Ciberseguridad para la empresa mediana: ENS + ISO 27001 + SOC 2
Tres frameworks, un solo sistema de seguridad
Una empresa tecnologica espanola que trabaje con administracion publica y clientes internacionales se enfrenta a una realidad incomoda: necesita el ENS para vender al sector publico, ISO 27001 porque se la piden los clientes europeos, y SOC 2 porque los americanos no aceptan otra cosa. Tres certificaciones. Tres auditorias. Tres conjuntos de evidencias. O eso parece.
La realidad es que el solapamiento entre estos tres frameworks ronda el 60-70%. Gestion de accesos, cifrado, gestion de incidentes, continuidad de negocio, auditorias internas: los tres lo exigen con matices diferentes. La empresa que trata cada certificacion como un proyecto independiente triplica su esfuerzo. La que construye un sistema de gestion de seguridad unificado y mapea los controles una vez trabaja un 40% menos.
Este whitepaper es la guia que nos hubiera gustado tener cuando empezamos a ayudar a empresas medianas a navegar este laberinto. No es teoria. Es el resultado de acompanar a equipos de 50-300 personas a traves de procesos de certificacion reales.
El Esquema Nacional de Seguridad en 2025
El ENS (regulado por el Real Decreto 311/2022) es obligatorio para cualquier entidad que preste servicios o maneje informacion del sector publico espanol. Desde la actualizacion de 2022, tambien aplica a proveedores tecnologicos del sector privado que trabajen con la administracion. Si tu empresa desarrolla software para un ayuntamiento, el ENS te afecta.
Categorias del sistema
El ENS clasifica los sistemas en tres categorias segun el impacto de un incidente de seguridad:
- Basica: Impacto limitado. Aplica 36 controles.
- Media: Impacto grave. Aplica 55 controles.
- Alta: Impacto muy grave. Aplica 73 controles.
La mayoria de las empresas medianas que operan como proveedores tecnologicos caen en categoria media. Las que manejan datos especialmente sensibles (salud, defensa, infraestructuras criticas) necesitan categoria alta.
Controles clave del ENS
El ENS organiza sus controles en tres marcos: organizativo, operacional y medidas de proteccion. Los que mas esfuerzo requieren en la practica:
Gestion de accesos (op.acc): Identificacion unica, autenticacion robusta, minimo privilegio. El ENS es particularmente estricto con la segregacion de funciones en categoria media y alta. No basta con tener RBAC; hay que demostrar que los roles estan definidos segun funciones de negocio y que se revisan periodicamente.
Gestion de incidentes (op.mon): Deteccion, respuesta y notificacion. Desde la directiva NIS2 (transpuesta en Espana como el nuevo Real Decreto-ley 7/2024), los plazos de notificacion se han endurecido: 24 horas para una alerta temprana, 72 horas para un informe completo al CCN-CERT.
Proteccion de las comunicaciones (mp.com): Cifrado en transito obligatorio. Para categoria media y alta, el ENS especifica algoritmos concretos y longitudes de clave minimas alineadas con las guias CCN-STIC.
Continuidad del servicio (mp.cont): Plan de continuidad documentado, probado y actualizado. Las pruebas anuales son requisito, no sugerencia.
El proceso de certificacion ENS
El camino practico sigue estas fases:
- Analisis de diferencias: Inventariar lo que ya existe y lo que falta. Tipicamente, 2-4 semanas.
- Plan de adecuacion: Definir las acciones correctivas, responsables y plazos. Requiere aprobacion de la direccion.
- Implementacion: Desplegar controles tecnicos y procedimientos. Donde se consume el grueso del tiempo (3-8 meses segun el punto de partida).
- Auditoria interna: Obligatoria antes de la certificacion. Debe hacerla alguien independiente del equipo que implemento.
- Certificacion: Una entidad acreditada realiza la auditoria formal. Para categoria media, la certificacion tiene validez de 2 anos.
