Cuando una empresa necesita contratar con la Administración o convertirse en proveedor fiable de una gran cuenta, el ENS medio deja de ser un asunto técnico y pasa a ser una decisión de negocio. Entender bien los pasos de la certificación ENS medio evita retrasos, sobrecostes y, sobre todo, auditorías fallidas que bloquean oportunidades comerciales.
La cuestión no es solo cumplir un marco. La cuestión es llegar a la certificación con un sistema que funcione, que resista una revisión seria y que no dependa de documentos vacíos. Ahí es donde muchas organizaciones pierden tiempo: arrancan por la plantilla antes que por el riesgo, o intentan certificar demasiado rápido sin haber ajustado procesos, roles y evidencias.
Qué implica realmente la certificación ENS medio
El Esquema Nacional de Seguridad, en categoría media, exige un nivel de control más exigente que el básico y suele afectar a organizaciones que tratan información, sistemas o servicios con impacto relevante para clientes públicos o entornos regulados. No basta con declarar buenas prácticas. Hay que demostrar que la seguridad está implantada, gestionada y revisada.
En la práctica, la certificación ENS medio suele exigir madurez en gobierno, análisis de riesgos, gestión de accesos, protección de operaciones, continuidad, proveedores, registro de actividad, gestión de incidentes y revisión periódica. Además, obliga a alinear personas, tecnología y documentación. Si una de esas tres piezas falla, la auditoría lo detecta.
Por eso conviene asumir una idea desde el inicio: certificar ENS medio no es comprar una política ni rellenar un checklist. Es construir un sistema verificable.
Pasos para la certificación ENS medio: el orden importa
Muchas empresas preguntan cuánto tarda el proceso. La respuesta correcta es: depende del punto de partida. No tarda lo mismo una compañía con controles ya operativos, inventario actualizado y disciplina documental, que otra que parte sin análisis de riesgos, sin responsables definidos y con proveedores sin evaluar.
1. Delimitar alcance y categoría con criterio
El primer paso consiste en definir qué sistemas, servicios, sedes, procesos y activos entran en el alcance. Aquí se comete un error frecuente: intentar incluir demasiado para “aprovechar” la certificación. Si el alcance no está bien acotado, aumenta la complejidad, crecen las evidencias necesarias y se multiplica el riesgo de no conformidades.
También hay que confirmar que la categoría media está bien determinada y calculada según la información tratada, los servicios prestados y el impacto potencial. Una categorización mal planteada arrastra problemas en todo el proyecto.
2. Hacer un diagnóstico realista, no complaciente
Antes de redactar documentos, hay que medir la distancia entre la situación actual y lo que exige el ENS. Ese gap analysis debe revisar controles técnicos, procedimientos, registros, estructura organizativa y capacidad de demostrar cumplimiento.
Un diagnóstico útil no se limita a decir “falta política” o “falta procedimiento”. Debe responder qué existe, qué no existe, qué funciona solo de forma informal y qué está implantado pero no puede evidenciarse. Esta diferencia es crítica, porque en auditoría cuenta tanto lo que haces como lo que puedes probar.
3. Definir gobierno, roles y responsabilidades
El ENS no se sostiene si la seguridad depende solo del departamento IT. En categoría media, la organización necesita responsabilidades claras, funciones asignadas y un modelo de gobierno que permita decidir, supervisar y corregir.
Esto incluye nombramientos, segregación de funciones cuando aplique, participación de dirección y coordinación con áreas clave como operaciones, sistemas, legal, RR. HH. y compras. Si nadie sabe quién aprueba, quién revisa y quién ejecuta, el sistema nace débil.
4. Analizar riesgos y declarar aplicabilidad de medidas
Aquí está uno de los núcleos del proyecto. El análisis de riesgos debe identificar amenazas, vulnerabilidades, impacto y tratamientos. A partir de ese trabajo se determina cómo se aplican las medidas del ENS al entorno concreto de la empresa.
No todas las organizaciones necesitan la misma profundidad técnica en cada control, pero todas deben justificar sus decisiones. El enfoque correcto no es copiar medidas estándar, sino adaptar su implantación al servicio, la arquitectura tecnológica, el volumen de datos y la criticidad operativa.
5. Diseñar la documentación útil
La documentación debe servir para operar, formar, revisar y auditar. Si se redacta solo para “tener papeles”, se convierte en un problema más. En un proyecto bien llevado, políticas, normas, procedimientos, inventarios, matrices, planes y registros reflejan la realidad del negocio.
Esto exige personalización. Una pyme tecnológica que presta servicios gestionados no necesita el mismo diseño documental que un proveedor industrial con conectividad OT o que una empresa de logística que integra múltiples terceros. El auditor detecta enseguida cuando la documentación no encaja con la operativa.
