Consultoría B2B · SGSI ISO 27001 · ENS · RGPD · DORA

Protege lo que más
te importa

Ayudamos a empresas a protegerse y certificarse con un sistema de gestión de seguridad personalizado , con alcance cerrado y bajo riesgo.

Proceso estructurado · Fases cerradas · Entregables documentados
4
fases estructuradas
100%
entregables documentados
≤48h
tiempo de respuesta
Servicios

Tu proyecto avanza
con total visibilidad.

Conocerás cada etapa, cada entrega y cada fecha clave antes de empezar.

Más información sobre cada servicio
Servicio principal

Sistema de Gestión de
Seguridad de la Información

Implantación completa de un SGSI conforme a ISO 27001, estructurada en cuatro fases con entregables claros, revisión continua y preparación para certificación externa.

ISO
27001
Certificación
Qué se analiza
  • Activos de información críticos
  • Controles existentes vs. ISO 27001
  • Procesos y estructura organizativa
  • Proveedores y terceros con acceso
Problemas que detecta
  • Ausencia de políticas formales
  • Controles sin evidencia documentada
  • Riesgos no gestionados ni registrados
  • Brechas de cumplimiento normativo
Entregables
  • Informe de gaps vs. ISO 27001
  • Mapa de activos y riesgos iniciales
  • Propuesta de alcance del SGSI
  • Hoja de ruta priorizada
Qué decide el cliente
  • Si implantar el SGSI completo
  • Qué alcance y ritmo es viable
  • Prioridades de inversión
  • Fecha objetivo de certificación
Qué se define
  • Política de seguridad corporativa
  • Roles y responsabilidades
  • Metodología de evaluación de riesgos
  • Alcance y contexto del SGSI
Documentación creada
  • Declaración de aplicabilidad (SoA)
  • Plan de tratamiento de riesgos
  • Procedimientos operativos clave
  • Registro de activos e incidencias
Controles aplicados
  • Controles del Anexo A priorizados
  • Gestión de accesos e identidades
  • Continuidad de negocio
  • Gestión de proveedores
Entregables
  • SGSI documentado y operativo
  • Registro de riesgos actualizado
  • Evidencias de controles aplicados
  • Informe de avance quincenal
Qué se revisa
  • Completitud del SGSI implantado
  • Coherencia de la documentación
  • Eficacia de los controles
  • Nivel de conocimiento del equipo
Evidencias preparadas
  • Registros de auditoría interna
  • Revisión formal por la dirección
  • Actas de incidentes y acciones
  • Indicadores de rendimiento del SGSI
Corrección de desviaciones
  • Plan de acciones correctivas
  • Cierre de no conformidades
  • Actualización documental
  • Simulacro de auditoría externa
Entregables
  • Informe de auditoría interna
  • SGSI listo para auditoría externa
  • Dossier de evidencias organizado
  • Informe final de preparación
Seguimiento periódico
  • Revisiones mensuales o trimestrales
  • Actualización del registro de riesgos
  • Revisión de eficacia de controles
  • Monitorización de incidencias
Actualización documental
  • Revisión de políticas y procedimientos
  • Adaptación a cambios normativos
  • Actualización del Anexo A
  • Mantenimiento del SoA
Soporte continuo
  • Respuesta a consultas en ≤48h
  • Apoyo ante auditorías de renovación
  • Formación al equipo interno
  • Alertas normativas relevantes
Entregables
  • Informes periódicos de estado
  • SGSI vivo y actualizado
  • Registro de mejoras implementadas
  • Apoyo para auditorías externas
Servicio estratégico

Plan Director
de Seguridad

Para empresas que necesitan definir primero su hoja de ruta antes de comprometerse con un SGSI completo. Un punto de partida claro, rápido y de bajo riesgo.

Solicitar información →

El PDS te permite

  • Ordenar prioridades de seguridad según impacto real
  • Identificar brechas y controles ausentes
  • Definir un roadmap claro a 12–24 meses
  • Planificar inversiones con criterio técnico
  • Preparar el terreno para un SGSI posterior
  • Cumplir requisitos previos de auditorías o licitaciones
  • Presentar ante dirección un plan estructurado y justificado
Método de trabajo

Estructura que reduce
la incertidumbre.

