Sector publico y seguridad

Adecuación al ENS en Las Palmas de Gran Canaria: cumplimiento integrado con ISO 27001

El Gobierno de Canarias, el Cabildo de Gran Canaria, el Ayuntamiento de Las Palmas de Gran Canaria y la Universidad de Las Palmas de Gran Canaria (ULPGC) son entidades del sector público sujetas al Esquema Nacional de Seguridad. Si tu empresa presta servicios tecnológicos, soluciones de software o cualquier otro servicio en el que tus sistemas de información entren en contacto con los suyos, el RD 311/2022 (BOE-A-2022-7191) te exige adecuarte al ENS. El plazo para sistemas ya existentes expiró el 5 de mayo de 2024. Summum Calidad acompaña a empresas proveedoras de Las Palmas de Gran Canaria desde el enfoque del sistema de gestión de la seguridad de la información (SGSI), integrando los requisitos del ENS con los de la ISO 27001:2022 para que el proceso sea eficiente, trazable y directamente orientado a la conformidad.

NormativaRD 311/2022 · BOE-A-2022-7191
PerfilProveedoras de organismos públicos de Las Palmas de Gran Canaria
ModalidadProyecto estructurado de SGSI integrado con acompañamiento continuo

Las Palmas de Gran Canaria concentra la sede de las principales instituciones del archipiélago oriental: el Gobierno de Canarias, el Cabildo de Gran Canaria, el Ayuntamiento de la capital y la ULPGC gestionan sistemas de información de alto impacto ciudadano —padrón, sede electrónica, gestión tributaria propia del Régimen Económico y Fiscal de Canarias (REF), plataformas de contratación pública— y están todos ellos sujetos al Esquema Nacional de Seguridad. Esta concentración institucional convierte a la ciudad en uno de los mercados de contratación pública más activos de Canarias, con un flujo constante de licitaciones en servicios tecnológicos, mantenimiento de infraestructuras digitales y soluciones de gestión administrativa. Para cualquier empresa que quiera competir en ese mercado, la adecuación al ENS no es un trámite opcional: es un requisito de acceso que los pliegos de contratación de esas administraciones incorporan de forma creciente.

Summum Calidad aborda la adecuación al ENS desde la perspectiva del sistema de gestión de la seguridad de la información, el mismo eje que articula la ISO 27001:2022. El ENS no es un checklist técnico desconectado de la gestión; su estructura —política de seguridad, análisis de riesgos, categorización del sistema, selección de medidas proporcionales, revisión y mejora continua— reproduce el ciclo PDCA que la ISO 27001 lleva décadas aplicando al contexto corporativo. Cuando una empresa proveedora ya dispone de la norma ISO 27001 certificada, o trabaja activamente hacia ella, el camino hacia el ENS se acorta de forma significativa: los controles del Anexo A de la ISO 27001:2022 cubren directamente muchas de las 75 medidas del Anexo II del ENS, distribuidas en tres marcos (organizativo, operacional y de protección) y dieciséis familias, incluida la familia op.nub, que regula el uso de servicios en la nube —especialmente relevante para empresas que prestan servicios cloud a la Administración canaria.

La categoría ENS del sistema —básica, media o alta, según el impacto en las cinco dimensiones de seguridad CIDAT— determina tanto las medidas exigibles como la vía de conformidad. Para sistemas de categoría básica, la norma permite una declaración de conformidad autoevaluada conforme a la CCN-STIC 809, sin intervención de un tercero acreditado. Para categoría media o alta, la certificación debe realizarla una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065. Summum Calidad no emite certificados de conformidad —esa es competencia exclusiva de los terceros acreditados—; nuestro trabajo consiste en preparar el sistema de gestión de la organización para que, cuando llegue ese auditor externo, encuentre controles realmente implantados, documentación rigurosa y evidencias auditables. El objetivo es que la auditoría de conformidad sea la culminación natural de un trabajo bien hecho, no una prueba de improviso.

El proceso de Adecuación al ENS en Las Palmas de Gran Canaria.

El proceso · cuatro tiempos
01

Diagnóstico inicial y categorización del sistema

Analizamos los servicios que prestas a organismos públicos de Las Palmas de Gran Canaria —Gobierno de Canarias, Cabildo de Gran Canaria, Ayuntamiento o ULPGC— y el grado de interacción entre tus sistemas de información y los suyos. A partir de ese análisis determinamos la categoría ENS que corresponde según el Anexo I del RD 311/2022, valorando el impacto en las cinco dimensiones CIDAT para cada servicio en alcance. Si ya dispones de ISO 27001 certificada o en proyecto, evaluamos qué parte del trabajo existente puede trasladarse directamente al ENS sin esfuerzo adicional.