Un detalle que muchos desconocen: para categoria basica, el ENS permite una autoevaluacion (declaracion de conformidad). No hace falta auditor externo. Esto reduce dramaticamente el coste para empresas que solo necesitan el nivel basico. Para un analisis mas detallado de los requisitos ENS para proveedores cloud, consulta nuestra guia de ENS 2025 para proveedores.
ISO 27001: el estandar internacional
ISO 27001 es el estandar internacional de referencia para sistemas de gestion de seguridad de la informacion (SGSI). La version vigente es ISO 27001:2022, que actualizo la estructura de controles del Anexo A, reduciendo de 114 a 93 controles organizados en 4 tematicas en vez de 14 dominios.
Estructura del SGSI
ISO 27001 sigue el ciclo PDCA (Plan-Do-Check-Act) y exige:
- Contexto de la organizacion: Entender las necesidades y expectativas de las partes interesadas. Esto no es relleno. El alcance del SGSI determina que se certifica y que no.
- Liderazgo: La direccion debe demostrar compromiso. Firmar una politica no es suficiente; el auditor verificara que la direccion participa activamente en revisiones y asigna recursos.
- Evaluacion de riesgos: El corazon de ISO 27001. Identificar activos, amenazas, vulnerabilidades y calcular el riesgo residual. La metodologia es libre (MAGERIT, OCTAVE, la propia), pero debe ser sistematica y repetible.
- Tratamiento de riesgos: Para cada riesgo inaceptable, definir un plan: mitigar, transferir, aceptar o evitar. Los controles del Anexo A son la referencia, pero no son obligatorios; solo son obligatorios los que apliquen segun tu analisis de riesgos.
Los 93 controles del Anexo A (2022)
Organizados en cuatro tematicas:
| Tematica | Controles | Ejemplos clave |
|---|---|---|
| Organizacionales | 37 | Politicas de seguridad, gestion de activos, relaciones con proveedores |
| Personas | 8 | Screening, formacion, responsabilidades al terminar empleo |
| Fisicos | 14 | Perimetros de seguridad, proteccion de equipos, escritorio limpio |
| Tecnologicos | 34 | Gestion de accesos, cifrado, seguridad en desarrollo, backup |
Los controles nuevos en la version 2022 merecen atencion especial:
- A.5.7 Threat intelligence: Recopilar y analizar informacion sobre amenazas. No requiere un SOC dedicado; puede ser tan simple como suscribirse a feeds del CCN-CERT y revisarlos semanalmente.
- A.8.9 Configuration management: Gestionar las configuraciones de los sistemas. Si ya usas Terraform o herramientas de infraestructura como codigo, llevas ventaja.
- A.8.11 Data masking: Enmascarar datos en entornos de desarrollo y pruebas. Algo que la mayoria de las empresas deberian hacer y pocas hacen.
- A.8.12 Data leakage prevention: Prevenir fugas de datos. Puede ir desde DLP empresarial hasta reglas basicas en el gateway de correo.
- A.8.16 Monitoring activities: Monitorizar actividades anomalas. Si tienes un SIEM (incluso uno basico como Wazuh), esto esta cubierto.
El proceso de certificacion ISO 27001
- Etapa 1 (revision documental): El auditor revisa la documentacion del SGSI, la evaluacion de riesgos, la declaracion de aplicabilidad (SoA) y los procedimientos principales. Resultado: informe de hallazgos y confirmacion de preparacion para la etapa 2.
- Etapa 2 (auditoria in-situ): El auditor verifica que los controles estan implementados y funcionan. Entrevista al personal, revisa evidencias, prueba controles tecnicos.
- Vigilancia: Auditorias anuales durante el ciclo de 3 anos para verificar mantenimiento y mejora continua.
- Recertificacion: Cada 3 anos, auditoria completa.
Coste orientativo para una empresa de 100 personas: 15.000-30.000 EUR para la certificacion inicial (auditor externo), mas el coste interno de implementacion que varia enormemente segun el punto de partida.
