ISO/IEC 27001:2022 · SGSI (ISMS) · Auditoría interna · Certificación

Implantación ISO 27001: convierta seguridad en confianza auditada.

Implantamos su SGSI con enfoque técnico y operativo: Gap Analysis, riesgos, SoA, auditoría interna y acompañamiento hasta la certificación. Evidencias claras y “audit-ready”, alineadas con ENS, NIS2 y DORA.

Pedir estimación (alcance + coste) Ver proceso Ver certificaciones Ver algunos de nuestros clientes

ENS NIS2 DORA Pentesting Gestión de vulnerabilidades SOC gestionado Ver catálogo →

Enfoque

Control + evidencia + ejecución técnica

Entregables

SoA, riesgos, auditoría interna, backlog

Resultado

SGSI “audit-ready” para certificación

*Estimación realista tras cerrar alcance, owners y evidencias mínimas por control.

ISO 27001 no es “documentar”, es operar seguridad.

La certificación exige un sistema vivo: decisiones de riesgo, controles implementados y evidencias repetibles. Nuestro enfoque combina consultoría y ejecución técnica para que el SGSI no se quede en papel.

Certificación sin fricción

Metodología por fases y entregables auditables. Reducimos iteraciones y bloqueos típicos del SGSI (alcance, SoA y evidencias).

Enfoque técnico + gestión

No solo “papel”: aterrizamos controles a IAM/MFA, logging, hardening, M365, backups, proveedores y SDLC con evidencias repetibles.

Alineación con NIS2 / DORA / ENS

Mapeamos evidencias del SGSI a obligaciones regulatorias para minimizar duplicidades y acelerar auditorías.

Confianza

Certificaciones corporativas y Pyme Innovadora

Hard2bit cuenta con certificaciones ISO 27001, 9001, 14001, 22301 y 20001, y sello Pyme Innovadora.

Ver certificaciones

Confianza

Experiencia en sectores regulados

Trabajamos con organizaciones B2B y sectores regulados. Enfocamos el SGSI a evidencias que pasan auditoría (sin inflar documentación).

Ver algunos de nuestros clientes

Confianza

Continuidad operativa post-certificación

Te ayudamos a mantener el SGSI vivo con operación y evidencias (vulnerabilidades, SOC, pentesting).

Ver continuidad

Tríada CIA + evidencias

La norma se apoya en confidencialidad, integridad y disponibilidad, pero lo que “cierra” auditoría son evidencias: registros, configuraciones, revisiones, métricas, auditoría interna y mejora continua.

Confidencialidad Accesos · Clasificación · Cifrado

Integridad Cambios · Logging · Controles

Disponibilidad Backups · DR · Continuidad

Ejemplos de evidencias que revisa auditoría

Gestión de accesos (IAM/MFA)

Altas/bajas, revisiones periódicas, MFA, roles, evidencias de control

Logging y monitorización

Fuentes, retención, alertas, revisiones, evidencias de análisis

Gestión de cambios/configuración

Procedimiento, aprobaciones, registros, rollback, evidencias

Backups y continuidad

Política, pruebas de restauración, RTO/RPO, evidencias de pruebas

Terceros

Evaluación, contratos, SLAs, revisiones, evidencias de seguimiento

Definimos evidencias mínimas por control para que el SGSI sea mantenible y no se “infle”.

Experiencia en sectores regulados

Señales claras sin saturar: sectores, tipo de alcance y foco en evidencias.

Ver algunos de nuestros clientes →

Sector

Finanzas / Seguros

SGSI audit-ready: alcance bien cerrado, SoA trazable y soporte a auditoría externa.

Sector

Industria / Infraestructura

Entornos multi-sede y proveedores críticos: evidencias repetibles y cierre de acciones.

Sector

SaaS / Cloud

Controles aterrizados a IAM, logging, hardening y continuidad con evidencias verificables.

Nota: compartimos referencias específicas bajo NDA cuando aplica.

Alcance típico y cómo evitamos un SGSI infinito

El motivo #1 de proyectos que se eternizan es un alcance demasiado amplio. Cerramos perímetro, owners y evidencias mínimas desde el inicio.