02

Análisis de brechas ENS–ISO 27001 con mapeo de controles

Cruzamos las 75 medidas del Anexo II del ENS —organizativas, operacionales y de protección, en sus dieciséis familias— con los controles de tu sistema de gestión ISO 27001:2022 o con las prácticas de seguridad existentes si aún no tienes la norma certificada. El resultado es una tabla priorizada que distingue controles ya cubiertos, parcialmente implantados y ausentes, con el esfuerzo estimado para cerrar cada brecha antes de la auditoría de conformidad o de la declaración autoevaluada.

03

Diseño del SGSI integrado y Declaración de Aplicabilidad

Diseñamos o actualizamos el sistema de gestión de la seguridad de la información para que cumpla simultáneamente los requisitos de la ISO 27001 y los del ENS. Elaboramos la Declaración de Aplicabilidad integrada, justificando la selección y exclusión de controles en el formato que esperan los auditores de conformidad ENS, y redactamos la política de seguridad conforme al artículo 12 del RD 311/2022, adaptada a la estructura y actividad real de tu empresa.

04

Implantación de controles y documentación de evidencias

Acompañamos la implantación de las medidas pendientes del Anexo II —desde los marcos organizativo y de protección hasta las operacionales, incluida la familia op.nub si tu empresa presta servicios cloud a la Administración canaria— y generamos la documentación de evidencias requerida: procedimientos, registros, análisis de riesgos, actas de revisión por la dirección y registros de formación y concienciación. La parte de implantación técnica —hardening, monitorización, cifrado— la coordina con nosotros Summum Sistemas.

Qué incluye

Qué incluye Adecuación al ENS en Las Palmas de Gran Canaria.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Informe de categorización del sistema (Anexo I ENS)

    Documento que justifica la categoría asignada —básico, medio o alto— valorando el impacto en las cinco dimensiones CIDAT para cada servicio que prestas a organismos públicos de Las Palmas de Gran Canaria, con metodología trazable y referenciada al RD 311/2022.

  • Análisis de brechas ENS–ISO 27001 con controles mapeados

    Tabla cruzada de las 75 medidas del Anexo II del ENS con los controles de tu sistema ISO 27001:2022, identificando reutilizaciones directas, brechas parciales y controles ausentes, con esfuerzo estimado para cerrar cada gap antes de la conformidad.

  • Declaración de Aplicabilidad integrada ENS–ISO 27001

    Documento formal que recoge la selección y exclusión justificada de los controles del ENS y del Anexo A de la ISO 27001:2022, conforme al formato esperado por los auditores de conformidad y por la CCN-STIC 809.

  • Política de seguridad de la información conforme al ENS

    Política corporativa redactada según el artículo 12 del RD 311/2022 y adaptada a la realidad de tu organización: propósito, alcance, roles, compromisos de la dirección y ciclo de revisión, lista para su aprobación y difusión interna.

  • Procedimientos, registros y paquete de evidencias

    Conjunto completo de procedimientos operativos y registros que acreditan la implantación real de los controles: gestión de usuarios y accesos, copias de seguridad, gestión de vulnerabilidades, control de cambios, gestión de incidentes y formación del personal, estructurado para presentar ante el auditor de conformidad.

  • Revisión pre-auditoría y simulacro de conformidad

    Para sistemas de categoría media o alta, auditoría interna previa que simula el proceso de la entidad acreditada ENAC: revisión de evidencias, detección de puntos débiles y corrección antes de que llegue el auditor externo, minimizando el riesgo de no conformidades.

Cluster Summum

Cómo se cruza con las hermanas.

La adecuación al ENS desde el sistema de gestión se refuerza cuando se complementa con la implantación técnica de las medidas del Anexo II que ejecuta Summum Sistemas: análisis de riesgos con metodología MAGERIT y PILAR, hardening de infraestructuras, monitorización de eventos de seguridad y preparación del paquete de evidencias técnicas. Los dos equipos cubren, en un proyecto coordinado, el plano documental-normativo y el plano técnico-operativo, sin duplicidades y con una única línea de interlocución para tu organización en Las Palmas de Gran Canaria.