SOC 2: el pasaporte americano
SOC 2 (Service Organization Control 2) es un informe de auditoria desarrollado por el AICPA (American Institute of Certified Public Accountants). No es una certificacion en sentido estricto; es un informe emitido por un auditor CPA que evalua los controles de una organizacion sobre uno o mas Trust Services Criteria (TSC):
- Security (obligatorio): Proteccion contra acceso no autorizado.
- Availability: Disponibilidad del sistema segun lo comprometido.
- Processing integrity: Procesamiento correcto y completo.
- Confidentiality: Proteccion de informacion confidencial.
- Privacy: Gestion de informacion personal.
La mayoria de las empresas eligen Security + Availability para el primer informe. Anadir Privacy es relevante si manejas datos personales de ciudadanos estadounidenses.
Tipos de informe
- Tipo I: Evalua el diseno de los controles en un momento puntual. Mas rapido y barato. Util como primer paso.
- Tipo II: Evalua el diseno Y la efectividad operativa durante un periodo (tipicamente 6-12 meses). Es lo que piden la mayoria de los clientes serios. Requiere que los controles hayan estado funcionando durante todo el periodo de observacion.
Controles tipicos de SOC 2
SOC 2 no prescribe controles especificos (a diferencia del ENS o ISO 27001 Anexo A). Define criterios y la organizacion diseña sus propios controles para satisfacerlos. Los mas comunes:
- Gestion de accesos con MFA y revision periodica
- Cifrado en transito y en reposo
- Deteccion y respuesta a incidentes
- Gestion de cambios (change management)
- Backup y recuperacion
- Formacion en seguridad
- Gestion de vulnerabilidades (escaneos, parcheo)
- Seguridad en el desarrollo (SDLC seguro)
El mapa de solapamientos
Aqui es donde la estrategia de certificacion unificada genera valor real. Hemos mapeado los controles principales entre los tres frameworks:
Gestion de accesos
| Control | ENS | ISO 27001 | SOC 2 |
|---|---|---|---|
| Identificacion unica | op.acc.1 | A.5.16 | CC6.1 |
| Autenticacion robusta | op.acc.5 | A.8.5 | CC6.1 |
| Minimo privilegio | op.acc.4 | A.8.2 | CC6.3 |
| Revision de accesos | op.acc.4 | A.5.18 | CC6.2 |
| MFA | op.acc.5 (media/alta) | A.8.5 | CC6.1 |
Un unico sistema IAM (Okta, Azure AD, Google Workspace con reglas avanzadas) cubre los tres. La diferencia esta en la evidencia: el ENS quiere documentacion en castellano, ISO 27001 quiere que el SGSI lo recoja formalmente, SOC 2 quiere logs de revision durante el periodo de observacion.
Gestion de incidentes
| Control | ENS | ISO 27001 | SOC 2 |
|---|---|---|---|
| Procedimiento de respuesta | op.mon.1 | A.5.24/A.5.26 | CC7.3/CC7.4 |
| Registro y clasificacion | op.mon.2 | A.5.25 | CC7.3 |
| Notificacion | op.mon.3 | A.5.24 | CC7.4 |
| Analisis post-incidente | op.mon.3 | A.5.27 | CC7.5 |
Un unico procedimiento de respuesta a incidentes sirve para los tres. El ENS anade requisitos especificos de notificacion al CCN-CERT. ISO 27001 exige que aprendas y mejores tras cada incidente. SOC 2 quiere ver que los controles funcionaron durante el periodo auditado.
