado
- [ ] Identificadores individuales (no compartidos)
- [ ] Proceso de asignación documentado
- [ ] Trazabilidad de acciones garantizada
### OP.ACC.2 - Requisitos de Acceso
- [ ] Necesidad de conocer aplicada
- [ ] Mínimo privilegio implementado
- [ ] Matriz de perfiles y permisos definida
- [ ] Revisión periódica de accesos
### OP.ACC.3 - Segregación de Funciones
- [ ] Funciones incompatibles identificadas
- [ ] Segregación implementada
- [ ] Controles compensatorios donde aplique
- [ ] Documentación de excepciones
### OP.ACC.4 - Proceso de Gestión de Derechos
- [ ] Procedimiento de alta/baja/modificación
- [ ] Aprobaciones documentadas
- [ ] Revisión periódica de usuarios
- [ ] Depuración de cuentas inactivas
- [ ] Proceso de recertificación
### OP.ACC.5 - Mecanismo de Autenticación
- [ ] Política de contraseñas robusta
- [ ] MFA para accesos privilegiados
- [ ] Gestión segura de credenciales
- [ ] Bloqueo por intentos fallidos
### OP.ACC.6 - Acceso Local
- [ ] Control de acceso físico a sistemas
- [ ] Registro de accesos locales
- [ ] Restricción de puertos físicos
- [ ] Sesiones bloqueadas por inactividad
### OP.ACC.7 - Acceso Remoto
- [ ] VPN o canal seguro requerido
- [ ] Autenticación reforzada
- [ ] Registro de accesos remotos
- [ ] Restricción por origen/horario
**Conformidad Global OP.ACC:** [ ] Sí [ ] No [ ] Parcial
**NC Identificadas:** \***\*\*\*\*\***\_\_\_\***\*\*\*\*\***
Explotación [op.exp]
## CHECKLIST: OP.EXP - EXPLOTACIÓN
### OP.EXP.1 - Inventario de Activos
- [ ] Inventario completo y actualizado
- [ ] Clasificación de activos realizada
- [ ] Responsables asignados
- [ ] Ubicación documentada
- [ ] Relaciones y dependencias identificadas
- [ ] Herramienta de gestión de activos
### OP.EXP.2 - Configuración de Seguridad
- [ ] Guías de bastionado aplicadas
- [ ] Configuraciones documentadas
- [ ] Servicios innecesarios deshabilitados
- [ ] Configuración por defecto eliminada
- [ ] Auditoría de configuración periódica
### OP.EXP.3 - Gestión de la Configuración
- [ ] CMDB implementada
- [ ] Baseline de configuración definido
- [ ] Control de versiones
- [ ] Proceso de actualización controlado
### OP.EXP.4 - Mantenimiento
- [ ] Plan de mantenimiento documentado
- [ ] Ventanas de mantenimiento definidas
- [ ] Procedimientos de actualización
- [ ] Registro de mantenimientos realizados
### OP.EXP.5 - Gestión de Cambios
- [ ] Proceso formal de cambios (CAB)
- [ ] Clasificación de cambios
- [ ] Evaluación de impacto y riesgos
- [ ] Plan de rollback
- [ ] Registro de cambios completo
- [ ] Cambios de emergencia controlados
### OP.EXP.6 - Protección frente a Código Dañino
- [ ] Antivirus/EDR desplegado
- [ ] Actualización automática de firmas
- [ ] Escaneos programados
- [ ] Respuesta a detecciones definida
- [ ] Sandbox para análisis
### OP.EXP.7 - Gestión de Incidentes
- [ ] Procedimiento de gestión definido
- [ ] Clasificación de incidentes
- [ ] Equipo de respuesta constituido
- [ ] Herramienta de ticketing
- [ ] Métricas de gestión (MTTD, MTTR)
- [ ] Lecciones aprendidas documentadas
### OP.EXP.8 - Registro de Actividad
- [ ] Eventos a registrar definidos
- [ ] Logs centralizados
- [ ] Retención según normativa
- [ ] Sincronización temporal (NTP)
- [ ] Logs de usuarios y administradores
### OP.EXP.9 - Registro de Gestión de Incidentes
- [ ] Registro completo de incidentes
- [ ] Análisis post-incidente
- [ ] Informes a dirección