Alcance del SGSI (típico)

Procesos y servicios incluidos (qué sí / qué no)
Sedes/ubicaciones y sistemas
Terceros críticos y dependencias
Criterios de auditoría y límites

Cloud/M365 (si aplica)

Tenants/suscripciones y responsabilidades (shared responsibility)
IAM/MFA/roles + logging
Backups/DR y cifrado
Gestión de configuración y cambios

Evidencias mínimas por control

Políticas/procedimientos (mínimo viable)
Registros y revisiones periódicas
KPIs/KRIs y reporting
Muestreo listo para auditoría

Cronograma realista

Fases por entregables y dependencias
Owners internos y aprobaciones
Ventanas para auditoría interna
Preparación Stage 1 / Stage 2

Checklist rápida (onboarding)

Contexto

Organigrama, procesos, servicios, terceros críticos

Inventario

Activos clave, cloud/M365, herramientas de seguridad existentes

Riesgo

Incidentes previos, dependencias, RTO/RPO y prioridades

Gobierno

Owners, comités/revisiones, aprobaciones y calendario

Si falta parte de esta información, la construimos contigo durante alcance y gap analysis.

Proceso de implantación ISO 27001

Fases claras para llegar a certificación con control, evidencias y cierre de acciones.

Alcance, contexto y objetivos

Definimos perímetro, procesos, sedes, proveedores críticos y criterios de auditoría.

Gap Analysis (ISO 27001:2022)

Brechas por cláusulas y Anexo A, con quick wins y backlog priorizado.

Riesgos + SoA

Modelo de riesgos, tratamiento, y SoA con evidencias y responsables.

Implementación técnica y operativa

Controles reales: IAM/MFA, hardening, logging, backups, DR, SDLC, proveedores.

Auditoría interna y cierre

Ejecución, no conformidades y plan de acciones con re-evidencias.

Certificación

Soporte en Stage 1/Stage 2 y estabilización del ciclo de mejora continua.

Auditoría externa

Stage 1: diseño del SGSI

Alcance, contexto, partes interesadas y objetivos
Metodología de riesgos + registro de riesgos
SoA (aplicabilidad) y planificación de controles
Políticas y procedimientos clave
Plan de auditoría interna y revisión por la dirección (planificados)

Auditoría externa

Stage 2: implantación y eficacia

Operación real de controles (muestras y entrevistas)
Evidencias: registros, revisiones, métricas y seguimiento
Auditoría interna ejecutada + no conformidades y acciones
Revisión por la dirección realizada + decisiones
Mejora continua: correcciones y re-evidencias

Anexo A (ISO 27001:2022): 4 dominios

Estructuramos el trabajo por dominios para que el SGSI sea implantable y auditable.

37 controles

Organizativos

Políticas, terceros, gestión de activos, seguridad en la nube y gobierno.

8 controles

Personas

Ciclo de vida, concienciación, roles, confidencialidad y accesos.

14 controles

Físicos

Perímetros, instalaciones, protección de equipos y soportes.

34 controles

Tecnológicos

Identidad, cifrado, hardening, vulnerabilidades, logging y desarrollo seguro.

Entregables que “cierran” auditoría

ISO 27001 se gana con evidencia: riesgos, SoA, control operativo y auditoría interna. Te dejamos un SGSI mantenible, con backlog y owners para sostener la mejora continua.

Gap Analysis + plan de proyecto

Diagnóstico inicial, brechas por cláusulas/controles y roadmap por fases con quick wins.

SGSI completo (políticas + procedimientos)

Documentación mínima viable y operativa, adaptada a tu negocio y a auditoría.

Análisis y tratamiento de riesgos

Metodología, registro de riesgos, planes de tratamiento, aceptación y revisión periódica.

SoA (Statement of Applicability)

Aplicabilidad, justificaciones, evidencias y trazabilidad por control.

Auditoría interna + plan de acciones

No conformidades, observaciones, plan de cierre por owners y re-evidencias.

Acompañamiento a certificación

Preparación, revisión de evidencias y soporte durante auditoría externa Stage 1/Stage 2.

Modalidades de servicio

Elige el camino más eficiente según tu madurez y objetivo (certificar, transicionar o validar “audit-ready”).