Cifrado y proteccion de datos
| Control | ENS | ISO 27001 | SOC 2 |
|---|---|---|---|
| Cifrado en transito | mp.com.2 | A.8.24 | CC6.1/CC6.7 |
| Cifrado en reposo | mp.info.4 | A.8.24 | CC6.1 |
| Gestion de claves | op.exp.11 | A.8.24 | CC6.1 |
| Backup | mp.info.6 | A.8.13 | A1.2 |
Continuidad de negocio
| Control | ENS | ISO 27001 | SOC 2 |
|---|---|---|---|
| Plan de continuidad | mp.cont | A.5.29/A.5.30 | A1.2 |
| Pruebas del plan | mp.cont.3 | A.5.30 | A1.3 |
| Analisis de impacto | mp.cont.1 | A.5.29 | A1.2 |
El solapamiento en numeros
Tras mapear los controles detalladamente en multiples proyectos, estos son los porcentajes reales de solapamiento:
- ENS ↔ ISO 27001: ~65% de solapamiento directo en controles tecnicos y organizativos.
- ISO 27001 ↔ SOC 2: ~60% de solapamiento. SOC 2 es menos prescriptivo pero cubre las mismas areas.
- ENS ↔ SOC 2: ~50% de solapamiento directo. El ENS tiene controles especificos para administracion publica que SOC 2 no contempla.
- Triple solapamiento: ~45% de los controles estan cubiertos por los tres frameworks simultaneamente.
Ese 45% es la base. Implementarlo una vez, documentarlo tres veces (adaptando el lenguaje a cada framework), y reutilizar la evidencia. Eso es eficiencia.
La hoja de ruta unificada
Basandonos en proyectos reales con empresas de 50-300 empleados, esta es la secuencia que mejor funciona:
Fase 1: Cimientos (Meses 1-3)
Objetivo: Construir el sistema de gestion base que sirva para los tres frameworks.
- Politica de seguridad de la informacion: Un documento, aprobado por la direccion, que cubra los requisitos de los tres. No tres politicas separadas.
- Inventario de activos: Todos los sistemas, datos, personas y procesos en scope. Sin esto, el analisis de riesgos es ficcion.
- Evaluacion de riesgos: Usar una metodologia que satisfaga a los tres. MAGERIT es la opcion natural si empiezas por el ENS (es la recomendada por el CCN), y su enfoque basado en activos y amenazas mapea bien a ISO 27001.
- Declaracion de aplicabilidad (SoA): Documento que indica que controles aplican y cuales no, con justificacion. Para ISO 27001 es obligatorio. Para ENS y SOC 2 es una buena practica que acelera el proceso.
- Gestion de accesos: Centralizar IAM, implementar MFA, definir politica de accesos. Es el control con mas solapamiento y el que mas visibilidad tiene en las tres auditorias.
Herramientas: Vanta o Drata para automatizar la recogida de evidencias (cubren SOC 2 e ISO 27001; para ENS necesitaras complementar con PILAR o herramientas del CCN). Para gestion de identidades, Okta, Azure AD o Google Workspace con configuracion avanzada.
Fase 2: ENS primero (Meses 4-8)
Por que el ENS primero? Porque es el mas prescriptivo. Si cumples el ENS en categoria media, ya tienes el 65% de ISO 27001 cubierto. Ademas, si trabajas con sector publico, es el que te abre mercado inmediatamente.
- Implementar controles operacionales ENS: Gestion de configuraciones, proteccion frente a malware, gestion de vulnerabilidades, registro de actividad.
- Implementar medidas de proteccion: Cifrado, copias de seguridad, segregacion de redes, proteccion de las comunicaciones.
- Documentacion CCN: El ENS exige documentacion alineada con las guias CCN-STIC. Los procedimientos deben seguir la estructura y nomenclatura del CCN.
- Auditoria interna ENS: Antes de la certificacion. Identificar no conformidades y corregirlas.
- Certificacion ENS: Entidad acreditada por ENAC.
Fase 3: ISO 27001 como extension (Meses 9-14)
Con el ENS certificado, la transicion a ISO 27001 es mas corta de lo que parece:
- Gap analysis ENS → ISO 27001: Identificar los controles de ISO 27001 que el ENS no cubre. Tipicamente: gestion de proveedores (mas estricta en ISO), analisis de riesgos de terceros, controles de personas (screening, offboarding).
