(ES) ENS - ¿Es necesario realizar la auditoria de la seguridad por un auditor independiente de la organización? ¿Es posible realizar esta declaración de conformidad valiéndose de una autoevaluación respecto del Anexo II del ENS?

Cuando se están evaluando sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, la norma señala que se hace necesario pasar una auditoría bienal, realizada por personal (cualificado, obviamente) independiente del servicio/sistema que esté auditando (véase la definición de "auditoría de la seguridad", contenida en el Glosario del ENS).

Por tanto, de esta interpretación, parece quedar claro que aquellas personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría con las debidas garantías (exigencia que aparece, de manera análoga, en los requisitos de las auditorías internas en la norma ISO 27001).

Esta exigencia se rebaja cuando se están evaluando sistemas categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación, que (salvaguardando el nivel de conocimiento exigido que deben poseer los profesionales que la realicen) no imponen la exigencia anterior.
Por tanto, si la Responsabilidad de la Seguridad está asignada a una unidad administrativa unipersonal o Pluripersonal con un único responsable (siendo, por tanto, la encargada de adoptar y gestionar las medidas de seguridad que sean preceptivas en cada caso), no podrá ser esa misma unidad administrativa quién realice las antedichas auditorías.