Cada proyecto sigue el mismo esquema: fases claras, entregas definidas, reuniones fijas y comunicación sin ambigüedad.

01

Alcance cerrado

El proyecto comienza con un alcance documentado y acordado. Nada queda implícito. Sin sorpresas de coste ni de tiempo.

02

Entregables por hito

Cada fase termina con documentos entregados y revisados. El cliente siempre tiene en sus manos el resultado tangible del trabajo.

03

Reunión semanal fija

Una reunión de seguimiento semanal de 30–45 minutos. Misma agenda, mismo formato. El cliente sabe qué se ha hecho y qué viene.

04

Respuesta en ≤48 horas

Cualquier consulta recibe respuesta en menos de 48 horas laborables. Sin cuellos de botella ni tiempos muertos.

05

Calendario compartido

Desde el inicio el proyecto tiene un calendario visible: hitos, fechas de entrega y revisiones. El cliente puede planificar con certeza.

06

Documentación completa

Todo el trabajo produce documentación propia del cliente. Al finalizar, la empresa tiene su SGSI, no una dependencia de consultoría.

Cómo se ve el trabajo

Sin ambigüedad sobre
qué entrega el proyecto.

Así se estructura un proyecto real.

Estado del proyecto Empresa Ejemplo, S.L.
Fase 1 — Gap AssessmentCompletado
Fase 2 — ImplantaciónEn curso
Fase 3 — Preparación cert.Pendiente
Fase 4 — MantenimientoPendiente
Avance global
42% completado · Semana 8 de 18
Checklist de arranque Evaluación inicial
Reunión de kickoff con dirección y responsable TI
Inventario preliminar de activos de información
Cuestionario de controles completado
Entrevistas con responsables de área
Revisión de contratos con proveedores críticos
Análisis de incidentes de los últimos 12 meses
Entrega del informe de gaps
Entregables del proyecto Fases 1–2
📄
Informe de gap analysis
PDF · 24 pág. · Entregado S2
📊
Registro de activos e inventario
Excel · v1.2 · Actualizado S6
📋
Declaración de aplicabilidad (SoA)
Excel · Anexo A ISO 27001:2022
📑
Política de seguridad de la información
Word · Aprobado por dirección · S5
🗂️
Plan de tratamiento de riesgos
Excel · En elaboración
Cronograma simplificado 18 semanas
S1–S3
Gap Assessment
Diagnóstico, inventario, entrevistas
S4–S10
Implantación
Documentación, controles, políticas
S11–S14
Preparación certificación
Auditoría interna, correcciones
S15–S18
Auditoría externa + cierre
Acompañamiento y certificación
El problema

La ciberseguridad sin método
es solo gestión del caos.

La mayoría de empresas no tienen un problema de presupuesto en seguridad. Tienen un problema de estructura, priorización y documentación.

Falta de estructura formal

La seguridad se gestiona de forma reactiva, sin un sistema documentado ni responsables definidos. Cada incidente revela un nuevo hueco.

🗺

Ausencia de roadmap

No existe un plan a 12 o 24 meses. Las acciones se toman según la urgencia del momento, sin visión estratégica ni priorización por riesgo real.

📋

Requisitos normativos sin cubrir

RGPD, ENS, DORA o requisitos de clientes generan obligaciones que la organización no sabe cómo abordar de forma sistemática.

📉

Baja madurez de seguridad

Los controles existen de forma informal: algún antivirus, alguna política no escrita, alguna formación puntual. Pero sin evidencia ni gestión continua.

🔀

Dificultad para priorizar

Sin un análisis de riesgos estructurado, es imposible decidir dónde invertir primero. Todo parece urgente o nada parece suficientemente importante.

🏗

Riesgo de improvisación

Implantar un SGSI sin método genera documentación incoherente, controles sin evidencia y un sistema que no supera una auditoría externa.

Para quién

Empresas que necesitan
orden real en seguridad.

No para todas las empresas. Para las que quieren hacerlo bien, con método y con resultados documentados.

