UN SISTEMA DE SEGURIDAD BASADO EN ESTÁNDARES

Sistemas de Gestión de Seguridad de la Información

Establecemos sistemas de gestión ISO 27001 e ISO 20000 y los preparamos para la auditoría; un marco sistemático cierra las brechas de control y los hallazgos de auditoría recurrentes.

ISO 27001ISO 27701KVKKDORA
01 Estado actual Topología, tráfico y visibilidad de dependencias.
02 Arquitectura objetivo Diseño de segmentación, capacidad y disponibilidad.
03 Corte controlado Ventana de cambio, validación y plan de reversión.
04 Hypercare Monitoreo, ajuste y traspaso operativo.
POSICIÓN

Dónde se ubica este servicio en el portafolio

Infografía de tarjeta de capacidad para Sistemas de Gestión de Seguridad de la Información
ALCANCE DEL SERVICIO

Qué aborda este servicio

Los temas críticos que aborda este servicio y el resultado que entregamos en cada uno.

Sistema de gestión alineado al estándar

alcance contractual

Le ayudamos a construir un sistema de gestión alineado con los requisitos de ISO 27001 (SGSI) e ISO 20000 (ITSM); la decisión de certificación corresponde al organismo acreditado.

Conjunto de evidencia listo para certificación

preparación de evidencias

Organizamos el conjunto documental, incluidos los controles del Anexo A y la SoA, como un expediente de evidencia listo para la revisión del auditor de certificación.

Objetivos de SLA y resiliencia medibles

objetivo medido

Vinculamos la calidad del servicio de TI y los indicadores de respuesta a objetivos de SLA medibles y criterios de aceptación.

Titularidad de auditoría y acción correctiva

se publica tras la aprobación

Asumimos y evidenciamos la auditoría interna y las acciones correctivas; la elección del organismo de certificación y la decisión final siguen siendo suyas.

Modelo de entrega

Enfoque de entrega

Cómo implementamos el servicio a través de los pilares de entrega, gobernanza y servicios conectados.

  1. Comenzamos definiendo el estado actual y el alcance, construyendo un inventario de activos y aclarando las necesidades de control mediante talleres de evaluación de riesgos.

  2. Usando la Estructura de Alto Nivel compartida de ISO 27001 e ISO 20000, unificamos procesos y apoyamos la implementación de controles con configuración técnica.

  3. Mantenemos el sistema vivo mediante un programa de auditoría interna y la revisión por la dirección, sosteniendo la preparación antes de las auditorías de seguimiento.

Contextos operativos

Ejemplos de contextos operativos

Superficies ilustrativas donde este servicio se activa comúnmente.

Proveedor de servicios de TI

Un proveedor que busca construir ISO 27001 e ISO 20000 juntos como un sistema de gestión integrado.

Hallazgos de auditoría recurrentes

Cerrar brechas de control y hallazgos recurrentes causados por la falta de un marco sistemático.

Solicitud de garantía del cliente

Satisfacer las expectativas de garantía de seguridad de la información de clientes corporativos con evidencia alineada al estándar.

PROFUNDIDAD

Profundidad técnica y de cumplimiento

La profundidad de este servicio en temas técnicos y de cumplimiento específicos del sector.

Evaluación de riesgos y SoA

Evaluamos el riesgo con la metodología ISO 27005, OCTAVE o FAIR y vinculamos los 93 controles a una declaración de aplicabilidad personalizada.

Conjunto de documentos y talleres

Desarrollamos más de 40 políticas y más de 60 procedimientos mediante talleres, apoyando la transferencia de conocimiento y la apropiación.

Soporte del ciclo de auditoría

Sostenemos la preparación con una cadencia de dos auditorías internas y una de seguimiento al año y damos seguimiento a las acciones correctivas.

Qué resuelve

La gestión de la seguridad de la información sin un marco estructurado resulta en controles reactivos e inconsistentes que no satisfacen ni los requisitos de seguridad ni las expectativas de auditoría. ISO 27001 e ISO 20000 proporcionan marcos reconocidos internacionalmente que sistematizan la gobernanza de la seguridad, la prestación de servicios y la mejora continua, transformando las prácticas de seguridad ad hoc en un sistema de gestión documentado y auditable. Nuestro servicio de implementación guía a las organizaciones desde la evaluación inicial de brechas hasta la certificación en un programa estructurado y eficiente en recursos que minimiza la carga interna mientras maximiza la preparación para la certificación.