- Completar el SGSI: Adaptar la documentacion al formato ISO. Asegurar que el ciclo PDCA esta completo: planificacion, operacion, evaluacion del rendimiento, mejora.
- Mejorar evaluacion de riesgos: ISO 27001 espera una metodologia mas madura que el ENS basico. Pasar de un analisis de riesgos puntual a un proceso continuo.
- Etapa 1 y Etapa 2: El auditor ISO apreciara que ya tienes un ENS certificado. No elimina la auditoria, pero la suaviza.
Ahorro estimado: 30-40% respecto a empezar ISO 27001 desde cero, tanto en tiempo como en coste de consultoria.
Fase 4: SOC 2 como complemento (Meses 12-20)
SOC 2 Tipo II requiere un periodo de observacion (6-12 meses). La estrategia es iniciar el periodo de observacion en paralelo con la fase 3:
- Definir controles SOC 2: Mapear los criterios TSC a los controles que ya tienes de ENS e ISO. Identificar gaps (tipicamente pocos a estas alturas).
- Implementar controles de monitorizacion: SOC 2 pone enfasis en la evidencia continua. Logs de acceso, registros de cambios, metricas de disponibilidad. Si ya tienes un stack de observabilidad, la mayor parte esta cubierta.
- Periodo de observacion: 6-12 meses durante los cuales el auditor evaluara que los controles funcionan efectivamente. Este periodo corre en paralelo con la operativa normal.
- Informe SOC 2 Tipo II: Un CPA emite el informe. Los clientes americanos lo reciben y dejan de preguntar.
Si has pasado el ENS y la ISO, el esfuerzo adicional para SOC 2 Tipo I es marginal. El Tipo II solo anade tiempo de espera (el periodo de observacion), no trabajo significativo.
Errores comunes que hemos visto
Despues de acompanar a varias empresas medianas en este proceso, estos son los errores que se repiten:
Tratar cada certificacion como un proyecto separado. El error mas caro. Tres equipos, tres consultoras, tres conjuntos de documentacion. El resultado son inconsistencias, duplicacion de esfuerzo y agotamiento del equipo.
Subestimar la documentacion. Los controles tecnicos son la parte facil. La documentacion es donde los equipos de ingenieria se atascan. Procedimientos, registros, evidencias, actas de revision. Automatizar la recogida de evidencias (Vanta, Drata, o scripts propios) reduce este dolor significativamente.
No involucrar a la direccion. Los tres frameworks exigen compromiso de la alta direccion. No es un requisito formal; es un requisito real. Sin un sponsor ejecutivo que asigne presupuesto, tiempo de equipo y atienda las revisiones de gestion, el proyecto se estanca en la fase 2.
Buscar la perfeccion en el primer ciclo. Las tres certificaciones funcionan con ciclos de mejora continua. No necesitas controles perfectos en la primera auditoria. Necesitas controles funcionales, documentados y con un plan de mejora creible. Los auditores valoran la madurez del proceso, no la ausencia de hallazgos.
Ignorar a los proveedores. ISO 27001 y SOC 2 son especialmente estrictos con la cadena de suministro. Si tu proveedor de cloud no tiene SOC 2, tu auditor lo vera. Mapear los proveedores criticos y obtener sus informes de cumplimiento es una tarea que conviene empezar pronto.
Presupuesto orientativo
Para una empresa tecnologica de 100-200 empleados, con infraestructura en cloud y un nivel de madurez medio en seguridad:
| Concepto | Coste estimado |
|---|---|
| Consultoria unificada (3 frameworks) | 40.000-80.000 EUR |
| Herramientas de compliance (Vanta/Drata) | 15.000-25.000 EUR/ano |
| Certificacion ENS (auditor) | 8.000-15.000 EUR |
| Certificacion ISO 27001 (auditor) | 12.000-25.000 EUR |
| Informe SOC 2 Tipo II (CPA) | 20.000-40.000 EUR |
| Herramientas tecnicas (SIEM, IAM, etc.) | 10.000-30.000 EUR/ano |
| Coste total primer ano | 105.000-215.000 EUR |
| Mantenimiento anual posterior | 40.000-80.000 EUR |
Comparado con tratar cada certificacion independientemente (multiplicar por 1.5-2x), la ruta unificada genera un ahorro del 30-40%.
