Para los responsables de sistemas (CISOs) y los técnicos de ciberseguridad, mantener dos Sistemas de Gestión de Seguridad de la Información (SGSI) en paralelo es una pesadilla logística. Duplicar políticas, procedimientos y evidencias para satisfacer a distintos auditores consume unos recursos técnicos que la mayoría de los departamentos de IT no tienen.
Afortunadamente, el Centro Criptológico Nacional (CCN) diseñó un salvavidas técnico para evitar esta duplicidad: la Guía CCN-STIC-825. Este documento oficial es la piedra roseta para los técnicos de seguridad. A continuación, desgranamos cómo utilizar esta guía para integrar ambos marcos normativos en un único ecosistema operativo.
¿Qué es exactamente la Guía CCN-STIC-825?
La Guía CCN-STIC-825 (titulada «Correspondencia entre los controles del ENS y la norma ISO/IEC 27001») es un documento técnico elaborado por el Centro Criptológico Nacional.
Su propósito es establecer una equivalencia directa entre las exigencias del Real Decreto 311/2022 (Esquema Nacional de Seguridad) y los controles del Anexo A de la norma internacional ISO 27001.
En lugar de tratar ambas normativas como entes aislados, la guía demuestra que un alto porcentaje de las medidas de seguridad exigidas por el ENS ya están cubiertas (total o parcialmente) si la organización tiene implementada la ISO 27001, y viceversa.
El corazón de la guía: la correspondencia bidireccional
El gran valor de este documento para un responsable de IT es su tabla de mapeo. La guía desglosa técnicamente cómo interactúan los dos ecosistemas:
- De ISO a ENS: si tu organización ya cumple con un control específico del Anexo A de la ISO 27001 (por ejemplo, el control de acceso a la red), la guía te indica exactamente qué medida del Anexo II del ENS (como la medida op.acc.1) estás cubriendo simultáneamente.
- Identificación de brechas (Gap Analysis): la correspondencia no siempre es 1 a 1. El ENS suele ser más prescriptivo y detallado en la implementación técnica de ciertas medidas (como la criptografía o la protección contra código malicioso). La guía señala dónde el control de la ISO es insuficiente y requiere un refuerzo adicional para alcanzar el nivel Medio o Alto del ENS.
Pasos técnicos para unificar tu SGSI usando la Guía 825
Si tienes el mandato de certificar a tu organización en ambos marcos, este es el flujo de trabajo técnico recomendado utilizando la guía del CCN:
1. Establecer el marco dominante
Determina qué certificación servirá como tronco central de tu SGSI. Si ya tienes la ISO 27001 implantada, utiliza el Anexo A como punto de partida y usa la Guía CCN-STIC-825 para identificar las medidas adicionales o los refuerzos técnicos que te exige el nivel correspondiente del ENS.
2. Unificar la Declaración de Aplicabilidad (SoA)
No crees dos documentos separados. Diseña un único documento de Declaración de Aplicabilidad que incluya las dimensiones de seguridad de ambas normativas. Utiliza las tablas de equivalencia de la guía para justificar ante el auditor que un mismo control técnico da respuesta a las exigencias de ambos marcos.
3. Alinear la gestión de riesgos (MAGERIT vs ISO 31000)
Mientras que la ISO 27001 te da libertad metodológica (orientándose a ISO 31000 / 27005), el ENS se inclina hacia MAGERIT o metodologías equivalentes como Pilar. La clave técnica es utilizar una herramienta de análisis de riesgos que soporte el catálogo de amenazas y salvaguardas de MAGERIT, mapeando posteriormente los resultados hacia los controles de la ISO.
4. Preparar auditorías conjuntas
Al tener un SGSI integrado y mapeado según las directrices oficiales del CCN, puedes solicitar a la entidad certificadora una auditoría conjunta. El auditor revisará el núcleo del sistema una sola vez y solo pedirá evidencias específicas para los controles exclusivos de cada norma, reduciendo drásticamente el tiempo de paralización del departamento de IT.
Nota para dirección: si eres un perfil técnico y necesitas argumentos de negocio o de mercado para justificar ante gerencia la inversión en ambas certificaciones, te recomendamos leer nuestro artículo sobre la comparativa comercial y de negocio entre ISO 27001 y ENS.
El valor de contar con un partner especializado
La Guía CCN-STIC-825 facilita el trabajo de mapeo sobre el papel, pero la implementación técnica real en los servidores, firewalls y políticas de usuario requiere experiencia profunda en ambas trincheras.
En Edorteam, nuestro departamento de ciberseguridad trabaja a diario con los esquemas de equivalencia del Centro Criptológico Nacional. Te ayudamos a auditar tu infraestructura actual, ejecutar el Gap Analysis y desplegar los controles técnicos necesarios para unificar tu cumplimiento normativo sin sobrecargar a tu equipo de sistemas.
Si necesitas externalizar este proceso con garantías, solicita una vídeollamada con nuestros expertos.
0 comentarios