Implementación del Sistema de Gestión de Seguridad de la Información (ISMS) ISO 27001:2022
Implementación del Sistema de Gestión de Servicios de TI (ITSMS) ISO 20000-1:2018
Declaración de Aplicabilidad (SoA) con 93 evaluaciones de controles del Anexo A
Establecimiento de programa de auditoría interna y formación de auditor líder

Beneficios clave

Beneficio

Apoyar la preparación para auditorías y el cumplimiento con registros de evidencia en lugar de promesas públicas de resultados sin respaldo

Beneficio

Ganar contratos en sectores regulados que requieren un SGSI certificado como requisito previo, expandiendo el mercado direccionable

Beneficio

Haga visibles los indicadores de riesgo y respuesta a través de controles medidos, manuales de procedimientos ensayados y revisión de evidencia

Estándares
ISO 27001:2022, ISO 27002:2022, ISO 20000-1:2018
Alcance
Organización completa o límite de alcance definido (servicios/sitios específicos)
Criterio
Selección de CB acreditado y soporte de coordinación de auditorías
Supervisión
Soporte para auditoría de vigilancia anual incluido para un ciclo de certificación de 3 años.

Alcance

Nuestro compromiso de implementación del SGSI sigue la metodología PDCA (Planificar-Hacer-Verificar-Actuar) de ISO 27001 a lo largo de cuatro fases: establecer, implementar, monitorear y mejorar. La fase de establecimiento define el alcance del SGSI, el contexto organizacional y el marco de gestión de riesgos. La implementación cubre el desarrollo de políticas, la implementación de controles y la capacitación de concientización. El monitoreo establece el programa de auditoría interna y el proceso de revisión por la dirección. La mejora cierra las no conformidades y prepara para la auditoría de certificación. La implementación de ISO 20000 sigue una estructura paralela centrada en los procesos de entrega de servicios de TI.

Definición del alcance del SGSI y análisis del contexto organizacional (Cláusulas 4-5 de ISO 27001)
Evaluación de riesgos de seguridad de la información y plan de tratamiento de riesgos (Cláusulas 6-8 de ISO 27001)
Implementación de controles del Anexo A en los 4 dominios y 93 controles
Documentación del sistema de gestión: políticas, procedimientos, instrucciones de trabajo y registros

Beneficios clave

Beneficio

Entregar un SGSI completamente documentado con toda la documentación obligatoria para la preparación de la auditoría de certificación

Beneficio

Establecer un programa de seguridad basado en riesgos alineado con su panorama específico de activos, amenazas y vulnerabilidades

Beneficio

Integrar el SGSI en las estructuras de gobernanza de TI existentes, evitando el antipatrón de burocracia paralela

Documentación
Política de seguridad de la información, SoA, registro de riesgos, inventario de activos, más de 40 políticas de apoyo
Criterio
Evaluación de riesgos cualitativa alineada con ISO 27005 con matriz de probabilidad/impacto
Controles
Controles técnicos (red, punto final, acceso, cripto) + administrativos + físicos
Criterio
Formación de concienciación sobre seguridad basada en roles con ciclo de actualización anual

Entregables

La implementación del SGSI (Sistema de Gestión de Seguridad de la Información) entrega un sistema de gestión completo y listo para auditoría, incluyendo toda la documentación obligatoria y recomendada, un equipo de auditoría interna capacitado y la gestión del compromiso con el organismo de certificación en nombre del cliente. Después de la certificación, proporcionamos soporte de auditoría de vigilancia durante todo el ciclo de certificación de tres años para asegurar que el SGSI siga siendo conforme y efectivo. Los clientes también reciben un marco de métricas de seguridad que permite la medición continua y la presentación de informes de revisión por la dirección.

Biblioteca completa de documentación ISMS (más de 40 documentos) en formato listo para el cliente.
Coordinación de auditoría de certificación ISO 27001 Etapa 1 y Etapa 2 y soporte de respuesta
Formación de auditor interno — facilitador certificado como auditor líder ISO 27001
Gestión de acciones correctivas para no conformidades de Etapa 1 y Etapa 2

Beneficios clave

Beneficio

Apoyar la preparación para auditorías y el cumplimiento con registros de evidencia en lugar de promesas públicas de resultados sin respaldo

Beneficio

Transferir un equipo de auditoría interna totalmente capacitado, reduciendo la dependencia continua del soporte externo después de la certificación

Beneficio

Mantener la certificación durante el ciclo de tres años con soporte de auditoría de vigilancia anual incluido

Número de documentos
Más de 40 documentos obligatorios y de apoyo para el SGSI
Criterio
Preparación de la Etapa 1, acompañamiento de auditoría de la Etapa 2, respuesta a no conformidades
Formación
Formación de auditor interno ISO 27001 (16 horas, incluye ejercicios prácticos)
Supervisión
Pre-evaluación de auditoría de vigilancia anual y soporte de respuesta durante 3 años.