- [ ] Notificación a CCN-CERT cuando aplique
### OP.EXP.10 - Protección de Registros
- [ ] Logs protegidos contra modificación
- [ ] Acceso restringido a logs
- [ ] Backup de logs críticos
- [ ] Integridad verificable
### OP.EXP.11 - Protección de Claves Criptográficas
- [ ] Gestión del ciclo de vida
- [ ] Almacenamiento seguro (HSM/KMS)
- [ ] Procedimientos de recuperación
- [ ] Rotación periódica
- [ ] Destrucción segura
**Conformidad Global OP.EXP:** [ ] Sí [ ] No [ ] Parcial
**NC Identificadas:** \***\*\*\*\*\***\_\_\_\***\*\*\*\*\***
Servicios Externos [op.ext]
## CHECKLIST: OP.EXT - SERVICIOS EXTERNOS
### OP.EXT.1 - Contratación y SLAs
- [ ] Requisitos de seguridad en contratos
- [ ] SLAs de seguridad definidos
- [ ] Penalizaciones por incumplimiento
- [ ] Cláusulas de auditoría
- [ ] Certificaciones requeridas
### OP.EXT.2 - Gestión Diaria
- [ ] Monitorización de SLAs
- [ ] Gestión de incidencias con proveedores
- [ ] Reuniones periódicas de seguimiento
- [ ] Informes de servicio
### OP.EXT.3 - Protección Cadena Suministro
- [ ] Evaluación de riesgos de proveedores
- [ ] Verificación de componentes
- [ ] Control de actualizaciones
- [ ] Gestión de vulnerabilidades
**Conformidad Global OP.EXT:** [ ] Sí [ ] No [ ] Parcial
Continuidad del Servicio [op.cont]
## CHECKLIST: OP.CONT - CONTINUIDAD DEL SERVICIO
### OP.CONT.1 - Análisis de Impacto (BIA)
- [ ] BIA realizado y documentado
- [ ] Servicios críticos identificados
- [ ] RTO y RPO definidos
- [ ] Dependencias mapeadas
### OP.CONT.2 - Plan de Continuidad
- [ ] BCP documentado y aprobado
- [ ] Procedimientos de activación
- [ ] Roles y responsabilidades
- [ ] Información de contacto actualizada
- [ ] Integración con gestión de crisis
### OP.CONT.3 - Pruebas Periódicas
- [ ] Calendario de pruebas definido
- [ ] Pruebas realizadas (mínimo anual)
- [ ] Resultados documentados
- [ ] Mejoras implementadas
### OP.CONT.4 - Medios Alternativos
- [ ] Sitio alternativo identificado
- [ ] Sistemas de backup disponibles
- [ ] Comunicaciones alternativas
- [ ] Capacidad verificada
**Conformidad Global OP.CONT:** [ ] Sí [ ] No [ ] Parcial
Monitorización [op.mon]
## CHECKLIST: OP.MON - MONITORIZACIÓN DEL SISTEMA
### OP.MON.1 - Detección de Intrusión
- [ ] IDS/IPS implementado
- [ ] Reglas actualizadas
- [ ] Alertas configuradas
- [ ] Respuesta a alertas definida
- [ ] Correlación de eventos
### OP.MON.2 - Sistema de Métricas
- [ ] KPIs de seguridad definidos
- [ ] Dashboard de monitorización
- [ ] Informes periódicos
- [ ] Umbrales y alertas configurados
- [ ] Tendencias analizadas
**Conformidad Global OP.MON:** [ ] Sí [ ] No [ ] Parcial
Medidas de Protección [mp]
Protección de Instalaciones [mp.if]
## CHECKLIST: MP.IF - PROTECCIÓN DE INSTALACIONES
### MP.IF.1 - Áreas Separadas y Control de Acceso
- [ ] Áreas seguras definidas
- [ ] Control de acceso físico implementado
- [ ] Registro de accesos
### MP.IF.2 - Identificación de Personas
- [ ] Sistema de identificación (tarjetas, biometría)
- [ ] Visitantes escoltados
- [ ] Badges visibles
### MP.IF.3 - Acondicionamiento de Locales
- [ ] Climatización adecuada
- [ ] Control de humedad
- [ ] Protección contra polvo
### MP.IF.4 - Energía Eléctrica
- [ ] UPS instalados
- [ ] Generador de emergencia
- [ ] Pruebas periódicas
### MP.IF.5 - Protección contra Incendios
- [ ] Sistema detección y extinción
- [ ] Mantenimiento periódico
- [ ] Señalización adecuada
