Consultoría GRC

A quién aplica

El ENS es de aplicación obligatoria a todas las administraciones públicas españolas y a los proveedores privados que tratan sistemas de información de la administración o prestan servicios tecnológicos a entidades públicas.

Incluye ayuntamientos, consejos comarcales, diputaciones, organismos autonómicos y cualquier empresa que quiera contratar con la administración en ámbitos TIC.

Niveles de seguridad

• Básico — sistemas con impacto limitado en caso de compromiso
• Medio — sistemas con impacto considerable
• Alto — sistemas con impacto grave o muy grave

El nivel lo determina el análisis de riesgos sobre las dimensiones de seguridad de cada sistema (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad).

Nuestro proceso

1. Análisis GAP — revisión del estado actual respecto a los 73 controles del marco ENS
2. Categorización — determinación del nivel de seguridad de los sistemas
3. Plan de adecuación — medidas priorizadas para cumplir el marco en el plazo establecido
4. Implementación — acompañamiento en la puesta en marcha de las medidas técnicas y organizativas
5. Declaración de aplicabilidad — documento que recoge las medidas aplicadas y justificación de las excluidas
6. Preparación auditoría — revisión previa y soporte durante el proceso de certificación o conformidad

A quién aplica

NIS2 afecta a entidades esenciales e importantes de los sectores incluidos en los Anexos I y II de la Directiva: energía, transporte, banca, infraestructura digital, sanidad, alimentación, manufactura, servicios digitales y otros.

El criterio de tamaño es determinante: organizaciones de 50 o más empleados o con una facturación superior a los 10 M€ que operen en los sectores listados. Las administraciones públicas quedan incluidas independientemente del tamaño.

Sanciones

• Entidad esencial: hasta 10 M€ o 2% de la facturación global anual
• Entidad importante: hasta 7 M€ o 1,4% de la facturación global anual
• Responsabilidad personal de los órganos de dirección en caso de incumplimiento reiterado

Nuestro proceso

1. Evaluación de aplicabilidad — determinamos si vuestra organización es entidad esencial, importante o queda fuera de ámbito
2. Análisis de brechas — revisión de las 10 medidas obligatorias del Art. 21 de la Directiva
3. Plan de medidas — acciones priorizadas con responsables y plazos
4. Implementación — acompañamiento técnico y organizativo en la puesta en marcha
5. Notificación y registro — soporte en el registro como entidad afectada ante la autoridad competente
6. Revisión continua — NIS2 no es un proyecto puntual, es una obligación de gestión permanente

A quién aplica

ISO 27001 no es obligatoria por ley, pero es exigida cada vez más por clientes corporativos, en licitaciones públicas y como requisito de cadena de suministro.

Cualquier organización, independientemente de su tamaño o sector, puede implantar un SGSI y obtener la certificación por una entidad acreditada. La certificación demuestra que la gestión de la seguridad es sistemática, auditada y mejorada continuamente.

Para las pymes

El estándar permite escalar el alcance: podéis certificar un servicio concreto, un sistema o toda la organización. No es necesario hacerlo todo a la vez.

Nuestro proceso

1. GAP analysis — revisión del estado actual respecto a los controles del Anexo A de ISO 27001:2022
2. Definición de alcance — delimitación del SGSI: sistemas, procesos y activos incluidos
3. Análisis de riesgos — identificación, evaluación y tratamiento de riesgos de seguridad
4. Declaración de aplicabilidad (SoA) — documento que justifica la inclusión o exclusión de cada control
5. Implementación de controles — medidas técnicas y organizativas del plan de tratamiento
6. Auditoría interna — revisión previa a la certificación para detectar desviaciones
7. Soporte a la auditoría de certificación — acompañamiento durante la auditoría del organismo certificador