Preguntas Frecuentes

¿Cuál es la diferencia entre la certificación ISO 27001 y el cumplimiento?

El cumplimiento de ISO 27001 significa implementar controles que se alineen con la norma. La certificación ISO 27001 significa que un organismo de certificación externo acreditado ha verificado de forma independiente que su SGSI cumple con los requisitos de la norma a través de un proceso de auditoría documentado. La certificación proporciona una prueba de cumplimiento verificable externamente que satisface la debida diligencia del cliente, los requisitos de adquisición y las expectativas regulatorias que las atestaciones internas no pueden.

¿Difiere significativamente ISO 27001:2022 de la versión de 2013?

Sí. La actualización de 2022 reestructuró el Anexo A de 114 controles en 14 dominios a 93 controles en 4 temas, añadió 11 nuevos controles (incluyendo inteligencia de amenazas, seguridad en la nube y seguridad de la cadena de suministro de TIC) y actualizó los requisitos de contexto organizacional. Las organizaciones certificadas según ISO 27001:2013 deben hacer la transición a la versión 2022 antes de octubre de 2025. Apoyamos tanto nuevas implementaciones como proyectos de transición.

¿Se puede implementar la ISO 27001 para un servicio o departamento específico en lugar de para toda la organización?

Sí. ISO 27001 permite una definición de alcance flexible: la certificación puede cubrir una única unidad de negocio, línea de servicio, centro de datos o ubicación geográfica. Las implementaciones con alcance definido suelen completarse más rápido y a menor coste, al tiempo que proporcionan un valor de certificación significativo. Ayudamos a definir un alcance que sea comercialmente significativo (satisfaciendo los requisitos del cliente) y que sea prácticamente alcanzable dentro de sus limitaciones de recursos y tiempo.

¿Cómo se relaciona ISO 20000 con ITIL?

ISO 20000 es el estándar auditable que define los requisitos para un Sistema de Gestión de Servicios de TI (ITSMS). ITIL es el marco de procesos que proporciona orientación práctica sobre cómo implementar esos requisitos. Son complementarios: ITIL proporciona la metodología operativa e ISO 20000 proporciona el marco de certificación. Una organización que implementa las prácticas de ITIL está bien posicionada para buscar la certificación ISO 20000 con un esfuerzo de documentación adicional relativamente modesto.

¿Qué implica realmente la auditoría de certificación?

La certificación ISO 27001 implica dos etapas realizadas por un organismo de certificación acreditado. La Etapa 1 es una revisión de la documentación: el auditor verifica que la documentación de su SGSI cumple con los requisitos de la norma. La Etapa 2 es una auditoría in situ donde el auditor entrevista al personal, revisa la evidencia y prueba si los controles documentados están realmente implementados y son efectivos. Acompañamos a los clientes a través de ambas etapas y gestionamos las respuestas a los hallazgos del auditor.

¿Cuánto compromiso de recursos internos se requiere para la implementación de ISMS?

El compromiso típico de recursos internos es un propietario interno con alcance definido más tiempo de expertos en la materia durante la implementación, además del tiempo de expertos en la materia para talleres de evaluación de riesgos y revisiones de políticas. Minimizamos esto a través de agendas de talleres estructuradas, plantillas de documentos pre-rellenadas y herramientas de colaboración en línea que reducen el tiempo de reunión y los ciclos de revisión de documentos en comparación con los enfoques de consultoría tradicionales.

PUNTO DE PARTIDA

¿Dónde debería comenzar la conversación?

Este formulario breve dirige su solicitud al equipo de soporte correcto. Primero aclaramos el contexto, luego definimos el método de intercambio seguro.

  1. Capturamos el contexto
  2. Elegimos un canal seguro
  3. Aclaramos la primera dirección

Primer contacto consciente de la privacidad; flujo de intercambio seguro cuando sea necesario; sin presión de ventas.

Tema principal de la solicitud