Preguntas frecuentes sobre Adecuación al ENS en Las Palmas de Gran Canaria.

¿El ENS aplica a empresas que contratan con el Gobierno de Canarias o el Ayuntamiento de Las Palmas?

Sí. El artículo 2 del RD 311/2022 establece que el ENS aplica a las entidades del sector público español y a las entidades privadas que les presten servicios o soluciones cuando los sistemas de información de ambas partes se interconectan o cuando la empresa privada procesa información de la Administración. El Gobierno de Canarias, el Cabildo de Gran Canaria, el Ayuntamiento de Las Palmas de Gran Canaria y la ULPGC son entidades del sector público sujetas al ENS, de modo que sus proveedores tecnológicos o de servicios digitales deben adecuarse. Los pliegos de contratación de estas administraciones recogen ya esta exigencia de forma habitual.

¿El Régimen Económico y Fiscal de Canarias (IGIC, REF) afecta al alcance del ENS para una empresa canaria?

El Régimen Económico y Fiscal de Canarias, que incluye el IGIC en lugar del IVA peninsular y un conjunto de beneficios fiscales propios, no modifica el alcance ni los requisitos del ENS: el RD 311/2022 aplica por igual en todo el territorio nacional, incluidas las Islas Canarias. Lo que sí puede tener impacto es la categorización del sistema si tu empresa gestiona datos tributarios del REF por cuenta de la Administración autonómica canaria, ya que el impacto en disponibilidad y confidencialidad de esos datos puede elevar la categoría del sistema a media o alta.

¿Qué organismos de Las Palmas de Gran Canaria son los que más exigen el ENS en sus licitaciones?

Los organismos con mayor volumen de contratación tecnológica en Las Palmas de Gran Canaria son el Gobierno de Canarias —a través de la Consejería de Hacienda y la red de conserjerías— el Cabildo de Gran Canaria, el Ayuntamiento de Las Palmas de Gran Canaria y la ULPGC. Todos ellos son entidades del sector público sujetas al ENS y publican sus licitaciones en la Plataforma de Contratación del Sector Público. En licitaciones de servicios TIC, mantenimiento de sistemas, desarrollo de software y servicios en la nube es donde la exigencia de adecuación al ENS aparece con más frecuencia en los pliegos técnicos.

¿En qué se diferencia el enfoque de Summum Calidad del de una consultoría técnica de ciberseguridad?

Summum Calidad aborda la adecuación al ENS desde el sistema de gestión de la seguridad de la información: política, análisis de riesgos, selección de controles proporcionales, documentación de evidencias, ciclos de revisión y mejora continua. Este enfoque es complementario, no alternativo, al de la implantación técnica de medidas. La ciberseguridad técnica —hardening, monitorización, cifrado— la coordina Summum Sistemas, que trabaja en paralelo con nuestro equipo. El resultado es un proyecto integrado que cubre tanto el plano normativo-documental como el técnico-operativo bajo una sola coordinación.

¿Cuánto tiempo lleva la adecuación al ENS para una empresa de Las Palmas de tamaño medio?

Para una empresa de tamaño medio que presta servicios TIC a organismos públicos de Las Palmas de Gran Canaria y tiene prácticas de seguridad ya implantadas, la adecuación a categoría básica puede completarse entre tres y seis meses. Si el sistema alcanza categoría media o alta —habitual cuando se manejan datos tributarios, padronal o sistemas de sede electrónica de la Administración canaria— el proceso incluyendo la auditoría de conformidad ante una entidad acreditada ENAC suele requerir entre nueve y dieciocho meses. Disponer de una certificación ISO 27001 previa reduce notablemente ese plazo.

¿La adecuación al ENS tiene alguna ventaja adicional en el mercado canario más allá del acceso a licitaciones?

Sí. Más allá del cumplimiento estrictamente obligatorio, la adecuación al ENS —especialmente cuando se integra con ISO 27001— supone implantar un sistema de gestión de la seguridad maduro que mejora la resiliencia operativa, facilita la respuesta ante incidentes y fortalece la confianza de clientes privados que también exigen garantías de seguridad a sus proveedores tecnológicos. En un mercado insular donde la reputación empresarial circula en redes de contacto relativamente acotadas, acreditar el cumplimiento del ENS distingue a la empresa en el mercado local y le abre puertas tanto en la contratación pública como en el sector privado con clientes de perfil exigente.