Un matiz importante: parte de estas herramientas y controles deberian existir independientemente de cualquier certificacion. Si tu empresa no tiene MFA, gestion de vulnerabilidades o copias de seguridad probadas, el coste no es “de compliance”. Es de seguridad basica que llevas tiempo postponiendo.
Automatizacion de evidencias
La recogida de evidencias es donde la estrategia unificada brilla o fracasa. Sin automatizacion, mantener tres conjuntos de evidencias actualizados es insostenible.
Plataformas de compliance como Vanta, Drata o Secureframe conectan con tu infraestructura (AWS, GCP, Azure, GitHub, Okta, Jira) y recogen evidencias automaticamente: configuraciones de seguridad, logs de acceso, estado de parches, completitud de formacion. Vanta tiene soporte nativo para SOC 2 e ISO 27001. Para ENS, necesitaras mapeo manual de controles, pero la evidencia subyacente es la misma.
Scripts de compliance propios: Para controles que las plataformas no cubren automaticamente (revision de accesos, pruebas de backup, escaneos de vulnerabilidades), un conjunto de scripts que generen informes periodicos y los almacenen como evidencia. Un cron job semanal que ejecute Trivy contra tus imagenes Docker, exporte los resultados en JSON y los archive es una evidencia de gestion de vulnerabilidades valida para los tres frameworks.
Evidencia como codigo: Tratar la compliance como tratas la infraestructura. Las politicas en Git, las configuraciones de seguridad en Terraform, los escaneos en CI/CD. Cada commit es evidencia. Cada pipeline que ejecuta un control de seguridad es evidencia. Este enfoque escala y es auditorial.
Seleccion de auditor
Un consejo practico que ahorra dolores de cabeza: si vas a certificarte en los tres frameworks, busca un auditor (o firma de auditoria) que pueda cubrir al menos dos. Algunas firmas estan acreditadas para ENS y ISO 27001 simultaneamente. Para SOC 2 necesitaras un CPA (tipicamente una firma diferente si tu auditor ENS/ISO no tiene practica CPA).
Lo que funciona en la practica: una firma espanola acreditada por ENAC para ENS e ISO 27001, y una firma con practica CPA para SOC 2. Coordinar las ventanas de auditoria para que los controles comunes se revisen una vez y se referencien en los tres informes.
Conclusiones practicas
La ciberseguridad para la empresa mediana no es un problema de frameworks. Es un problema de ejecucion sistematica. El ENS, ISO 27001 y SOC 2 son lentes diferentes sobre el mismo objetivo: proteger la informacion y demostrar que lo haces.
La hoja de ruta que funciona es progresiva: cimientos comunes, ENS primero (es el mas prescriptivo y abre mercado publico), ISO 27001 como extension natural, SOC 2 como complemento internacional. Cada paso reutiliza el trabajo anterior.
Los numeros no mienten: un 45% de controles con triple solapamiento, un 30-40% de ahorro con ruta unificada, y un equipo que construye un unico sistema de seguridad en vez de mantener tres. Para una empresa mediana con recursos de consultoria limitados, esa diferencia es la que separa una certificacion exitosa de un proyecto abandonado a medio camino.
Etiquetas
Sobre el autor
abemon engineering
Equipo de ingenieria
Equipo multidisciplinar de ingenieria, datos e IA con sede en Canarias. Construimos, desplegamos y operamos soluciones de software a medida para empresas de cualquier escala.
