La seguridad de la información es un pilar estratégico en la evolución de las soluciones tecnológicas y certificados como el Esquema Nacional de Seguridad (ENS) aportan confianza y transparencia. Hablamos con Bernardo Mendibe, responsable de Calidad de Dinycon Sistemas, sobre lo que supone para la empresa la obtención de la certificación de conformidad con el ENS de categoría media, los planes de futuro en materia de seguridad de la información y de los servicios prestados a través de sistemas electrónicos, así como de los proyectos que está desarrollando la compañía centrados en el análisis de flujos urbanos y la gestión inteligente del espacio público.
ESMARTCITY: Dinycon Sistemas ha obtenido el certificado de conformidad del Esquema Nacional de Seguridad, de categoría media. ¿Qué implica esta certificación para la empresa? ¿Y para sus clientes?
Bernardo Mendibe: Representa un hito estratégico para Dinycon Sistemas. Para la empresa, refuerza el compromiso institucional con la protección de la información y los servicios digitales, alineándose con los principios de seguridad, disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. Implica que los sistemas y procesos críticos de nuestra organización han sido evaluados y cumplen con los requisitos del ENS, incluyendo controles técnicos y organizativos adecuados al nivel medio de riesgo, y supone una mejora continua en el Sistema de Gestión de Seguridad de la Información de Dinycon Sistemas (SGSI), con procedimientos documentados, análisis de riesgos, gestión de incidentes, continuidad del negocio y medidas de control de accesos, entre otros.
Para nuestros clientes, garantiza que la información que gestionamos o tratamos en su nombre está protegida conforme a un marco reconocido por la administración pública española.
La certificación, por lo tanto, aporta confianza y transparencia, ya que certificamos que nuestros procesos cumplen con un conjunto normativo auditable y supervisado por entidades acreditadas. Por último, visibiliza la posición de Dinycon como un proveedor fiable en proyectos con entidades públicas y privadas que exigen el cumplimiento del ENS como prerrequisito.
ESMARTCITY: ¿Cuáles han sido las claves del proceso para obtener la certificación? En la auditoría realizada por AENOR, ¿qué aspectos han sido especialmente evaluados?
B. Mendibe: Desde el inicio, contar con el apoyo de la dirección fue clave. Hubo un compromiso claro y se asignaron los recursos necesarios para poner en marcha todo el sistema. Se definieron políticas, se marcaron prioridades y, sobre todo, se entendió que la seguridad no es solo tecnológica, sino un factor clave de organización.
Lo primero que hicimos fue un análisis riguroso de riesgos y activos. Identificamos todos los servicios, activos y amenazas relevantes, y aplicamos una metodología de análisis ajustada a la categoría media del ENS. Esto nos permitió definir medidas proporcionadas y bien justificadas.
A partir de ahí, trabajamos en la parte documental. Redactamos y adaptamos políticas, procedimientos y normas que cumplen con el Anexo II del ENS, pero también nos apoyamos en buenas prácticas de la ISO/IEC 27001 para dar solidez al conjunto. Paralelamente, implementamos medidas técnicas y organizativas: control de accesos, copias de seguridad, monitorización, planes de continuidad, gestión de incidentes, todo ello cubriendo tanto la infraestructura física como la lógica.
No nos olvidamos del factor humano. Se organizaron sesiones de formación específicas para los perfiles que operan los sistemas, buscando reforzar esa cultura de seguridad que queremos que forme parte del día a día.
Antes de llegar a la auditoría de AENOR, realizamos simulacros de auditoría interna. Estas revisiones cruzadas nos ayudaron a detectar y corregir desviaciones a tiempo, lo que dio mucha confianza al equipo, poniendo especial atención en varios aspectos: la política de seguridad y comunicación, el análisis de riesgos, asegurándose de que cubrimos todo (activos, amenazas, vulnerabilidades y sus mitigaciones), los procedimientos clave como la gestión de incidentes, respaldo, control de accesos o continuidad del servicio.
También valoraron mucho la trazabilidad entre lo que dice el ENS y lo que realmente aplicamos. Por último, confirmaron que las medidas específicas de categoría media estaban bien implantadas y desplegadas.
ESMARTCITY: ¿Qué medidas o mejoras destacaría que se hayan implementado en los sistemas de Dinycon para cumplir con los requisitos de categoría media del ENS?
B. Mendibe: La adecuación al ENS en categoría media ha supuesto una mejora significativa en Dinycon, tanto a nivel técnico como organizativo. Hemos abordado varias áreas críticas para reforzar nuestra postura en ciberseguridad.
