Gap Analysis ENS: Qué Es, Cómo Se Hace y Qué Incluye el Informe

Q: ¿Cuánto cuesta un gap analysis ENS?

El coste de un gap analysis ENS varía según el tamaño de la organización, la complejidad del entorno tecnológico y la profundidad del análisis. En Avson GRC, el diagnóstico inicial —que incluye una revisión de alto nivel del estado de los controles ENS— es gratuito y permite determinar si se necesita un gap analysis más profundo antes de iniciar el proyecto de implantación. Para proyectos con sistemas en alcance complejos o entornos híbridos (on-premise y cloud), el gap analysis profundo puede tener un coste separado que habitualmente se descontará del precio total del proyecto de certificación.

Q: ¿Puedo hacer el gap analysis yo mismo sin consultoría?

Técnicamente sí, pero con limitaciones importantes. El CCN proporciona herramientas como PILAR y el cuestionario de autoevaluación ENS que permiten realizar una primera aproximación. El problema es que sin experiencia previa en auditorías ENS, es difícil valorar correctamente el estado real de los controles: hay una tendencia natural a ser más optimista de lo que la realidad justifica, y los auditores de certificación lo detectarán. Un gap analysis externo aporta una visión objetiva e independiente que aumenta significativamente la fiabilidad de los resultados y la planificación posterior.

Qué es el gap analysis en el contexto del ENS

El gap analysis ENS —también llamado análisis de brecha o análisis de diferencias— es el proceso mediante el cual se evalúa el estado actual de los controles de seguridad de una organización y se compara con los requisitos que establece el Esquema Nacional de Seguridad en el RD 311/2022 para la categoría aplicable (Básica, Media o Alta). El resultado es un mapa detallado de lo que ya se cumple, lo que falta por implementar y lo que existe pero necesita mejorarse.

En términos prácticos, el gap analysis responde a tres preguntas fundamentales. ¿Dónde estamos? Cuál es el estado real de los controles de seguridad: qué documentación existe, qué controles técnicos están activos, qué procesos de seguridad funcionan en la práctica. ¿Dónde tenemos que estar? Cuáles son los requisitos del ENS para la categoría del sistema en alcance. ¿Cuánto nos falta? La diferencia entre los dos estados anteriores: los gaps, clasificados por dominio de seguridad, gravedad y esfuerzo de cierre.

Es importante distinguir el gap analysis del diagnóstico inicial, que es una versión más superficial con un alcance de alto nivel. El gap analysis profundo implica revisar documentación real, entrevistar al personal clave, comprobar configuraciones de sistemas y contrastar todo ello con los controles del Anexo II del RD 311/2022 de forma sistemática y exhaustiva.

Por qué es el primer paso obligatorio antes de cualquier proyecto ENS

La razón más importante es económica: sin un gap analysis, es imposible dimensionar correctamente el proyecto de certificación. Las empresas que inician la implantación ENS sin un análisis previo incurren sistemáticamente en uno de estos dos errores opuestos: infraestiman el trabajo (y acaban con proyectos que se extienden más del doble del plazo previsto y con sobrecostes significativos) o sobreestiman los gaps (y destinan recursos a áreas ya conformes mientras descuidan los gaps reales).

La segunda razón es estratégica: el gap analysis determina la categoría real del sistema. Muchas empresas asumen que necesitan una categoría cuando en realidad les corresponde otra. Una valoración incorrecta de la categoría puede llevar a implementar controles innecesariamente exigentes (desperdiciando recursos) o a presentarse a la auditoría con una categoría inferior a la que realmente corresponde al sistema (con el riesgo de que los auditores detecten la discrepancia).

La tercera razón es operativa: el gap analysis produce el inventario de activos y la valoración de riesgos que son la base del análisis de riesgos formal requerido por el ENS. Hacerlos en paralelo con la implantación, en lugar de como punto de partida, genera inconsistencias que los auditores detectan.

Por último, el gap analysis es la base del Plan de Adecuación: el documento que estructura todas las acciones necesarias para cerrar los gaps, con responsables, plazos, recursos y criterios de éxito. Sin el gap analysis, el plan de adecuación es, en el mejor caso, una estimación; en el peor, una lista de deseos sin conexión con la realidad.

Diagnóstico inicial gratuito en 5 días hábiles. Saber desde dónde partes no tiene coste. Avson GRC trabaja con empresas en toda España, presencial y remoto. Solicitar diagnóstico →

Qué analiza un gap analysis ENS

Un gap analysis ENS completo cubre tres grandes áreas de evaluación:

Sistemas en alcance

El primer paso es identificar con precisión qué sistemas de información entran dentro del alcance de la certificación. Esto incluye: servidores (físicos y virtuales, on-premise y cloud), aplicaciones (propias y de terceros), bases de datos, redes y comunicaciones, dispositivos de usuario final, y los proveedores de servicios externos que tienen acceso a esos sistemas o a los datos que manejan. Un alcance mal definido es uno de los problemas más frecuentes: demasiado amplio genera trabajo innecesario; demasiado estrecho puede dejar fuera sistemas que los auditores exigirán incluir.