### MP.IF.6 - Protección contra Inundaciones
- [ ] Medidas preventivas implementadas
- [ ] Sensores de agua
- [ ] Plan de respuesta
### MP.IF.7 - Registro de Entrada/Salida
- [ ] Control de equipamiento
- [ ] Registro de movimientos
- [ ] Autorización documentada
**Conformidad Global MP.IF:** [ ] Sí [ ] No [ ] Parcial
Gestión del Personal [mp.per]
## CHECKLIST: MP.PER - GESTIÓN DEL PERSONAL
### MP.PER.1 - Caracterización del Puesto
- [ ] Requisitos de seguridad por puesto
- [ ] Verificación de antecedentes
- [ ] Acuerdos de confidencialidad
### MP.PER.2 - Deberes y Obligaciones
- [ ] Documentados y comunicados
- [ ] Aceptación formal
- [ ] Incluidos en contrato
### MP.PER.3 - Concienciación
- [ ] Programa de concienciación
- [ ] Campañas periódicas
- [ ] Material actualizado
- [ ] Métricas de efectividad
### MP.PER.4 - Formación
- [ ] Plan de formación ENS
- [ ] Formación inicial y continua
- [ ] Registros de formación
- [ ] Evaluación de competencias
**Conformidad Global MP.PER:** [ ] Sí [ ] No [ ] Parcial
Protección de Equipos [mp.eq]
## CHECKLIST: MP.EQ - PROTECCIÓN DE EQUIPOS
### MP.EQ.1 - Puesto de Trabajo Despejado
- [ ] Política de mesas limpias
- [ ] Bloqueo de pantallas
- [ ] Almacenamiento seguro
### MP.EQ.2 - Bloqueo de Puesto
- [ ] Bloqueo automático por inactividad
- [ ] Protector de pantalla con contraseña
- [ ] Tiempo configurado según política
### MP.EQ.3 - Protección de Portátiles
- [ ] Cifrado de disco completo
- [ ] Cable de seguridad
- [ ] Política de uso fuera de oficina
- [ ] MDM implementado
**Conformidad Global MP.EQ:** [ ] Sí [ ] No [ ] Parcial
Protección de Comunicaciones [mp.com]
## CHECKLIST: MP.COM - PROTECCIÓN DE COMUNICACIONES
### MP.COM.1 - Perímetro Seguro
- [ ] Firewall perimetral configurado
- [ ] DMZ implementada
- [ ] Segmentación de red
### MP.COM.2 - Protección de Confidencialidad
- [ ] Cifrado en tránsito (TLS/SSL)
- [ ] VPN para accesos remotos
- [ ] Protocolos seguros
### MP.COM.3 - Protección de Integridad
- [ ] Firma digital
- [ ] Checksums/Hash
- [ ] Certificados digitales
### MP.COM.4 - Protección de Autenticidad
- [ ] PKI implementada
- [ ] Certificados válidos
- [ ] Gestión de certificados
**Conformidad Global MP.COM:** [ ] Sí [ ] No [ ] Parcial
Protección de Información [mp.info]
## CHECKLIST: MP.INFO - PROTECCIÓN DE INFORMACIÓN
### MP.INFO.1 - Datos de Carácter Personal
- [ ] Cumplimiento RGPD/LOPD
- [ ] Medidas técnicas implementadas
- [ ] Registro de tratamientos
- [ ] DPO designado
### MP.INFO.2 - Calificación de Información
- [ ] Sistema de clasificación definido
- [ ] Información clasificada
- [ ] Marcado implementado
### MP.INFO.3 - Cifrado
- [ ] Cifrado en reposo para datos sensibles
- [ ] Algoritmos robustos
- [ ] Gestión de claves
### MP.INFO.4 - Firma Electrónica
- [ ] Sistema de firma implementado
- [ ] Certificados cualificados
- [ ] Verificación de firmas
### MP.INFO.5 - Sellos de Tiempo
- [ ] TSA configurada
- [ ] Aplicación en logs críticos
- [ ] Verificación periódica
### MP.INFO.6 - Limpieza de Documentos
- [ ] Metadatos eliminados
- [ ] Herramientas de sanitización
- [ ] Procedimiento documentado
### MP.INFO.9 - Copias de Seguridad
- [ ] Política de backup definida
- [ ] Backups automáticos
- [ ] Pruebas de restauración
- [ ] Almacenamiento seguro
- [ ] Retención según normativa
**Conformidad Global MP.INFO:** [ ] Sí [ ] No [ ] Parcial
Protección de Servicios [mp.s]