Implantación completa (de 0 a certificación)

Para organizaciones sin SGSI o con madurez baja. Construimos el sistema, implementamos controles clave y preparamos Stage 1/2.

Alcance + roadmap
Riesgos + SoA
Políticas/procedimientos
Auditoría interna + cierre

Pedir estimación

Cerramos alcance y plan de evidencias antes de estimar coste y calendario.

Transición ISO 27001:2013 → 2022

Si ya estás certificado o tienes SGSI y necesitas adaptar el Anexo A 2022 y evidencias con mínimo impacto operativo.

Gap de transición
SoA actualizado
Evidencias y revisiones
Auditoría interna enfocada

Plan de transición

Cerramos alcance y plan de evidencias antes de estimar coste y calendario.

Auditoría interna + plan de acciones

Si tu SGSI está montado pero quieres validar “audit-ready” antes de certificación o recertificación.

Plan + checklist
Muestreo de evidencias
No conformidades
Plan de cierre + re-evidencias

Hablar con auditor senior

Cerramos alcance y plan de evidencias antes de estimar coste y calendario.

Preguntas frecuentes

¿Cuánto se tarda en certificar ISO 27001?

Depende de la madurez, tamaño y alcance. Un proyecto típico se mueve entre 3 y 6 meses (implantación) + auditoría interna + certificación. Ajustamos el plan por perímetro, número de sedes, criticidad y disponibilidad del equipo.

¿Cuál es el coste de implantar ISO 27001?

Depende principalmente del alcance (procesos/sedes/servicios), la madurez inicial, el nivel de evidencias existentes y si necesitas ejecución técnica (IAM, logging, hardening, backups, SDLC) además de consultoría. En cuanto cerramos alcance y plan de trabajo, te damos una estimación ajustada.

¿Qué diferencia hay entre ISO 27001:2013 y 27001:2022?

La versión 2022 reorganiza y actualiza el Anexo A, incorpora controles más alineados con entornos actuales (cloud, configuración, gestión de identidades, etc.) y ajusta el enfoque para mejorar consistencia y aplicabilidad operativa.

¿Qué es el SoA (Statement of Applicability)?

Es el documento donde declaras qué controles del Anexo A aplican, cómo se implementan, qué evidencias lo soportan y por qué se excluyen los que no aplican. Es una pieza clave en auditoría.

¿Incluye auditoría interna ISO 27001?

Sí. Ejecutamos auditoría interna completa (plan, checklist, muestreo, evidencias, no conformidades y plan de acciones) y dejamos el SGSI en estado audit-ready.

¿Se puede certificar ISO 27001 en cloud (AWS/Azure/GCP)?

Sí. Definimos el alcance del SGSI y aterrizamos controles a entornos cloud (IAM, logging, hardening, configuración, cifrado, continuidad, terceros) con evidencias verificables.

¿Ayuda para licitaciones y proveedores?

Sí. Preparamos evidencias y respuestas tipo para cuestionarios de seguridad, due diligence y requisitos de terceros, además de soporte durante auditoría de certificación.

¿Qué se revisa en Stage 1 y Stage 2?

Stage 1 valida el diseño del SGSI (alcance, contexto, riesgos, SoA, políticas y planificación). Stage 2 evalúa la implantación y eficacia: operación de controles, evidencias, registros, auditoría interna, revisión por la dirección y acciones correctivas.

Siguiente paso (para cerrar auditoría)

Enlazamos lo que suele pedirse después: evidencias complementarias y continuidad operativa.

ISO 27001 vs ENS

Reutiliza evidencias y evita duplicidades.

Vulnerabilidades + remediación

Evidencias técnicas repetibles y métricas.

SOC/MDR

Detección y respuesta con reporting.

¿Listo para certificar ISO 27001?

Te damos un plan por fases, evidencias auditables y acompañamiento hasta certificación (Stage 1/Stage 2).

Pedir estimación Llamar ahora

ENS NIS2 DORA Pentesting Gestión de vulnerabilidades SOC gestionado Certificaciones → Clientes → Catálogo →

*El coste depende del alcance y la madurez inicial. Cerramos perímetro y plan de evidencias para darte una estimación realista.