Un sistema que se construye.
No un proyecto que termina.

Reunión de kickoff, levantamiento del contexto organizacional, identificación de servicios y activos críticos, definición formal del alcance del SGSI.

Documento de alcance aprobado, mapa de partes interesadas, calendario de trabajo.

Acta de kickoff, minuta firmada, alcance versionado y trazable en la plataforma.

Levantamiento completo de activos de información, clasificación por criticidad, construcción de la matriz de riesgos, plan de tratamiento priorizado.

Inventario de activos clasificado, matriz de riesgos con valoración, plan de tratamiento.

Inventario y matriz de riesgos en módulo dedicado, reunión de revisión con acta firmada.

Redacción de políticas mínimas operables (no paperware), selección y priorización de controles del Anexo A de ISO 27001, plan de evidencias por control.

Set de políticas aprobadas, SOA (Statement of Applicability), plan de implementación de controles.

Políticas publicadas con versionado, SOA editable, flujo de aprobación trazable.

Implementación de controles técnicos y operativos, configuración de registros, carga de métricas e indicadores en Confirmer360, revisión de estado de cumplimiento.

Dashboard de cumplimiento, registros operativos activos, alertas configuradas.

Dashboard ejecutivo en vivo, exportables a PDF/Excel para el directorio, alertas automáticas.

Diseño del programa de concientización, lanzamiento de cursos en Certisec Academy, simulaciones de phishing con seguimiento de resultados.

Programa de awareness, resultados de simulaciones, avance por empleado.

Reportes en vivo, quizzes completados, métricas de engagement por área.

Ejecución de auditoría interna completa, informe de hallazgos (no conformidades, observaciones, oportunidades de mejora), plan de acciones correctivas, preparación para certificadora externa.

Informe de auditoría interna, plan correctivo, checklist de readiness para certificación.

Informe formal firmado, hallazgos con responsables y plazos, seguimiento al cierre de NC.

Inventario de cada tratamiento de datos personales con sus finalidades, categorías de datos, destinatarios y bases legales actuales. Identificamos los gaps frente a la Ley 21.719 y construimos un plan de adecuación priorizado.

Mapa de tratamientos, gap report, plan de adecuación priorizado.

Inventario cargado en módulo RAT, gap report firmado, acta de revisión.

Construimos el Registro de Actividades de Tratamiento (RAT) operativo en Confirmer360. Definimos y documentamos la base de licitud de cada finalidad: consentimiento, contrato, obligación legal o interés legítimo.

RAT vivo, matriz de bases de licitud por finalidad, registro inicial de consentimientos.

RAT consultable y exportable, justificación documentada de cada base legal.

Redactamos políticas de privacidad, retención y cesión a terceros. Revisamos los contratos con encargados de tratamiento (DPA) y los avisos de privacidad de cara al titular. Coordinamos con asesoría legal aliada cuando corresponde.

Políticas aprobadas, plantilla de contrato DPA, avisos publicados en plataformas web.

Políticas versionadas, contratos firmados con encargados, repositorio único.

Dejamos operativos los flujos de derechos ARCOP (con tickets), de Evaluaciones de Impacto en Privacidad (EIPD) y de gestión de brechas. Cada uno con responsables, plazos legales (30-60 días para ARCOP, 72 horas para brechas) y evidencias auditables.

Workflows configurados, plantillas de respuesta, procedimientos firmados.

Tickets ARCOP en producción, EIPDs piloto registradas, simulacro de brecha ejecutado.

Entrenamos al equipo en los nuevos procesos en Certisec Academy. Hacemos una auditoría interna de simulación con el lente de la Agencia de Protección de Datos. Identificamos no conformidades y las cerramos antes del go-live.

Programa de capacitación ejecutado, informe de auditoría interna, plan correctivo cerrado.

Asistencia y aprobación del equipo, informe firmado, hallazgos cerrados.