Plan de mejora continua tras la certificación ENS
Cómo mantener vivo el sistema ENS entre auditorías: KPI, revisión periódica, auditoría interna y plan de mejora para llegar a la siguiente renovación sin sorpresas.
Obtener el certificado ENS no es la meta: es el punto de partida. Las organizaciones que tratan la certificación como un hito puntual y se relajan al día siguiente llegan a la segunda auditoría (a los dos años) descolocadas. Las que instauran un plan de mejora continua desde el cierre de la primera, mantienen madurez y llegan a renovaciones sin sobresaltos. Este artículo recopila la estructura de ese plan y los elementos imprescindibles.
El ciclo bienal del ENS
La certificación en categorías Media y Alta se audita cada dos años. Entre dos auditorías, los bloques habituales son:
| Mes tras certificación | Actividad |
|---|---|
| 1–2 | Cierre de no conformidades de la auditoría |
| 3 | Lanzamiento formal del plan de mejora |
| 6 | Primera revisión interna de controles |
| 12 | Revisión anual del SGSI y actualización del AR |
| 18 | Preauditoría interna completa |
| 21 | Auditoría de renovación |
| 24 | Emisión del nuevo certificado |
Cumplir este calendario convierte la auditoría de renovación en un trámite.
Componentes del plan
1. Cierre de no conformidades
Las NC detectadas en la auditoría tienen plazo de acciones correctivas (normalmente 30–60 días). Para cada una:
- Análisis causa-raíz.
- Acción inmediata (correctiva).
- Acción preventiva (para que no se repita).
- Responsable y plazo.
- Evidencia de cierre.
No basta “arreglar”; debes demostrar que aprendiste.
2. Cuadro de mando de seguridad
Un set reducido de KPI que revisa el Comité de Seguridad trimestralmente. Buenos candidatos:
- % de medidas del Anexo II con evidencia actualizada.
- Número de incidentes por mes y tiempo medio de resolución.
- % de vulnerabilidades críticas cerradas en plazo.
- Cobertura de formación.
- Proveedores críticos con contrato ENS vigente.
- Resultados de simulacros de phishing.
- Pruebas de restauración pasadas.
Entre 10 y 15 indicadores. No más: si hay 40, nadie los mira.
3. Auditoría interna anual
Independiente del Responsable del Sistema. Puede ser personal interno con formación, auditoría cruzada con otra área o consultor externo. Evalúa una muestra del Anexo II, prioriza hallazgos y alimenta el plan de mejora.
4. Revisión por la dirección
Al menos una vez al año, la dirección revisa:
- Estado de cumplimiento.
- Incidentes relevantes.
- Cambios en el alcance.
- Cambios normativos.
- Presupuesto para el año siguiente.
- Objetivos revisados.
Acta firmada, con decisiones y responsables.
5. Gestión del cambio
Cualquier cambio relevante (nuevo sistema, nueva sede, nuevo proveedor crítico, cambio de tecnología) debe pasar por un procedimiento de gestión del cambio que evalúe su impacto en el ENS antes de implementarse.
6. Formación recurrente
- Formación inicial obligatoria en el onboarding.
- Refresco anual para todo el personal.
- Formación específica por rol.
- Simulacros de phishing trimestrales.
- Revisión de contenido cada 12–18 meses.
7. Gestión de vulnerabilidades continua
- Scanner semanal mínimo.
- Priorización según criticidad y explotabilidad.
- SLA de parcheo formal.
- Revisión mensual del estado del inventario de vulnerabilidades.
8. Preauditoría interna
Hecha 4–6 meses antes de la renovación. Usa la misma lista de comprobación que usará el auditor. Los hallazgos se cierran antes.
Integración con otros sistemas de gestión
Si la organización tiene también ISO 27001, ISO 22301, NIS2, RGPD, es eficiente integrar el plan de mejora. Un único cuadro de mando, un único calendario de auditorías internas, una única revisión por la dirección. Evita duplicidades y da coherencia.
Ritmo operativo
Un ritmo trimestral que funciona:
- Semana 1: revisión del cuadro de mando.
- Semana 2–3: revisión de alertas y vulnerabilidades.
- Semana 4: Comité de Seguridad trimestral.
Cada mes:
- Revisión de accesos privilegiados.
- Revisión de incidentes.
- Verificación de backups y restauración de muestra.
Con este pulso, el sistema no “se enfría” entre auditorías.
Cómo se evidencia en la auditoría de renovación
El auditor de renovación buscará:
- Evidencia de cierre de NC anteriores.
- Actas del Comité de Seguridad.
- Registro de auditoría interna.
- Actas de revisión por la dirección.
- KPI con evolución.
- Registro de formación y simulacros.
- Pruebas de continuidad y restauración.
Si todo esto está trazado, la renovación es muy fluida. Si solo se detectan actividades recientes, sospecha inmediata de “activación pre-auditoría”.
Señales de que el sistema se está enfriando
Observa estas señales tras 6–12 meses de la certificación:
- El cuadro de mando no se revisa.
- El Comité de Seguridad no se reúne o se reúne sin agenda real.
- Las alertas del SIEM suben y nadie las investiga.
- Las evidencias de formación se acumulan sin revisar.
- Los informes de auditoría interna no se cierran.
Cualquiera de estas es síntoma de desactivación del sistema. Corregir es más barato cuanto antes.
Presupuesto anual realista
Una organización con certificación ENS Media debe presupuestar anualmente, aproximadamente:
- 15–25% del presupuesto de consultoría del proyecto inicial para mantenimiento.
- Cuota de entidad ENAC para vigilancia intermedia si aplica.
- Horas internas dedicadas al Comité, auditoría interna y revisiones (aproximadamente 0,5 FTE en organizaciones medianas).
- Inversiones derivadas del plan de mejora (herramientas, formación, infraestructura).
Ignorar este presupuesto es la receta para llegar a la renovación corriendo.
Recomendación final
El ENS es un sistema de gestión, no un proyecto con fin. Las organizaciones que lo entienden así convierten la certificación en un activo competitivo sostenido. Las que lo abordan como una obligación puntual se enfrentan cada dos años al mismo esfuerzo —y a los mismos sustos— que la primera vez.