El punto de partida
El equipo era técnicamente maduro — infraestructura como código, CI/CD con despliegues diarios, buenas prácticas de desarrollo — pero todo el gobierno de seguridad vivía en la cabeza del CTO. Sin política de seguridad formal, sin análisis de riesgos, sin categorización de sistemas. Y con un matiz que complicaba el expediente: el producto incorporaba funcionalidad de IA que procesaba información de los clientes, algo que el organismo certificador iba a mirar con lupa.
El miedo del CTO era el clásico de las tecnológicas ante el ENS: que la burocracia matara la velocidad del equipo. El proyecto se diseñó con ese límite como requisito — ningún control podía romper el flujo de despliegue continuo.
Cómo lo abordamos
- Categorización y perfilado — análisis de los servicios que se prestarían a la Administración y de la información tratada. La categoría resultante fue MEDIA, y trabajamos con el perfil de cumplimiento específico aplicable, evitando medidas sobredimensionadas.
- Análisis de riesgos y declaración de aplicabilidad — metodología ligera pero trazable, alineada con la operativa real: activos cloud, pipeline de CI/CD, dependencias de terceros y el componente de IA como activo diferenciado, con sus riesgos propios (datos de entrenamiento, trazabilidad de salidas, proveedores de modelos).
- Medidas integradas en el pipeline, no encima — control de accesos con MFA y revisión trimestral, firma y revisión de despliegues, registro centralizado con retención definida, cifrado en tránsito y reposo, gestión de vulnerabilidades conectada al ciclo de desarrollo. Las evidencias se generan solas: el pipeline es el registro.
- Documentación proporcionada al tamaño — un cuerpo documental que cuarenta personas pueden mantener de verdad: política, normativa de uso, procedimientos operativos y plan de continuidad probado con un ejercicio de recuperación real.
- Auditoría de certificación — acompañamiento durante la auditoría con entidad acreditada, incluida la defensa del enfoque aplicado al componente de IA. Certificación obtenida a la primera.
Resultados
6 meses
de la primera reunión a la certificación ENS categoría MEDIA
2
licitaciones presentadas el mismo trimestre de la certificación
0
despliegues bloqueados por el SGSI: el ritmo de desarrollo no se tocó
La certificación abrió la puerta que la empresa buscaba — presentarse a concursos públicos — y dejó un efecto secundario que no esperaban: dos clientes privados grandes aceleraron sus procesos de homologación de proveedor al ver el sello ENS y la documentación de seguridad ya preparada.
Claves del caso
- El ENS y el despliegue continuo no están reñidos: si el control vive dentro del pipeline, la evidencia se produce sola.
- Tratar la IA como activo con riesgos propios desde el análisis inicial evitó objeciones en auditoría.
- Categorizar bien al principio (MEDIA, no ALTA por precaución mal entendida) ahorró meses y medidas innecesarias.
Servicios relacionados
¿Necesitas el ENS para licitar?
Hard2bit está certificada en ENS categoría ALTA — conocemos el esquema desde dentro. Te ayudamos a categorizar bien, implantar lo justo y llegar a la auditoría con evidencias.