## CHECKLIST: MP.S - PROTECCIÓN DE SERVICIOS
### MP.S.1 - Protección del Correo
- [ ] Antispam configurado
- [ ] Antivirus en correo
- [ ] SPF/DKIM/DMARC
- [ ] Cifrado disponible
### MP.S.2 - Protección de Servicios Web
- [ ] WAF implementado
- [ ] HTTPS obligatorio
- [ ] Headers de seguridad
- [ ] Protección OWASP Top 10
### MP.S.8 - Protección frente a DDoS
- [ ] Mitigación DDoS activa
- [ ] Capacidad de absorción
- [ ] Procedimiento de respuesta
**Conformidad Global MP.S:** [ ] Sí [ ] No [ ] Parcial
Checklist Específico Dispositivo Médico
## CHECKLIST: INTEGRACIÓN MDR/FDA
### Requisitos Regulatorios
- [ ] Trazabilidad con requisitos MDR
- [ ] Cumplimiento FDA Cybersecurity Guidance
- [ ] Gestión de riesgos ISO 14971 integrada
- [ ] SBOM mantenido y actualizado
### Validación y Verificación
- [ ] Validación de software documentada
- [ ] Pruebas de ciberseguridad realizadas
- [ ] Penetration testing anual
- [ ] Vulnerability scanning continuo
### Post-Market Surveillance
- [ ] Monitorización de incidentes
- [ ] Actualizaciones de seguridad
- [ ] Notificación a autoridades
- [ ] PSUR actualizado
**Conformidad:** [ ] Sí [ ] No [ ] Parcial
Resumen de Hallazgos
Plantilla de Resumen
## RESUMEN EJECUTIVO - AUDITORÍA ENS
### Estadísticas Generales
- **Total Controles Auditados:** XXX
- **Controles Conformes:** XXX (XX%)
- **Controles No Conformes:** XXX (XX%)
- **Controles Parcialmente Conformes:** XXX (XX%)
- **No Aplicables:** XXX
### Clasificación de No Conformidades
| Severidad | Cantidad | Porcentaje |
| --------- | -------- | ---------- |
| Crítica | XX | XX% |
| Mayor | XX | XX% |
| Menor | XX | XX% |
### Por Marco ENS
| Marco | Conformidad | NC Críticas | NC Mayores | NC Menores |
| ------------------ | ----------- | ----------- | ---------- | ---------- |
| Organizativo | XX% | X | X | X |
| Operacional | XX% | X | X | X |
| Medidas Protección | XX% | X | X | X |
### Top 5 Áreas de Mejora
1. [Área 1 - Descripción]
2. [Área 2 - Descripción]
3. [Área 3 - Descripción]
4. [Área 4 - Descripción]
5. [Área 5 - Descripción]
### Fortalezas Identificadas
- [Fortaleza 1]
- [Fortaleza 2]
- [Fortaleza 3]
### Recomendaciones Prioritarias
1. **Inmediato (0-30 días):**
- [Acción 1]
- [Acción 2]
2. **Corto Plazo (30-90 días):**
- [Acción 3]
- [Acción 4]
3. **Medio Plazo (90-180 días):**
- [Acción 5]
- [Acción 6]
Plan de Acción Correctiva
Plantilla de Plan de Acción
## PLAN DE ACCIÓN CORRECTIVA - AUDITORÍA ENS
| ID | Control ENS | NC Detectada | Severidad | Acción Correctiva | Responsable | Fecha Compromiso | Estado | Evidencia |
| ------- | ----------- | ---------------------------------- | --------- | ---------------------------------------------- | ----------- | ---------------- | --------- | --------- |
| PAC-001 | OP.ACC.5 | Falta MFA en accesos privilegiados | Crítica | Implementar MFA para todos los administradores | CISO | 30/01/2025 | Pendiente | |
| PAC-002 | | | | | | | | |
### Seguimiento del Plan
**Fecha Revisión 1:** DD/MM/AAAA
- Acciones Completadas: XX/XX
- En Progreso: XX
- Pendientes: XX
- Observaciones: **\*\***\_\_\_**\*\***
**Fecha Revisión 2:** DD/MM/AAAA
- Acciones Completadas: XX/XX
- En Progreso: XX
- Pendientes: XX
- Observaciones: **\*\***\_\_\_**\*\***
Herramientas de Auditoría
Scripts de Verificación
class AuditoriaENSAutomatizada:
"""Herramientas automatizadas para auditoría ENS"""
def __init__(self):
self.controles_ens = self.cargar_controles_ens()
self.evidencias = []
