Datos actualizados: Basado en los 2.215 certificados del registro CCN-CERT (febrero 2026). Explora los datos en el análisis interactivo.
La pregunta que más se hace cualquier organización antes de certificarse: ¿qué categoría ENS tendré? Esta guía responde con datos reales de las 2.215 certificaciones activas en España.
Para entender cómo funciona la categorización (las dimensiones CITA, los niveles de impacto), consulta la guía de categorización de sistemas ENS. Aquí nos centramos en qué muestran los datos reales.
Distribución global
| Categoría | Certificaciones | Porcentaje |
|---|---|---|
| MEDIA | 1.207 | 64,6% |
| ALTA | 617 | 33,0% |
| BÁSICA | 45 | 2,4% |
Dos de cada tres certificaciones son MEDIA. Solo 1 de cada 3 es ALTA, y la categoría BÁSICA es prácticamente residual (2,4%).
¿Por qué tan poca BÁSICA? Dos razones probables:
- Las organizaciones con sistemas realmente básicos recurren a los Perfiles de Cumplimiento Específico (PCE) en lugar de la certificación completa.
- La certificación ENS tiene un coste mínimo en auditoría. Si el impacto es tan bajo que clasifica como BÁSICA, puede no compensar certificar un sistema independiente.
Por sector: público vs. privado
| Sector | Certificaciones | % ALTA | % MEDIA | % BÁSICA |
|---|---|---|---|---|
| Privado | ~1.979 (89%) | 37% | 62% | 2% |
| Público | ~236 (11%) | 25% | 67% | 9% |
El sector privado domina el registro (89%), pero el sector público tiene 4 veces más BÁSICA (9% vs. 2%). Esto se debe a los ayuntamientos que certifican solo su sede electrónica: un sistema con impacto bajo en la mayoría de dimensiones.
Dato curioso: ninguna de las 12 universidades certificadas tiene categoría ALTA. Todas son MEDIA (92%) o BÁSICA (8%).
Por tipo de servicio: qué empuja hacia ALTA
No todos los servicios predicen igual. Estos son los que están estadísticamente asociados con categoría ALTA (p < 0,05 tras corrección de Bonferroni):
| Servicio en el alcance | Apariciones | % ALTA | Odds Ratio | Interpretación |
|---|---|---|---|---|
| Cloud / nube | 301 | 59% | 3,10 | 3x más probable ALTA |
| Monitorización | 157 | 55% | 2,48 | SOC, NOC |
| Ciberseguridad | 143 | 52% | 2,16 | Servicios especializados |
| Datacenter | 18 | 78% | 6,78 | Muestra pequeña pero clara |
Y los que no predicen categoría ALTA (ni MEDIA significativamente):
| Servicio | Apariciones | % ALTA | vs. media (33%) |
|---|---|---|---|
| Consultoría | 410 | 33% | Sin diferencia |
| Desarrollo | 668 | 33% | Sin diferencia |
| Formación | 154 | 28% | Sin diferencia |
| Financiero | 55 | 20% | Inferior |
“Cloud” es el mayor predictor de ALTA: no porque la palabra cause la categoría, sino porque las organizaciones cloud tienen mecánicamente impactos ALTOS en disponibilidad (sus clientes dependen de un 99,9% de uptime).
Longitud del alcance vs. categoría
| Categoría | Media (caracteres) | Mediana |
|---|---|---|
| ALTA | 408 | 287 |
| MEDIA | 334 | 260 |
| BÁSICA | 270 | 203 |
Existe correlación estadística (Kruskal-Wallis p < 0,001), pero el tamaño del efecto es pequeño (η² = 0,012). Un alcance largo no implica categoría ALTA, simplemente, los sistemas más complejos necesitan más texto para describirse.
Predicción con machine learning
Entrenamos un modelo de regresión logística sobre los 2.215 textos de alcance:
| Modelo | Precisión | F1 Score |
|---|---|---|
| Baseline (siempre MEDIA) | 64,6% | — |
| Solo longitud | 65,0% | — |
| Regresión logística | 68,8% | 0,581 |
| Con certificadora + sector | 67,8% | 0,570 |
El modelo supera el baseline en 4,2 puntos porcentuales. Los 5 términos que más predicen ALTA:
- centro dato (coef. 2,09): proveedores de hosting
- remoto (coef. 1,86): acceso remoto
- paciente (coef. 1,84): sector sanitario
- sanitario (coef. 1,68): hospitales
- cloud (coef. 1,65): infraestructura cloud
Nota importante: añadir la certificadora como variable no mejora el modelo. El texto del alcance ya codifica implícitamente quién certificó: el estilo de redacción delata a la certificadora.
Visualización interactiva de los modelos predictivos en el análisis completo.
Cómo estimar tu categoría antes del BIA
Basándote en los datos, puedes hacer una estimación rápida (no definitiva):
Probablemente ALTA si…
- Tu sistema gestiona infraestructura cloud o centros de datos
- Ofreces servicios de monitorización (SOC/NOC)
- Manejas datos de pacientes o sistemas sanitarios
- Tu alcance menciona emergencias o protección civil
- Tu vecindario temático es cloud/datacenter o ciberseguridad
Probablemente MEDIA si…
- Eres una empresa de servicios TI estándar (desarrollo, consultoría, mantenimiento)
- Tu alcance cubre gestión y administración de sistemas
- No manejas infraestructura crítica ni datos especialmente sensibles
- Tu organización es una pyme de servicios tecnológicos
Probablemente BÁSICA si…
- Eres un ayuntamiento certificando la sede electrónica
- Tu sistema tiene un alcance muy acotado y los impactos son limitados
- Considera si un PCE (Perfil de Cumplimiento Específico) es más adecuado
La estimación no es la categorización
Estas son tendencias estadísticas, no reglas. La categoría final la determina el Análisis de Impacto (BIA), evaluando el impacto en cada dimensión de seguridad (CITA + Disponibilidad) para cada activo dentro del alcance. Haz el BIA: es el único camino fiable.
¿Quieres saber tu categoría? Nuestro Análisis de Impacto gratuito evalúa las dimensiones CITA de tu sistema y te da la categorización en minutos.