Cumplimiento normativo
Implantamos tu sistema de gestión de seguridad de la información y lo llevamos hasta el certificado: análisis de brechas, diseño del SGSI, riesgos, declaración de aplicabilidad, controles, auditoría interna y acompañamiento en las dos etapas con la entidad. Con una promesa de método: el sistema se diseña para tu realidad y para el nivel de riesgo que puedes asumir, no sale de una plantilla.
Auditores jefe de ISO 27001 en el equipo y SGSI propio certificado.
¿Quieres ver el recorrido antes? Descarga gratis la guía de certificación ISO 27001.
Para quién
ISO 27001 es la norma internacional de referencia para la seguridad de la información. Es voluntaria, pero el mercado la pide: clientes grandes, concursos y cuestionarios de proveedores la dan por supuesta, y es la base sobre la que se apoyan NIS2, el ENS, TISAX y casi cualquier marco que te llegue después. Certificarse ordena tu seguridad y, además, te abre puertas.
Si vendes a grandes cuentas, optas a concursos o tu sector exige demostrar seguridad, un SGSI bajo ISO 27001 es la credencial que abre la conversación. Y si después llegan el ENS o NIS2, ya tendrás la mayor parte de la base hecha.
El marco
La versión vigente es la de 2022: 93 controles en el Anexo A, organizados en cuatro bloques, que se seleccionan y justifican en la declaración de aplicabilidad. Los certificados de la edición anterior ya no son válidos.
Beneficios
El certificado que piden los clientes grandes, los cuestionarios de proveedores y cada vez más pliegos.
La dirección decide con un mapa de riesgos delante y mantiene la exposición en niveles que la organización puede asumir.
ENS, NIS2 y TISAX se apoyan en el SGSI. Cada marco posterior llega con la mayor parte hecha.
Política, riesgos y controles que la gente entiende y usa, sostienen un nivel de riesgo asumible y, de paso, pasan la auditoría.
Servicio
Análisis de brechas frente a la norma, con una foto de madurez que prioriza el trabajo.
Definición del SGSI: alcance, política, objetivos y roles, ajustados a tu organización y no al revés.
Análisis y tratamiento de riesgos, con criterios que dirección pueda entender y aprobar.
Declaración de aplicabilidad: qué controles del Anexo A aplican a tus riesgos, cuáles no y por qué.
Implantación de controles y documentación justa: la que exige la norma y te sirve para trabajar el día a día con seguridad.
Formación del equipo y de la dirección, que tiene papel propio en la norma.
Auditoría interna previa a la certificación, requisito de la propia norma.
Acompañamiento en la certificación: Etapa 1 (documental) y Etapa 2 (implantación y eficacia), hasta el cierre de hallazgos.
Mantenimiento del ciclo: el certificado vive en ciclos de tres años, con seguimientos anuales y recertificación al tercero, y te acompañamos en cada cita.
Método
Madurez frente a las cláusulas y al Anexo A, con mapa priorizado, de dos a tres semanas.
Alcance, política, riesgos y declaración de aplicabilidad aprobados, de tres a cuatro semanas.
Controles, documentación, formación y evidencias; de cuatro a nueve meses según alcance y punto de partida.
Auditoría interna completa, corrección de hallazgos y acompañamiento en las dos etapas con la entidad certificadora.
Por partes
No todo el mundo necesita el camino entero. Estos dos tramos se contratan por separado, y los dos terminan en un entregable que se sostiene solo.
La foto de tu situación real frente a la norma: qué cumples ya de las cláusulas y del Anexo A, qué te falta para certificarte y cuánto esfuerzo supone cerrarlo. Para decidir con datos antes de comprometer presupuesto.
Te llevas: el grado de cumplimiento, control a control, y una hoja de ruta priorizada, en pocas semanas.
El sistema vivo entre auditorías: riesgos y documentación al día, indicadores con lectura, auditoría interna del ciclo y preparación de cada seguimiento. Para quien ya está certificado, lo haya implantado con nosotros o con cualquier otro.
Te llevas: el SGSI al día y los seguimientos de la entidad sin sobresaltos.
Sinergias
Las consultoras de volumen entregan el mismo SGSI fotocopiado a todos sus clientes, y eso se nota en la auditoría y se sufre en el día a día. Nuestro enfoque es el contrario: partimos de tu realidad (tamaño, sector, tecnología, gente) y el sistema se construye sobre ella.
Además, el SGSI es la mejor inversión de cumplimiento que existe por sus sinergias: cubre gran parte del camino hacia el ENS, hacia NIS2 y hacia TISAX, y se integra de forma natural con la continuidad de negocio y con la gestión de la IA si tu organización las necesita. Y como el propio sistema pide probar la seguridad de forma técnica, ahí encaja nuestro pentest de infraestructura, que evidencia que los controles funcionan.
Dudas
Depende del alcance y del punto de partida. Como referencia, la implantación suele moverse entre cuatro y nueve meses antes de la auditoría de certificación; el análisis de brechas inicial te da una estimación realista en pocas semanas.
El Anexo A pasó a 93 controles organizados en cuatro bloques e incorporó controles nuevos, como la inteligencia de amenazas, la seguridad en la nube o la prevención de fuga de datos. Los certificados de la edición de 2013 ya no son válidos: hoy todo se implanta y se audita contra la versión 2022.
Legalmente no, comercialmente cada vez más: aparece en concursos, en contratos y en los cuestionarios de seguridad de los clientes grandes. Y es la base técnica de marcos que sí son obligatorios, como NIS2 para las entidades alcanzadas o el ENS para quien trabaja con la Administración.
Tiene dos etapas: en la primera, la entidad revisa tu documentación y tu preparación; en la segunda, comprueba sobre el terreno que el sistema funciona y es eficaz, con entrevistas y muestreo de evidencias. Después, el certificado se mantiene en ciclos de tres años: dos auditorías de seguimiento anuales más ligeras y una recertificación completa al tercer año.
Es lo normal y no impide certificarse: las no conformidades menores se resuelven con un plan de acciones correctivas, y nuestro trabajo previo (auditoría interna incluida) está pensado para que las mayores no lleguen a aparecer.
Sí. El análisis de brechas funciona como pieza independiente para saber dónde estás antes de decidir, y el mantenimiento del SGSI está pensado para sistemas ya certificados, los hayamos implantado nosotros o no. Cada tramo termina en un entregable que se sostiene solo.
Con una condición que nos tomamos en serio: la independencia. La auditoría interna la realiza siempre un auditor del equipo que no haya participado en la implantación, y si el alcance no lo permite, te lo decimos y te ayudamos a resolverlo con un tercero. Auditar el propio trabajo no es auditar.
¿Hablamos?
Cuéntanos tu alcance y tu punto de partida: el análisis de brechas te dirá cuánto te falta para el certificado y por dónde empezar.
Ponte en contacto