Por ejemplo, se ha fortalecido la arquitectura de red. Implementamos una segmentación que reduce el impacto ante posibles incidentes y aplicamos principios como el mínimo privilegio. Además, reforzamos la autenticación y la gestión de identidades con mecanismos más seguros.
En cuanto a la continuidad del servicio, desarrollamos un Plan de Continuidad y Recuperación ante Desastres (PCN/DRP), con copias de seguridad automatizadas y pruebas periódicas de restauración. También hemos implementado mecanismos redundantes para asegurar que los servicios críticos se mantengan disponibles.
Otra mejora importante ha sido el control sobre el ciclo de vida del software. Tenemos procedimientos documentados para la gestión de cambios, hacemos revisiones de código y pruebas de seguridad antes de pasar a producción, y mantenemos el control de versiones en todos los entornos.
Respecto a la gestión de incidentes, ahora contamos con un enfoque mucho más estructurado. Todos los incidentes se registran con trazabilidad, y las brechas de seguridad se gestionan con un procedimiento formal. Incluso hay un equipo técnico preparado para responder y coordinar la comunicación interna.
También se ha reforzado la seguridad física, con controles de acceso en instalaciones, videovigilancia, alarmas y un registro claro de accesos a salas técnicas. Todo conforme a lo definido en el documento.
En supervisión y trazabilidad, activamos logs de auditoría en los sistemas clave, los conservamos y revisamos de forma periódica, y usamos herramientas de monitorización para eventos y sistemas. Además, hacemos evaluaciones internas regulares para asegurarnos de que las medidas se cumplen.
Y, por supuesto, no dejamos de lado la formación. Llevamos a cabo campañas internas de sensibilización y sesiones adaptadas a cada perfil: técnicos, gestores y usuarios. Los contenidos incluyen desde gestión segura de la información hasta phishing y buenas prácticas generales.
ESMARTCITY: ¿Cuáles han sido los principales desafíos que ha afrontado la empresa durante el proceso de adaptación a los requisitos del Real Decreto 311/2022 que regula el ENS y cómo se han superado?
B. Mendibe: La adaptación al nuevo marco del ENS ha supuesto un cambio profundo para Dinycon. Ha sido un proceso exigente, pero también muy enriquecedor. Nos enfrentamos a varios desafíos importantes que fuimos resolviendo paso a paso.
Uno de los principales retos fue el cambio de enfoque. Se basa en principios más estructurados y medidas reforzadas, especialmente para servicios críticos. Lo que hicimos fue mapear nuestras medidas actuales contra los nuevos requisitos, identificar brechas y priorizar la implementación gradual, empezando por lo más crítico: las medidas comunes y reforzadas.
Otro punto clave fue la documentación. Tuvimos que revisar y alinear todas nuestras políticas, normas y procedimientos con los controles del nuevo Anexo II y la estructura del Anexo III. Para ello, conformamos un equipo transversal con personas provenientes de Calidad, Seguridad y TI. Se revisaron más de 20 documentos, unificando formatos, control de versiones y trazabilidad normativa.
En cuanto a la gestión del riesgo, el nuevo ENS exige un enfoque más dinámico y continuo. Lo que hicimos fue actualizar la metodología de análisis de riesgos y conectarla con el inventario de activos y servicios. También implementamos herramientas que nos permiten actualizar planes de tratamiento según cambie el contexto.
Otro aspecto fundamental fue la formación. Era necesario que no solo los técnicos, sino todo el personal entendiera los nuevos requisitos. Por eso organizamos sesiones específicas para cada perfil y, además, integramos la seguridad como parte fija en los planes de formación continua.
Por último, nos enfocamos en la trazabilidad y el enfoque auditor. El nuevo ENS pide evidencias claras, justificadas y monitorizadas. Creamos un repositorio de evidencias, asignamos responsables por cada control y establecimos revisiones periódicas para mantenerlo actualizado.
ESMARTCITY: ¿Cómo se asegura Dinycon del mantenimiento continuo de los niveles de seguridad exigidos por el ENS en los servicios relacionados con el conteo, tracking, ocupación y aforo de personas y vehículos? ¿En qué proyectos relacionados con estos ámbitos trabaja actualmente la empresa? ¿Podría hablarnos de algún caso de éxito?
B. Mendibe: Tras lograr la certificación ENS, el reto está en mantener ese nivel de seguridad de forma constante. En Dinycon lo hacemos integrando todos los controles del ENS en nuestro SGSI. Hacemos revisiones periódicas de los 73 controles del Anexo II, tanto los comunes como los reforzados, especialmente en los servicios que ya están en producción.
También tenemos una monitorización continua de eventos y registros de actividad. Esto nos permite reaccionar con alertas tempranas ante cualquier anomalía, especialmente en nuestras plataformas de conteo y tracking.
