ENS desde dentro (IV): Procedimientos de seguridad — donde todo empieza a funcionar de verdad
Cómo definir procedimientos de seguridad en ENS que realmente se apliquen y generen evidencias. El punto donde la seguridad deja de ser papel y empieza a funcionar.
Este artículo forma parte de la serie ENS desde dentro.
👉 Puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/
👉 Si es tu primera vez en la serie, empieza por aquí:
https://www.handersonboratto.com/blog/que-es-ens/
👉 O continúa con el artículo anterior:
https://www.handersonboratto.com/blog/normativa-seguridad-ens/
Introducción
Si has llegado hasta aquí, ya tienes:
👉 una política de seguridad
👉 una normativa que define reglas
Todo parece en orden.
Pero hay un problema.
👉 Nadie sabe exactamente qué hacer en el día a día.
Y aquí es donde fallan la mayoría de organizaciones.
Porque el ENS no falla en la teoría.
Falla en la ejecución.
Entonces… ¿qué es realmente un procedimiento?
Un procedimiento no es un documento más.
💣 Es la forma en la que realmente funciona tu sistema.
Es lo que convierte:
- una norma → en acción
- una regla → en algo que alguien ejecuta
- la seguridad → en algo real
La diferencia clave (y donde muchos fallan)
- Política → define el qué
- Normativa → define las reglas
- Procedimiento → define cómo se hace
👉 Si no tienes procedimientos claros:
- cada persona actúa diferente
- no hay trazabilidad
- no puedes demostrar nada
💣 Y sin demostrar… no hay ENS
Las 4 preguntas que debe responder cualquier procedimiento
Si un procedimiento no responde a esto, no sirve:
👉 ¿Qué se hace?
👉 ¿Quién lo hace?
👉 ¿Cómo se hace?
👉 ¿Qué pasa si algo falla?
💥 Esto es lo que marca la diferencia entre:
- documentación bonita
- y un sistema que funciona
El punto crítico: el tratamiento de la información
Aquí es donde más fallan las organizaciones.
No basta con decir:
👉 “la información es confidencial”
Hay que definir:
- quién puede acceder
- dónde se guarda
- cómo se copia
- cómo se transmite
- cómo se protege
👉 Y sobre todo: cómo se hace todo eso en la práctica
La realidad: lo que nadie te cuenta
La mayoría de procedimientos en ENS:
❌ existen… pero no se usan
❌ están escritos… pero nadie los entiende
❌ están aprobados… pero nadie los aplica
💣 Resultado:
👉 en auditoría… no hay evidencias
Algo importante que debes saber
En el ENS, no hablamos de uno o dos procedimientos.
👉 Existe un conjunto completo que cubre toda la operación:
- gestión del sistema
- autorizaciones
- planificación
- control de accesos
- explotación
- continuidad
- monitorización
- protección de información, equipos, comunicaciones…
👉 En total, hablamos de múltiples procedimientos que deben funcionar de forma coordinada.
Pero aquí está la clave:
💣 No se trata de tenerlos todos…
👉 sino de que funcionen de verdad
Validación: el punto que casi nadie cumple bien
Otro error habitual:
👉 escribir procedimientos… sin validarlos
Si nadie los aprueba formalmente:
- no tienen peso
- no son exigibles
- no sirven en auditoría
💣 Un procedimiento no validado es papel
Lo que te van a pedir en una auditoría
Esto es lo que realmente miran:
👉 ¿Está claro qué hay que hacer?
👉 ¿Está claro quién lo hace?
👉 ¿Se sigue siempre igual?
👉 ¿Está documentado?
👉 ¿Se ha comunicado?
👉 ¿Está aprobado?
👉 Y lo más importante:
💣 ¿Puedes demostrarlo?
El error más común
Pensar que:
👉 “ya tenemos procedimientos”
cuando en realidad tienes:
👉 documentos que nadie sigue
La clave de todo
Si tuviera que resumirlo en una frase:
💣 Un procedimiento no es un documento.
👉 Es una forma de trabajar.
Próximo artículo
Tener procedimientos está bien.
Pero hay una pregunta clave:
👉 ¿Quién decide qué se aprueba y qué no?
👉 En el siguiente artículo veremos cómo funciona el proceso de autorización en ENS:
👉 (próximamente) Proceso de autorización en ENS
👉 Accede a la guía completa del ENS:
https://www.handersonboratto.com/ens-desde-dentro/