self.no_conformidades = []
def verificar_control_acceso(self):
"""Verifica controles OP.ACC"""
verificaciones = {
'usuarios_sin_uso_90_dias': self.buscar_usuarios_inactivos(90),
'cuentas_compartidas': self.detectar_cuentas_compartidas(),
'usuarios_con_permisos_excesivos': self.analizar_permisos_excesivos(),
'mfa_administradores': self.verificar_mfa_admins(),
'politica_contraseñas': self.verificar_politica_passwords()
}
for verificacion, resultado in verificaciones.items():
if not resultado['conforme']:
self.registrar_no_conformidad(
control='OP.ACC',
descripcion=verificacion,
severidad=resultado['severidad'],
evidencia=resultado['evidencia']
)
return verificaciones
def verificar_logs(self):
"""Verifica OP.EXP.8 y OP.EXP.10"""
verificaciones = {
'centralizacion_logs': self.verificar_centralizacion(),
'retencion_logs': self.verificar_retencion_logs(),
'integridad_logs': self.verificar_integridad_logs(),
'sincronizacion_ntp': self.verificar_ntp(),
'proteccion_modificacion': self.verificar_proteccion_logs()
}
return verificaciones
def verificar_backup(self):
"""Verifica MP.INFO.9"""
verificaciones = {
'backups_programados': self.verificar_schedule_backup(),
'pruebas_restauracion': self.buscar_pruebas_restore(),
'cifrado_backups': self.verificar_cifrado_backups(),
'almacenamiento_externo': self.verificar_offsite_backup(),
'retencion_cumplimiento': self.verificar_retencion_backup()
}
return verificaciones
def generar_informe_automatizado(self):
"""Genera informe de verificaciones automatizadas"""
informe = {
'fecha_ejecucion': datetime.now(),
'total_verificaciones': len(self.evidencias),
'no_conformidades': len(self.no_conformidades),
'detalle_nc': self.no_conformidades,
'evidencias_recopiladas': self.evidencias,
'recomendaciones': self.generar_recomendaciones()
}
return informe
Checklist de Evidencias
Evidencias_Requeridas:
Marco_Organizativo:
- "Política de Seguridad aprobada"
- "Normativa de seguridad"
- "Procedimientos operativos"
- "Actas de comité de seguridad"
- "Registros de formación"
- "Organigrama de seguridad"
Marco_Operacional:
- "Análisis de riesgos actualizado"
- "Inventario de activos"
- "Diagramas de arquitectura"
- "Logs de acceso (muestra)"
- "Registros de cambios"
- "Informes de incidentes"
- "Resultados pruebas continuidad"
Medidas_Proteccion:
- "Registros de acceso físico"
- "Configuraciones de seguridad"
- "Logs de backup y restauración"
- "Certificados digitales"
- "Informes de vulnerabilidades"
- "Registros de mantenimiento"
Cumplimiento:
- "Certificaciones vigentes"
- "Auditorías previas"
- "Planes de acción anteriores"
- "Métricas e indicadores"
- "Comunicaciones regulatorias"
Informe de Auditoría
Estructura del Informe
## INFORME DE AUDITORÍA INTERNA ENS
### INFORMACIÓN GENERAL
- Código Auditoría: AUD-ENS-2025-XXX
- Fecha: DD/MM/AAAA
- Alcance: [Descripción]
- Equipo Auditor: [Nombres]
### RESUMEN EJECUTIVO
[Resumen de 1-2 páginas con principales hallazgos]
### METODOLOGÍA
- Criterios de auditoría
- Técnicas utilizadas
- Muestreo realizado
- Limitaciones encontradas
### HALLAZGOS DETALLADOS
[Por cada control auditado:]
- Control: [Código y nombre]
- Requisito: [Descripción]
- Evidencia revisada: [Lista]
- Hallazgo: [Conforme/No Conforme/Observación]
- Descripción: [Detalle]
- Recomendación: [Acción sugerida]
### NO CONFORMIDADES
[Lista detallada de todas las NC con severidad]
### OPORTUNIDADES DE MEJORA
[Áreas donde se puede mejorar aunque cumplan]
