ISO 27001 con presupuesto de PYME: los controles que ganan auditorías

Las big four llevan dos décadas vendiendo ISO 27001 como un proyecto de 12 meses y €150k. Para una PYME de 50 personas es absurdo. La norma no exige una big four; exige un Sistema de Gestión de Seguridad de la Información (SGSI) documentado, evidencia de haber considerado los 93 controles del Anexo A, y una auditoría externa Etapa 1 + 2 superada. Llevamos rutinariamente PYMEs a certificación en 4–6 meses por menos de €25k todo incluido.

Las cláusulas certificables son la 4 a la 10. Los 93 controles del Anexo A (frente a 114 en 2013) son entradas para su Declaración de Aplicabilidad, no listas obligatorias.

• Cláusula 4: contexto de la organización y partes interesadas
• Cláusula 5: liderazgo y política
• Cláusula 6: planificación — evaluación y tratamiento de riesgos
• Cláusula 7: soporte — recursos, competencia, concienciación, comunicación, información documentada
• Cláusula 8: operación — ejecución del plan de tratamiento
• Cláusula 9: evaluación de desempeño — monitorización, auditoría interna, revisión por la dirección
• Cláusula 10: mejora — no conformidades y acción correctiva

En las auditorías que hemos observado, los certificadores (AENOR, BSI, Bureau Veritas, TÜV) muestrean consistentemente estos 14 de los 93. Si los tiene bien, la auditoría es prácticamente formalidad.

• A.5.7 Inteligencia de amenazas
• A.5.15 Control de acceso
• A.5.23 Seguridad de la información para uso de servicios en la nube
• A.5.30 Preparación TIC para la continuidad de negocio
• A.6.3 Concienciación, educación y formación
• A.6.6 Acuerdos de confidencialidad
• A.7.4 Vigilancia de seguridad física
• A.8.1 Dispositivos endpoint de usuario
• A.8.5 Autenticación segura (MFA)
• A.8.7 Protección contra malware (aquí entra Bitdefender en su SoA)
• A.8.9 Gestión de configuración
• A.8.16 Actividades de monitorización (aquí entra el EDR)
• A.8.23 Filtrado web
• A.8.28 Codificación segura (solo si desarrolla software)

No necesita un manual de 200 páginas. Necesita 12 documentos que un inspector pueda leer en dos horas y verificar con capturas y tickets.

• Política de Seguridad de la Información (firmada por el CEO, fechada, con versión)
• Evaluación y Plan de Tratamiento de Riesgos (vinculados a la SoA)
• Declaración de Aplicabilidad (justifica los 93 controles)
• Inventario de activos (personas, hardware, software, datos, proveedores)
• Política de Control de Acceso + log de revisión trimestral
• Plan de Respuesta a Incidentes + runbook + al menos un ejercicio de mesa
• Plan de Continuidad de Negocio + log de pruebas de backup
• Política de Seguridad de Proveedores + registro de DPA
• Plan e informe de Auditoría Interna (revisor independiente)
• Actas de Revisión por la Dirección (anual mínimo)
• Registro de no conformidades + acciones correctivas
• Registros de formación de concienciación

Ejecutado con un responsable interno (líder TI o COO) y consultor externo a tiempo parcial.

• Mes 1: análisis de brechas, definición de alcance, kickoff SGSI, inventario, registro de proveedores
• Mes 2: evaluación y tratamiento de riesgos, borrador SoA, redacción/adopción de los 12 documentos, implementar controles técnicos faltantes (EDR, MFA, backup inmutable)
• Mes 3: despliegue de formación, auditoría interna, revisión por la dirección, recogida de evidencias, remediación
• Mes 4: Etapa 1 (revisión documental), corregir no conformidades menores, Etapa 2 (verificación operativa), certificación

Para una PYME española de 50 personas con stack típico M365 + cloud:

• Consultor externo (50–80 horas): €5k–€8k
• Auditoría Etapa 1 + 2 (AENOR equivalente): €6k–€9k primer ciclo
• Licencia anual Bitdefender GravityZone Enterprise: €3k para 50 endpoints
• Seguridad de correo (Hornetsecurity 365 Total Protection Business): €2k
• Backup inmutable (Veeam + Wasabi u Object Lock): €2k
• Suscripciones (escáner de vulnerabilidades, plataforma SGSI si la usa): €2k
• Total típico primer año: €20k–€25k. Ciclo de recertificación (año 4) típicamente €8k–€12k.

Entregamos consultor + stack técnico + plantillas como un único paquete a precio cerrado. La mayoría de nuestros clientes PYME pasan la Etapa 2 sin no conformidades mayores al primer intento. Reserve una llamada y le presupuestamos en un día laborable.