Controles actuales

Para cada control del Anexo II del RD 311/2022 aplicable a la categoría, el gap analysis evalúa: si el control existe y está documentado, si existe y está documentado pero no se aplica consistentemente en la práctica, si existe parcialmente (por ejemplo, el control técnico existe pero falta la documentación o los registros), o si no existe en absoluto. Esta distinción entre "en papel" y "en la práctica" es crítica para predecir lo que encontrará la auditoría.

Categoría aplicable

La valoración de activos y el análisis de impacto en las cinco dimensiones de seguridad (confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad) permiten determinar la categoría del sistema con rigor metodológico. El gap analysis valida si la categoría asumida por la organización corresponde a la que resultaría de una valoración objetiva, y en caso de discrepancia, recomienda la categoría correcta con la justificación técnica correspondiente.

Cómo se estructura el informe de gap analysis

Un informe de gap analysis ENS bien estructurado incluye los siguientes apartados:

Resumen ejecutivo: una valoración de alto nivel del estado de madurez de la organización, la categoría recomendada y una estimación del esfuerzo total de adecuación (en meses y nivel de inversión). Es el único apartado que lee la dirección.
Inventario de sistemas en alcance: listado de activos con su valoración en cada dimensión de seguridad y la justificación de la categoría resultante.
Análisis control por control: para cada control del Anexo II aplicable, estado actual (cumple / cumple parcialmente / no cumple / no aplica), descripción del gap (si existe) y evidencias revisadas.
Nivel de madurez por dominio: visión gráfica del estado de cumplimiento por familia de controles (marco organizativo, control de acceso, explotación, protección de comunicaciones, etc.). Permite identificar de un vistazo cuáles son los dominios más maduros y cuáles requieren mayor atención.
Clasificación de gaps por criticidad: los gaps identificados se clasifican en tres niveles — críticos (no conformidades mayores seguras en auditoría), importantes (no conformidades menores probables) y menores (observaciones o mejoras recomendadas).
Roadmap de adecuación: plan de trabajo priorizado con las acciones para cerrar cada gap, el esfuerzo estimado (horas/días), los recursos necesarios (internos y externos) y el plazo objetivo. Es el documento que transforma el gap analysis en un plan de acción ejecutable.

Diferencia entre gap analysis básico y profundo

En la práctica existen dos modalidades de gap analysis con objetivos y profundidad distintos. El gap analysis básico o diagnóstico inicial es una revisión de alto nivel que se realiza en 1-2 días mediante entrevistas con los responsables técnicos y de seguridad, revisión de documentación existente a nivel de índice (sin análisis profundo de contenidos) y una valoración aproximada del nivel de madurez por dominio. Su objetivo es determinar si la organización está en condiciones de iniciar el proyecto de certificación de forma inmediata o si necesita un análisis más profundo. En Avson GRC, esta modalidad es gratuita.

El gap analysis profundo incluye la revisión detallada de toda la documentación de seguridad existente (no solo su índice), entrevistas estructuradas con el personal de cada área (TI, recursos humanos, operaciones, dirección), comprobación técnica de configuraciones de sistemas (firewalls, directorio activo, sistemas de backup, logs), valoración completa de activos en todas las dimensiones, y la elaboración del informe completo con roadmap priorizado. Este análisis puede durar de 3 a 10 días hábiles según la complejidad del entorno y es la base sobre la que se construye el proyecto de certificación.

¿Ya tienes una auditoría ENS próxima o un pliego que cumplir? Nuestro gap analysis exprés te da el estado real de tus controles en 72 horas. Disponible en toda España. Solicitar gap analysis →

Cuánto tiempo lleva un gap analysis ENS

La duración del gap analysis depende principalmente de tres factores: el tamaño y complejidad del entorno tecnológico en alcance, la disponibilidad del equipo interno para facilitar información y atender entrevistas, y la profundidad del análisis contratado.

Para una pyme tecnológica con un entorno relativamente homogéneo (pocos servidores, una o dos aplicaciones en alcance, infraestructura cloud estándar), un gap analysis básico puede completarse en 1-2 días hábiles y un gap analysis profundo en 3-5 días. Para una empresa mediana con entorno híbrido (on-premise y cloud), múltiples aplicaciones en alcance, varias delegaciones o trabajo con subcontratistas, el gap analysis profundo puede extenderse a 7-12 días hábiles.

El factor limitante más habitual no es la capacidad del equipo consultor, sino la disponibilidad del personal interno para las entrevistas y la facilidad de acceso a la documentación y a los sistemas. Las organizaciones con documentación ordenada y un interlocutor técnico dedicado acortan los plazos significativamente.