### CONCLUSIONES
[Conclusión general sobre el estado del SGSI]
### RECOMENDACIONES
[Acciones recomendadas priorizadas]
### PLAN DE ACCIÓN
[Propuesta de plan con plazos]
### ANEXOS
- Anexo A: Lista de documentos revisados
- Anexo B: Personas entrevistadas
- Anexo C: Herramientas utilizadas
- Anexo D: Evidencias fotográficas
### FIRMAS
**Auditor Jefe:** **\*\***\_\_\_**\*\*** Fecha: **\_\_\_**
**Responsable ENS:** **\*\***\_\_\_**\*\*** Fecha: **\_\_\_**
**CISO:** **\*\***\_\_\_**\*\*** Fecha: **\_\_\_**
Seguimiento Post-Auditoría
Proceso de Seguimiento
Seguimiento_Post_Auditoria:
Comunicacion_Resultados:
plazo: "5 días hábiles"
destinatarios:
- "Dirección"
- "Responsables de área"
- "Comité de seguridad"
Plan_Accion:
elaboracion: "10 días hábiles"
aprobacion: "15 días hábiles"
responsable: "Responsable ENS"
Seguimiento_Mensual:
revision: "Primer lunes de mes"
participantes:
- "CISO"
- "Responsable ENS"
- "Responsables acciones"
entregables:
- "Estado de avance"
- "Evidencias de cierre"
- "Nuevos riesgos identificados"
Auditoria_Seguimiento:
cuando: "6 meses o al completar 80% acciones"
alcance: "No conformidades críticas y mayores"
duracion: "2-3 días"
Cierre:
criterios:
- "100% acciones implementadas"
- "Evidencias verificadas"
- "Re-auditoría satisfactoria"
documentacion:
- "Informe de cierre"
- "Lecciones aprendidas"
- "Actualización procedimientos"
Mejora Continua
Análisis de Tendencias
class AnalisTendenciasAuditoria:
"""Análisis de tendencias en auditorías ENS"""
def analizar_evolucion_conformidad(self, auditorias_historicas):
"""Analiza evolución de la conformidad ENS"""
tendencias = {
'evolucion_temporal': [],
'areas_recurrentes': {},
'mejoras_significativas': [],
'deterioros_detectados': []
}
for auditoria in auditorias_historicas:
conformidad = {
'fecha': auditoria['fecha'],
'conformidad_global': auditoria['porcentaje_conformidad'],
'nc_criticas': len(auditoria['nc_criticas']),
'nc_mayores': len(auditoria['nc_mayores']),
'nc_menores': len(auditoria['nc_menores'])
}
tendencias['evolucion_temporal'].append(conformidad)
# Identificar áreas problemáticas recurrentes
for nc in auditoria['no_conformidades']:
area = nc['control_ens']
if area not in tendencias['areas_recurrentes']:
tendencias['areas_recurrentes'][area] = 0
tendencias['areas_recurrentes'][area] += 1
# Identificar mejoras y deterioros
if len(tendencias['evolucion_temporal']) >= 2:
ultima = tendencias['evolucion_temporal'][-1]
penultima = tendencias['evolucion_temporal'][-2]
if ultima['conformidad_global'] > penultima['conformidad_global'] + 5:
tendencias['mejoras_significativas'].append({
'periodo': ultima['fecha'],
'mejora': ultima['conformidad_global'] - penultima['conformidad_global']
})
return tendencias
Referencias
- RD 311/2022: Real Decreto del Esquema Nacional de Seguridad
- CCN-STIC 808: Guía de auditoría del ENS
- CCN-STIC 804: Guía de implantación del ENS
- ISO 19011:2018: Directrices para auditoría
- GP-014: Procedimiento de auditorías internas del SGC
Control de Cambios
| Versión | Fecha | Descripción | Autor |
|---|---|---|---|
| 1.0 | 2025-01-01 | Creación inicial del checklist de auditoría ENS | Responsable ENS |
Aprobaciones
| Rol | Nombre | Firma | Fecha |
|---|---|---|---|
| CISO | [Nombre] | [Firma Digital] | [Fecha] |
| Responsable ENS | [Nombre] | [Firma Digital] | [Fecha] |
| Auditor Jefe | [Nombre] | [Firma Digital] | [Fecha] |