Cumplimiento normativo
Implantamos tu sistema de gestión de seguridad de la información y lo llevamos hasta el certificado: análisis de brechas, diseño del SGSI, riesgos, declaración de aplicabilidad, controles, auditoría interna y acompañamiento en las dos etapas con la entidad. Con una promesa de método: el sistema se diseña para tu realidad y para el nivel de riesgo que puedes asumir, no sale de una plantilla.
Auditores jefe de ISO 27001 en el equipo y SGSI propio certificado.
Para quién
ISO 27001 es la norma internacional de referencia para la seguridad de la información. Es voluntaria, pero el mercado la pide: clientes grandes, concursos y cuestionarios de proveedores la dan por supuesta, y es la base sobre la que se apoyan NIS2, el ENS, TISAX y casi cualquier marco que te llegue después. Certificarse ordena tu seguridad y, además, te abre puertas.
Si vendes a grandes cuentas, optas a concursos o tu sector exige demostrar seguridad, un SGSI bajo ISO 27001 es la credencial que abre la conversación. Y si después llegan el ENS o NIS2, ya tendrás la mayor parte de la base hecha.
El marco
La versión vigente es la de 2022: 93 controles en el Anexo A, organizados en cuatro bloques, que se seleccionan y justifican en la declaración de aplicabilidad. Los certificados de la edición anterior ya no son válidos.
Beneficios
El certificado que piden los clientes grandes, los cuestionarios de proveedores y cada vez más pliegos.
La dirección decide con un mapa de riesgos delante y mantiene la exposición en niveles que la organización puede asumir.
ENS, NIS2 y TISAX se apoyan en el SGSI. Cada marco posterior llega con la mayor parte hecha.
Política, riesgos y controles que la gente entiende y usa, sostienen un nivel de riesgo asumible y, de paso, pasan la auditoría.
Servicio
Análisis de brechas frente a la norma, con una foto de madurez que prioriza el trabajo.
Definición del SGSI: alcance, política, objetivos y roles, ajustados a tu organización y no al revés.
Análisis y tratamiento de riesgos, con criterios que dirección pueda entender y aprobar.
Declaración de aplicabilidad: qué controles del Anexo A aplican a tus riesgos, cuáles no y por qué.
Implantación de controles y documentación justa: la que exige la norma y te sirve para trabajar el día a día con seguridad.
Formación del equipo y de la dirección, que tiene papel propio en la norma.
Auditoría interna previa a la certificación, requisito de la propia norma.
Acompañamiento en la certificación: Etapa 1 (documental) y Etapa 2 (implantación y eficacia), hasta el cierre de hallazgos.
Mantenimiento del ciclo: el certificado vive en ciclos de tres años, con seguimientos anuales y recertificación al tercero, y te acompañamos en cada cita.
Método
Madurez frente a las cláusulas y al Anexo A, con mapa priorizado, de dos a tres semanas.
Alcance, política, riesgos y declaración de aplicabilidad aprobados, de tres a cuatro semanas.
Controles, documentación, formación y evidencias; de cuatro a nueve meses según alcance y punto de partida.
Auditoría interna completa, corrección de hallazgos y acompañamiento en las dos etapas con la entidad certificadora.
Por partes
No todo el mundo necesita el camino entero. Estos dos tramos se contratan por separado, y los dos terminan en un entregable que se sostiene solo.
La foto de tu situación real frente a la norma: qué cumples ya de las cláusulas y del Anexo A, qué te falta para certificarte y cuánto esfuerzo supone cerrarlo. Para decidir con datos antes de comprometer presupuesto.
Te llevas: el grado de cumplimiento, control a control, y una hoja de ruta priorizada, en pocas semanas.
El sistema vivo entre auditorías: riesgos y documentación al día, indicadores con lectura, auditoría interna del ciclo y preparación de cada seguimiento. Para quien ya está certificado, lo haya implantado con nosotros o con cualquier otro.
Te llevas: el SGSI al día y los seguimientos de la entidad sin sobresaltos.
Sinergias
Las consultoras de volumen entregan el mismo SGSI fotocopiado a todos sus clientes, y eso se nota en la auditoría y se sufre en el día a día. Nuestro enfoque es el contrario: partimos de tu realidad (tamaño, sector, tecnología, gente) y el sistema se construye sobre ella.
Además, el SGSI es la mejor inversión de cumplimiento que existe por sus sinergias: cubre gran parte del camino hacia el ENS, hacia NIS2 y hacia TISAX, y se integra de forma natural con la continuidad de negocio y con la gestión de la IA si tu organización las necesita. Y como el propio sistema pide probar la seguridad de forma técnica, ahí encaja nuestro pentest de infraestructura, que evidencia que los controles funcionan.
Dudas
Depende del alcance y del punto de partida. Como referencia, la implantación suele moverse entre cuatro y nueve meses antes de la auditoría de certificación; el análisis de brechas inicial te da una estimación realista en pocas semanas.
El Anexo A pasó a 93 controles organizados en cuatro bloques e incorporó controles nuevos, como la inteligencia de amenazas, la seguridad en la nube o la prevención de fuga de datos. Los certificados de la edición de 2013 ya no son válidos: hoy todo se implanta y se audita contra la versión 2022.
Legalmente no, comercialmente cada vez más: aparece en concursos, en contratos y en los cuestionarios de seguridad de los clientes grandes. Y es la base técnica de marcos que sí son obligatorios, como NIS2 para las entidades alcanzadas o el ENS para quien trabaja con la Administración.
Tiene dos etapas: en la primera, la entidad revisa tu documentación y tu preparación; en la segunda, comprueba sobre el terreno que el sistema funciona y es eficaz, con entrevistas y muestreo de evidencias. Después, el certificado se mantiene en ciclos de tres años: dos auditorías de seguimiento anuales más ligeras y una recertificación completa al tercer año.
Es lo normal y no impide certificarse: las no conformidades menores se resuelven con un plan de acciones correctivas, y nuestro trabajo previo (auditoría interna incluida) está pensado para que las mayores no lleguen a aparecer.
Sí. El análisis de brechas funciona como pieza independiente para saber dónde estás antes de decidir, y el mantenimiento del SGSI está pensado para sistemas ya certificados, los hayamos implantado nosotros o no. Cada tramo termina en un entregable que se sostiene solo.
Con una condición que nos tomamos en serio: la independencia. La auditoría interna la realiza siempre un auditor del equipo que no haya participado en la implantación, y si el alcance no lo permite, te lo decimos y te ayudamos a resolverlo con un tercero. Auditar el propio trabajo no es auditar.
¿Hablamos?
Cuéntanos tu alcance y tu punto de partida: el análisis de brechas te dirá cuánto te falta para el certificado y por dónde empezar.
Ponte en contacto