A nivel técnico, mantenemos entornos bien segmentados (desarrollo, pruebas, producción) y aplicamos una gestión muy controlada de accesos, especialmente para proteger datos sensibles como los de ocupación y movilidad urbana.
Además, cada semestre realizamos auditorías internas y revisamos indicadores de seguridad específicos para cada solución desplegada. Esto se complementa con una gestión del ciclo de vida de los productos muy estructurada: actualizaciones seguras, parches y pruebas de regresión antes de aplicar cualquier cambio en los sistemas de clientes.
Otro punto clave es el cumplimiento del RGPD. Nuestras soluciones se diseñan desde el inicio con un enfoque privacy by design, asegurando siempre la confidencialidad, integridad, disponibilidad y trazabilidad que exige el ENS.
En cuanto a proyectos actuales, estamos muy centrados en el análisis de flujos urbanos y la gestión inteligente del espacio público. Por ejemplo, tenemos sistemas de conteo y tracking de peatones en zonas clave de ciudades inteligentes, control de ocupación en edificios, estaciones o centros comerciales, con visualización en tiempo real, gestión de aforo y movilidad en aparcamientos urbanos, con paneles dinámicos y apps ciudadanas. Todo esto integrado con plataformas smart city e integrándonos en cuadros de mando municipales, siempre garantizando la interoperabilidad y la seguridad del sistema.
Uno de los casos más representativos es el proyecto desarrollado en la ciudad de San Sebastián, donde Dinycon desplegó un sistema integral de conteo y análisis de flujos peatonales: se instalaron sensores en zonas estratégicas del casco histórico y áreas de gran afluencia turística, los datos recogidos permiten a las autoridades ajustar políticas de movilidad, seguridad y limpieza urbana; toda la infraestructura tecnológica está alineada con los requisitos del ENS, lo que permitió integrar estos servicios dentro de la red de sistemas del ayuntamiento con total garantía; y se proporciona acceso seguro a paneles de control web y reportes automáticos para los distintos perfiles del cliente.
Este proyecto ha sido considerado una referencia por su enfoque inteligente, seguro y respetuoso con la privacidad, consolidando a Dinycon como un socio tecnológico confiable en entornos smart city.
Otros ejemplos de casos de éxito son las iniciativas DTI en Calviá y Lanzarote, además de implantaciones para la Ciudad de las Artes y las Ciencias de Valencia, y el mercado central de Tarragona, donde desplegamos conteo de personas y mapas de calor para mejorar la gestión de este tipo de espacios públicos.
ESMARTCITY: ¿Qué planes tiene Dinycon a futuro en materia de seguridad de la información y de los servicios prestados a través de sistemas electrónicos? ¿Cómo influirá la certificación en su estrategia?
B. Mendibe: Entendemos que la seguridad de la información es un pilar estratégico en la evolución de nuestras soluciones tecnológicas. Por eso, estamos trabajando en varios frentes clave de cara al futuro.
En primer lugar, seguimos avanzando en la mejora continua de nuestro Sistema de Gestión de Seguridad de la Información. Incorporamos nuevas capacidades de detección temprana y análisis de comportamiento, y revisamos de forma periódica los procedimientos clave como la gestión de riesgos, la continuidad de negocio y la respuesta ante incidentes.
Además, buscamos una mayor alineación con estándares internacionales. Estamos trabajando en la certificación de la norma ISO/IEC 27001, pero también estamos integrando progresivamente otros marcos como la ISO 9001:2015 y el Esquema Nacional de Seguridad en su categoría alta, especialmente en proyectos críticos o estratégicos.
Otro de nuestros focos está en reforzar la ciberseguridad en entornos IoT y edge computing. Queremos asegurar nuestros dispositivos y sensores desplegados en ciudades, parkings o edificios inteligentes, desarrollando arquitecturas más robustas frente a amenazas emergentes como ataques de denegación de servicio, manipulaciones de datos o accesos no autorizados.
También trabajamos en optimizar la experiencia del cliente desde una perspectiva segura. Estamos desarrollando nuevas plataformas visuales, APIs con autenticación robusta y dashboards seguros, además de sistemas de monitorización proactiva en tiempo real que nos permiten asegurar la continuidad y calidad del servicio.
En cuanto a la influencia de la certificación ENS en la estrategia de Dinycon, su obtención marca un punto de inflexión en la estrategia de la empresa, ya que refuerza la posición de Dinycon como proveedor tecnológico de confianza, especialmente en proyectos con administraciones públicas y entidades que exigen cumplimiento normativo, alineando los objetivos tecnológicos con una visión de seguridad por diseño, influyendo directamente en el desarrollo de nuevos productos y servicios.