Consultoría ISO 27001
La certificación ISO 27001 abre la contratación empresarial, satisface las obligaciones de cadena de suministro de NIS2 y proporciona la evidencia más defendible del cumplimiento del Artículo 32 del GDPR. La preparación requiere de 4 a 9 meses de diseño del ISMS, redacción de políticas, trabajo en el registro de riesgos y recopilación de evidencias. Nos encargamos de todo — precio fijo, con plena preparación para la auditoría en cada etapa.
ISO 27001 hecho una vez, hecho bien
Dimensionamos los compromisos de ISO 27001 para cubrir el ciclo completo de preparación: definición del alcance del ISMS, evaluación de riesgos, selección de controles del Anexo A, redacción de políticas, implementación de controles técnicos, recopilación de evidencias, auditoría interna y coordinación con auditores en la Fase 1 y la Fase 2. La certificación es el entregable, y cada paso entre el inicio y el certificado está incluido en el alcance del compromiso.
La consultoría ISO 27001 se integra de forma natural con nuestro retainer de CISO Fraccional: el vCISO posee el ISMS de forma continua una vez emitido el certificado, gestiona las auditorías de vigilancia y mantiene el registro de riesgos. La mayoría de los clientes combinan la consultoría ISO 27001, nuestro servicio de penetration testing (requerido por el control 8.8 del Anexo A) y el retainer de vCISO en un programa de seguridad integrado.
Del análisis de brechas al ISMS certificado
Diseño del ISMS
Definición del alcance del Sistema de Gestión de Seguridad de la Información, contexto de la organización (cláusula 4), requisitos de liderazgo (cláusula 5) y estructura de planificación (cláusula 6) — diseñados para adaptarse al tamaño de su empresa, sector e requisitos del organismo de certificación. El límite del ISMS se define para cubrir lo que los auditores probarán y nada innecesario.
Registro & Tratamiento de Riesgos
Evaluación de riesgos según la cláusula 6.1 de ISO 27001: identificación de activos de información, análisis de amenazas y vulnerabilidades, puntuación de probabilidad e impacto y selección del plan de tratamiento (mitigar, aceptar, transferir, evitar). Declaración de Aplicabilidad (SoA) redactada según el Anexo A de ISO 27001:2022. El registro de riesgos se mantiene como documento vivo durante todo el compromiso.
Documentación de Políticas
Conjunto completo de políticas redactado para su negocio: política de seguridad de la información, uso aceptable, gestión de accesos, respuesta a incidentes, gestión de proveedores, gestión de cambios, continuidad del negocio, recuperación ante desastres y gestión de activos. Redactadas en lenguaje claro, revisadas por su equipo, aprobadas al nivel adecuado y mantenidas con una cadencia documentada.
Apoyo en la Auditoría de Certificación
Coordinamos la auditoría con el organismo de certificación de su elección: revisión documental de la Fase 1 y auditoría presencial o remota de la Fase 2. Preparamos a su equipo para las entrevistas con el auditor, gestionamos la sala de evidencias, respondemos a los hallazgos durante la ventana de auditoría y hacemos seguimiento de la remediación de cualquier no conformidad hasta su cierre.
Consultoría ISO 27001 — Preguntas Frecuentes
¿Cuánto tiempo lleva la certificación ISO 27001?
Desde el inicio hasta la decisión de certificación, ISO 27001 suele llevar de 4 a 9 meses. Las empresas sin controles ni documentación de seguridad previa llevan más tiempo; las organizaciones con prácticas de seguridad existentes pueden avanzar más rápido. Las principales fases son: análisis de brechas y definición de alcance del ISMS (2–4 semanas), construcción de políticas y registro de riesgos (6–12 semanas), implementación de controles técnicos (en paralelo, 4–12 semanas), recopilación de evidencias y auditoría interna (4–6 semanas), auditoría de Fase 1 (2–4 semanas) y auditoría de Fase 2 (2–4 semanas). Nuestro análisis de brechas en la primera semana le proporciona un cronograma preciso antes de que comience el compromiso principal.
ISO 27001 versus SOC 2 — ¿cuál necesito?
ISO 27001 es más común en la contratación empresarial europea y es cada vez más exigida bajo las obligaciones de cadena de suministro de NIS2. SOC 2 es el estándar para compradores empresariales de EE. UU. y empresas SaaS que venden en el mercado estadounidense. Si vende a ambos mercados, o si sus compradores son grandes multinacionales, puede necesitar ambas. Dimensionamos compromisos combinados ISO 27001 + SOC 2 con una base de evidencias compartida — aproximadamente el 70% de los controles del Anexo A se corresponden con los Criterios de Servicios de Confianza de SOC 2, haciendo la doble certificación un 20–35% más barata que dos programas separados.
¿Cuánto cuesta la consultoría ISO 27001?
Nuestro compromiso de consultoría ISO 27001 a precio fijo empieza desde €12,000 para un alcance de ISMS bien definido en una empresa de 20–100 personas. Las organizaciones más grandes, los alcances de ISMS más amplios o los programas combinados ISO 27001 + SOC 2 se presupuestan individualmente. El compromiso cubre el análisis de brechas, el diseño del ISMS, el registro de riesgos, la redacción de políticas, la implementación de controles técnicos, la recopilación de evidencias, la auditoría interna y la coordinación con auditores en la Fase 1 & Fase 2. La tarifa de auditoría del organismo de certificación es aparte (normalmente €5,000–€15,000 según el auditor y el tamaño de la organización).
¿Necesito ISO 27001 para el cumplimiento de GDPR?
ISO 27001 no es obligatorio por el GDPR, pero apoya sustancialmente el cumplimiento del Artículo 32 del GDPR — que exige “medidas técnicas y organizativas apropiadas” para proteger los datos personales. Un ISMS de ISO 27001 es la evidencia más defendible de que esas medidas son sistemáticas, documentadas y revisadas. Muchas autoridades de supervisión y DPAs consideran la certificación ISO 27001 como evidencia sólida del cumplimiento del GDPR en materia de seguridad. Si procesa volúmenes significativos de datos personales de la UE, o si opera en un sector regulado, ISO 27001 merece la pena por la gestión del riesgo regulatorio por sí sola — independientemente de cualquier requisito de comprador empresarial.
Certificación ISO 27001, sin el recargo de la consultoría tradicional
Cuéntenos el alcance de su ISMS, su cronograma de certificación y qué evidencias ya tiene — le responderemos con una propuesta a precio fijo.
Contáctanos → ISO 27001 & SOC 2 →