Las Palmas de Gran Canaria concentra la sede de las principales instituciones del archipiélago oriental: el Gobierno de Canarias, el Cabildo de Gran Canaria, el Ayuntamiento de la capital y la ULPGC gestionan sistemas de información de alto impacto ciudadano —padrón, sede electrónica, gestión tributaria propia del Régimen Económico y Fiscal de Canarias (REF), plataformas de contratación pública— y están todos ellos sujetos al Esquema Nacional de Seguridad. Esta concentración institucional convierte a la ciudad en uno de los mercados de contratación pública más activos de Canarias, con un flujo constante de licitaciones en servicios tecnológicos, mantenimiento de infraestructuras digitales y soluciones de gestión administrativa. Para cualquier empresa que quiera competir en ese mercado, la adecuación al ENS no es un trámite opcional: es un requisito de acceso que los pliegos de contratación de esas administraciones incorporan de forma creciente.
Summum Calidad aborda la adecuación al ENS desde la perspectiva del sistema de gestión de la seguridad de la información, el mismo eje que articula la ISO 27001:2022. El ENS no es un checklist técnico desconectado de la gestión; su estructura —política de seguridad, análisis de riesgos, categorización del sistema, selección de medidas proporcionales, revisión y mejora continua— reproduce el ciclo PDCA que la ISO 27001 lleva décadas aplicando al contexto corporativo. Cuando una empresa proveedora ya dispone de la norma ISO 27001 certificada, o trabaja activamente hacia ella, el camino hacia el ENS se acorta de forma significativa: los controles del Anexo A de la ISO 27001:2022 cubren directamente muchas de las 75 medidas del Anexo II del ENS, distribuidas en tres marcos (organizativo, operacional y de protección) y dieciséis familias, incluida la familia op.nub, que regula el uso de servicios en la nube —especialmente relevante para empresas que prestan servicios cloud a la Administración canaria.
La categoría ENS del sistema —básica, media o alta, según el impacto en las cinco dimensiones de seguridad CIDAT— determina tanto las medidas exigibles como la vía de conformidad. Para sistemas de categoría básica, la norma permite una declaración de conformidad autoevaluada conforme a la CCN-STIC 809, sin intervención de un tercero acreditado. Para categoría media o alta, la certificación debe realizarla una entidad de inspección acreditada por ENAC conforme a la UNE-EN ISO/IEC 17065. Summum Calidad no emite certificados de conformidad —esa es competencia exclusiva de los terceros acreditados—; nuestro trabajo consiste en preparar el sistema de gestión de la organización para que, cuando llegue ese auditor externo, encuentre controles realmente implantados, documentación rigurosa y evidencias auditables. El objetivo es que la auditoría de conformidad sea la culminación natural de un trabajo bien hecho, no una prueba de improviso.