🏢

Empresas con obligación de cumplimiento

Organizaciones que deben cumplir ENS, DORA, requisitos de clientes corporativos o licitaciones públicas que exigen un SGSI certificado o en proceso.

🎯

Empresas que quieren certificarse

Empresas con voluntad estratégica de obtener la certificación ISO 27001 para diferenciarse, acceder a nuevos mercados o mejorar su postura de riesgo.

🌱

Organizaciones que empiezan desde cero

Empresas que no tienen ningún sistema de gestión de seguridad y necesitan construirlo de forma ordenada, con base sólida y sin improvisación.

📐

Empresas que necesitan un PDS primero

Organizaciones que aún no tienen claro el alcance, las prioridades o el nivel de inversión y necesitan un diagnóstico estratégico antes de implantar.

H
Hugo
Consultor de ciberseguridad · SGSI
ISO 27001 ENS RGPD DORA Análisis de riesgos Auditoría interna Gestión documental
Sobre mí

Método primero,
tecnología después.

Soy consultor especializado en la implantación de sistemas de gestión de seguridad de la información. Mi trabajo consiste en llevar a una empresa desde el punto cero hasta tener un SGSI operativo, documentado y preparado para certificación.

No improviso. Cada proyecto sigue el mismo método: diagnóstico, alcance cerrado, implantación por fases y entregables documentados en cada etapa. El cliente siempre sabe dónde está el proyecto y qué viene después.

Trabajo con empresas medianas y pequeñas que quieren hacerlo bien desde el principio, sin atajos y sin depender indefinidamente de consultoría externa. El objetivo es que al finalizar, la organización sea autónoma en la gestión de su propio SGSI.

Hablar sobre tu proyecto →
Preguntas frecuentes

Respuestas directas
a las dudas reales.

Un SGSI completo desde el gap assessment hasta la preparación para auditoría externa tarda entre 14 y 20 semanas, dependiendo del tamaño de la organización, el alcance definido y la disponibilidad del equipo interno. El cronograma se acuerda y documenta al inicio del proyecto.
Solo necesitas disponibilidad para una reunión inicial de kickoff con el responsable de TI y un representante de dirección. A partir de ahí, comenzamos con la evaluación inicial que define el alcance y el plan de trabajo. No hace falta tener nada preparado con antelación.
Sí. El método funciona igual para empresas de 10 empleados que para organizaciones de 200. El alcance se adapta a la realidad de cada empresa. Las pymes tienen exactamente las mismas obligaciones normativas que las empresas grandes, y merecen el mismo rigor metodológico.
Los entregables incluyen: informe de gap analysis, inventario de activos, declaración de aplicabilidad (SoA), política de seguridad, plan de tratamiento de riesgos, procedimientos operativos, registro de incidencias, informe de auditoría interna y dossier de evidencias para certificación. Todo queda en propiedad del cliente.
El proyecto tiene una reunión semanal de seguimiento de 30-45 minutos con formato fijo. Fuera de esa reunión, la comunicación se hace por email o canal acordado con el cliente. El trabajo se organiza por hitos documentados, con fecha de entrega conocida desde el inicio.
Sí. La evaluación inicial es un servicio independiente. Al finalizar, recibes un informe completo de gaps, un mapa de riesgos inicial y una propuesta de alcance. Con esa información puedes decidir si continuar con la implantación completa, hacerlo internamente o simplemente conocer tu situación actual.
Después de la implantación, el cliente tiene un SGSI operativo en su propiedad. El objetivo es que la organización sea autónoma. Si prefieren apoyo continuo, ofrezco un servicio de mantenimiento con revisiones periódicas, actualización documental y soporte ante auditorías de renovación.
No siempre. Si la empresa ya tiene claro que quiere un SGSI y conoce su situación, podemos empezar directamente con el gap assessment. El Plan Director de Seguridad es útil cuando hay incertidumbre sobre el alcance, el presupuesto o las prioridades estratégicas antes de comprometerse con el proyecto completo.
Primer paso

Empieza con una
evaluación inicial.

Sin compromisos. Sin presupuestos ciegos. Una reunión para entender tu situación actual y explicarte exactamente cómo trabajaría.

Solicitar evaluación gratuita
O escribe directamente a hola@testa.es