Nuestra metodología combina consultoría estructurada, plataformas propias y evidencias auditables en cada etapa. No entregamos documentos, entregamos un SGSI que funciona.
Antes de implementar cualquier control, alineamos tres ejes. Sin estos tres, los proyectos de seguridad se convierten en burocracia.
Un control implementado sin evidencia no existe. Todo lo que hacemos queda respaldado: configuración, registro, métrica, revisión. Así funciona una auditoría real.
ISO 27001 fue diseñado para organizaciones de cualquier tamaño. Nosotros lo adaptamos al ritmo de startups y empresas TI: iterativo, práctico, sin burocracia innecesaria.
No somos un proveedor externo que entrega un informe y se va. Participamos como parte del equipo hasta que el SGSI corre solo.
Cada bloque tiene entregables concretos, hitos medibles y evidencias que quedan en Confirmer360.
Reunión de kickoff, levantamiento del contexto organizacional, identificación de servicios y activos críticos, definición formal del alcance del SGSI.
EntregablesDocumento de alcance aprobado, mapa de partes interesadas, calendario de trabajo.
EvidenciasActa de kickoff, minuta firmada, alcance en Confirmer360.
Levantamiento completo de activos de información, clasificación por criticidad, construcción de la matriz de riesgos, plan de tratamiento priorizado.
EntregablesInventario de activos clasificado, matriz de riesgos con valoración, plan de tratamiento.
EvidenciasRegistros en Confirmer360, reunión de revisión con acta.
Redacción de políticas mínimas operables (no paperware), selección y priorización de controles del Anexo A de ISO 27001, plan de evidencias por control.
EntregablesSet de políticas aprobadas, SOA (Statement of Applicability), plan de implementación de controles.
EvidenciasPolíticas publicadas en Confirmer360, registro de aprobación.
Implementación de controles técnicos y operativos, configuración de registros, carga de métricas e indicadores en Confirmer360, revisión de estado de cumplimiento.
EntregablesDashboard de cumplimiento, registros operativos activos, alertas configuradas.
EvidenciasCapturas de configuración, registros exportables, informe de avance.
Diseño del programa de concientización, lanzamiento de cursos en Certisec Academy, simulaciones de phishing con seguimiento de resultados.
EntregablesPrograma de awareness, resultados de simulaciones, avance por empleado.
EvidenciasReportes de Certisec, quizzes completados, métricas de engagement.
Ejecución de auditoría interna completa, informe de hallazgos (no conformidades, observaciones, oportunidades de mejora), plan de acciones correctivas, preparación para certificadora externa.
EntregablesInforme de auditoría interna, plan correctivo, checklist de readiness para certificación.
EvidenciasInforme formal firmado, hallazgos registrados en Confirmer360.
Muchos proyectos de seguridad terminan con carpetas de documentos que nadie revisa. Nosotros definimos "implementado" cuando el control cumple los cuatro criterios:
No trabajamos solo con documentos en Google Drive. Cada etapa tiene soporte en nuestras plataformas propias.
Gestión de evidencias, riesgos, auditorías e indicadores en tiempo real.
Capacitación, simulaciones de phishing y tracking de concientización.
Agenda una sesión de diagnóstico gratuita. En 30 minutos te entregamos una lectura honesta de tu estado de madurez actual.
Agendar diagnóstico →