Qué hacer con los resultados del gap analysis

El informe de gap analysis no es el destino; es el mapa de inicio del viaje. Los siguientes pasos inmediatos tras recibir el informe son:

Validar la categoría: confirmar con los responsables de la organización que la categoría resultante del análisis es la correcta y que el alcance definido es el adecuado para los objetivos de negocio (licitaciones previstas, contratos actuales).
Priorizar los gaps críticos: los gaps clasificados como críticos son los que generarán no conformidades mayores en la auditoría. Deben atacarse primero, incluso antes de tener el plan de adecuación completo.
Definir el Plan de Adecuación: con el roadmap del informe como base, se concreta el plan de trabajo con fechas, responsables y recursos. Este plan es el contrato de trabajo del proyecto de certificación.
Comunicar a la dirección: el resumen ejecutivo del gap analysis es el documento para conseguir el compromiso de la dirección con el proyecto: necesitan entender el nivel de inversión requerido, el plazo realista y las consecuencias de no actuar.

El gap analysis de Avson: gratuito en el diagnóstico inicial

En Avson GRC hemos desarrollado una metodología propia de gap analysis ENS que combina la revisión documental, las entrevistas estructuradas y la verificación técnica automatizada de configuraciones para producir un informe fiable en el menor tiempo posible. Nuestra experiencia en más de 90 proyectos de certificación ENS nos ha permitido afinar la lista de controles críticos y los patrones de gap más frecuentes por sector y tamaño de empresa.

El diagnóstico inicial es gratuito y sin compromiso: en una sesión de trabajo de 2-3 horas con los responsables técnicos de tu empresa, evaluamos el estado de los controles más relevantes y producimos un informe de alto nivel con la categoría recomendada, los gaps principales identificados y una estimación del plazo y la inversión para obtener el certificado. Trabajamos con empresas en toda España, tanto en formato presencial como completamente remoto.

Preguntas frecuentes sobre el gap analysis ENS

¿El gap analysis es obligatorio para obtener el ENS?

El gap analysis no aparece como requisito explícito en el RD 311/2022, pero es considerado en la práctica como el primer paso imprescindible de cualquier proyecto de implantación ENS serio. Sin él, es imposible saber cuánto trabajo real hay por delante, qué recursos se necesitan y en qué plazo realista se puede obtener el certificado. Las organizaciones que intentan iniciar la implantación sin un gap analysis previo incurren habitualmente en infraestimaciones que comprometen el proyecto.

¿Cuánto cuesta un gap analysis ENS?

El coste varía según el tamaño de la organización y la complejidad del entorno tecnológico. En Avson GRC, el diagnóstico inicial —revisión de alto nivel del estado de los controles ENS— es gratuito y permite determinar si se necesita un análisis más profundo. Para entornos complejos o híbridos, el gap analysis profundo puede tener un coste separado que habitualmente se descontará del precio total del proyecto de certificación.

¿Puedo hacer el gap analysis yo mismo sin consultoría?

Técnicamente sí, con herramientas como PILAR del CCN. El problema es que sin experiencia previa en auditorías ENS, es difícil valorar correctamente el estado real de los controles: hay tendencia a ser más optimista de lo que la realidad justifica. Un gap analysis externo aporta una visión objetiva que aumenta significativamente la fiabilidad de los resultados y la planificación posterior.

¿El gap analysis ENS equivale al gap analysis ISO 27001?

Son conceptualmente similares pero con diferencias importantes en el contenido. El gap analysis ENS evalúa el cumplimiento frente al Anexo II del RD 311/2022. El gap analysis ISO 27001 evalúa el cumplimiento frente al Anexo A de la norma ISO 27001:2022. Aunque hay una alineación significativa entre ambos marcos, no son idénticos. Si ya tienes ISO 27001, el gap analysis ENS suele revelar un punto de partida mucho más avanzado, pero siempre hay gaps específicos del ENS que deben cerrarse.

¿Qué pasa si el gap analysis revela muchos gaps?

Un gap analysis con muchos hallazgos es una señal de que el trabajo por delante es significativo, pero es exactamente la información que necesitabas antes de comprometerte con un plazo y un presupuesto. Con esa visión clara, el plan de adecuación puede diseñarse de forma realista, priorizando los gaps críticos. En Avson GRC hemos certificado empresas con niveles de madurez inicial muy bajos en plazos de 4-5 meses gracias a una buena planificación post-gap.

¿Quieres saber cuánto te falta para el ENS?

Pide presupuesto · Sin compromiso · Respuesta en 24 horas · Toda España

Solicitar presupuesto sin compromiso →

Gap analysis ENS: el primer paso para saber cuánto te falta para el certificado.