6. Implantar controles y generar evidencias
Este punto separa los proyectos serios de los que se quedan en la superficie. Implantar significa activar controles, formar a los equipos, ajustar herramientas, registrar actividades y mantener trazabilidad. Es el momento de aterrizar medidas como control de accesos, copias de seguridad, gestión de vulnerabilidades, hardening, monitorización, gestión de cambios, clasificación de activos o respuesta a incidentes.
Además, hay que generar evidencias sostenibles. No se trata de producir documentos el mes antes de auditoría, sino de demostrar que el sistema lleva funcionando de forma consistente. Registros, actas, revisiones, tickets, informes y aprobaciones deben tener sentido temporal y operativo.
7. Revisar internamente antes de la auditoría externa
La auditoría interna y la revisión previa son decisivas. Permiten detectar desviaciones, probar la coherencia entre áreas y corregir fallos antes de que los vea la certificadora. En empresas con presión comercial, este paso a veces se recorta para ganar tiempo. Suele salir caro.
Una buena revisión interna no busca quedar bien. Busca tensionar el sistema. Si aparecen no conformidades internas, mejor resolverlas ahí que hacerlo ante la entidad certificadora, con impacto en plazos y credibilidad.
8. Afrontar la auditoría de certificación con control
Llegados a este punto, la empresa debe poder explicar su alcance, justificar sus decisiones, enseñar evidencias y responder con seguridad sobre su operativa. La auditoría externa no premia discursos generales. Premia coherencia, trazabilidad y control.
Cuando el proyecto se ha llevado con rigor, la auditoría se convierte en una validación. Cuando se ha llevado con prisas, se convierte en un examen lleno de grietas.
Errores que retrasan la certificación ENS medio
El más habitual es pensar que el ENS medio es un proyecto exclusivo de sistemas. El segundo, intentar acelerar la certificación sin haber consolidado evidencias. El tercero, usar documentación genérica que no refleja la realidad de la empresa.
También fallan muchas organizaciones al no implicar a dirección. Si la certificación se percibe como un trámite técnico, las decisiones se bloquean, los recursos llegan tarde y los responsables no asumen su papel. El resultado suele ser el mismo: controles a medias, procedimientos sin uso y auditorías tensas.
Otro error frecuente aparece en la gestión de proveedores. En categoría media, los terceros importan mucho. Si prestan servicios críticos, alojan información o administran sistemas, su evaluación y control forman parte del cumplimiento real. Ignorar esa cadena de dependencia deja un vacío importante.
Cuánto puede tardar y de qué depende
No hay un plazo universal. En una organización ordenada, con base previa en ISO 27001 u otros marcos de seguridad, el proceso puede avanzar con bastante agilidad. En una empresa que parte de cero, el calendario se alarga porque primero hay que construir disciplina operativa.
Influyen el tamaño del alcance, la complejidad tecnológica, la dispersión de sedes, el número de proveedores críticos y la disponibilidad del equipo interno. También pesa la calidad del acompañamiento. Un proyecto mal secuenciado hace perder semanas en retrabajos documentales o en controles implantados sin criterio.
Por eso conviene valorar la certificación como una inversión con retorno claro. Para muchas empresas, aprobar ENS medio abre la puerta a licitaciones, homologa frente a clientes exigentes y reduce barreras en procesos de due diligence. El coste de no llegar a tiempo puede ser mayor que el coste del proyecto.
Cómo preparar la auditoría con más garantías
La mejor preparación no empieza la semana anterior. Empieza meses antes, cuando cada control se implanta pensando en cómo se va a mantener y demostrar. Aun así, en la fase final conviene revisar cuatro planos: que el alcance esté perfectamente definido, que la documentación coincida con la realidad, que existan evidencias suficientes y que los interlocutores sepan responder con precisión.
También ayuda hacer simulaciones de entrevistas y recorrer procesos completos, desde un alta de usuario hasta la gestión de una incidencia o una copia de seguridad restaurada. El auditor no mira piezas aisladas. Mira si el sistema se sostiene de extremo a extremo.
Ahí es donde un acompañamiento experto marca diferencia. No por añadir burocracia, sino por ordenar el proyecto, priorizar lo que de verdad impacta en auditoría y evitar errores típicos de interpretación. En LicitaISO, ese enfoque se traduce en implantaciones orientadas a resultado, con consultores senior y preparación real para superar la certificación con entidades acreditadas.
La certificación ENS medio no debería plantearse como una carga administrativa. Bien ejecutada, es una prueba de madurez operativa y una palanca comercial. Si el proceso se aborda con método, los pasos dejan de ser un obstáculo y se convierten en una ventaja competitiva difícil de replicar.