Hard2bit

Caso · SaaS · IA · Sector público

ENS categoría MEDIA en una desarrolladora SaaS con IA

Una SaaS española quería entrar en la Administración pública, y sus dos primeras licitaciones exigían conformidad con el ENS. Plataforma cloud-native, despliegues diarios y funcionalidad de IA dentro del producto. Seis meses después obtuvo la certificación en categoría MEDIA sin frenar su ritmo de desarrollo.

Sector

Desarrollo SaaS · IA

Tamaño

~40 empleados

Marco

ENS · categoría MEDIA

Infraestructura

Cloud pública · contenedores

Duración

6 meses hasta certificación

Resultado

Certificada · apta para licitar

El punto de partida

El equipo era técnicamente maduro — infraestructura como código, CI/CD con despliegues diarios, buenas prácticas de desarrollo — pero todo el gobierno de seguridad vivía en la cabeza del CTO. Sin política de seguridad formal, sin análisis de riesgos, sin categorización de sistemas. Y con un matiz que complicaba el expediente: el producto incorporaba funcionalidad de IA que procesaba información de los clientes, algo que el organismo certificador iba a mirar con lupa.

El miedo del CTO era el clásico de las tecnológicas ante el ENS: que la burocracia matara la velocidad del equipo. El proyecto se diseñó con ese límite como requisito — ningún control podía romper el flujo de despliegue continuo.

Cómo lo abordamos

  1. Categorización y perfilado — análisis de los servicios que se prestarían a la Administración y de la información tratada. La categoría resultante fue MEDIA, y trabajamos con el perfil de cumplimiento específico aplicable, evitando medidas sobredimensionadas.
  2. Análisis de riesgos y declaración de aplicabilidad — metodología ligera pero trazable, alineada con la operativa real: activos cloud, pipeline de CI/CD, dependencias de terceros y el componente de IA como activo diferenciado, con sus riesgos propios (datos de entrenamiento, trazabilidad de salidas, proveedores de modelos).
  3. Medidas integradas en el pipeline, no encima — control de accesos con MFA y revisión trimestral, firma y revisión de despliegues, registro centralizado con retención definida, cifrado en tránsito y reposo, gestión de vulnerabilidades conectada al ciclo de desarrollo. Las evidencias se generan solas: el pipeline es el registro.
  4. Documentación proporcionada al tamaño — un cuerpo documental que cuarenta personas pueden mantener de verdad: política, normativa de uso, procedimientos operativos y plan de continuidad probado con un ejercicio de recuperación real.
  5. Auditoría de certificación — acompañamiento durante la auditoría con entidad acreditada, incluida la defensa del enfoque aplicado al componente de IA. Certificación obtenida a la primera.

Resultados

6 meses

de la primera reunión a la certificación ENS categoría MEDIA

2

licitaciones presentadas el mismo trimestre de la certificación

0

despliegues bloqueados por el SGSI: el ritmo de desarrollo no se tocó

La certificación abrió la puerta que la empresa buscaba — presentarse a concursos públicos — y dejó un efecto secundario que no esperaban: dos clientes privados grandes aceleraron sus procesos de homologación de proveedor al ver el sello ENS y la documentación de seguridad ya preparada.

Claves del caso

  • El ENS y el despliegue continuo no están reñidos: si el control vive dentro del pipeline, la evidencia se produce sola.
  • Tratar la IA como activo con riesgos propios desde el análisis inicial evitó objeciones en auditoría.
  • Categorizar bien al principio (MEDIA, no ALTA por precaución mal entendida) ahorró meses y medidas innecesarias.

Servicios relacionados

¿Necesitas el ENS para licitar?

Hard2bit está certificada en ENS categoría ALTA — conocemos el esquema desde dentro. Te ayudamos a categorizar bien, implantar lo justo y llegar a la auditoría con evidencias.