El punto de partida
La empresa fabricaba componentes para un cliente enterprise que endureció sus requisitos de cadena de suministro: certificación ISO 27001 en un plazo máximo de doce meses o pérdida progresiva de pedidos. La seguridad hasta ese momento era responsabilidad difusa del equipo de TI (tres personas), no existía inventario de activos fiable, las copias de seguridad no se probaban y la red de oficina y la de planta compartían segmento.
El comité de dirección tenía una preocupación legítima: que el proyecto se convirtiera en un cementerio de políticas sin efecto real. La condición que pusimos fue la contraria — cada control implantado debía dejar una evidencia operativa que alguien pudiera enseñar en auditoría sin preparar nada la semana anterior.
Cómo lo abordamos
Trabajamos en cinco fases, cada una con entregables cerrados antes de abrir la siguiente:
- Análisis diferencial contra ISO/IEC 27001:2022 — 93 controles del Anexo A evaluados sobre el terreno, no por cuestionario. Resultado: el 68 % de los controles aplicables no tenía implementación reconocible.
- Inventario y apreciación de riesgos — inventario de activos desde cero (servidores, puestos, líneas de planta con TI embebida, SaaS no controlado) y metodología de riesgos aprobada por dirección, con umbrales de aceptación explícitos.
- Diseño del SGSI y declaración de aplicabilidad — políticas y procedimientos redactados en el lenguaje de la casa, con propietarios nominales por control. Se excluyó del alcance la electrónica de las líneas de producción, documentando el porqué; el perímetro TI de planta sí entró.
- Implantación por oleadas — primero lo que reducía riesgo real (segmentación oficina/planta, MFA, gestión de copias con pruebas de restauración, control de accesos y bajas), después lo documental. Formación por rol, no genérica.
- Auditoría interna y acompañamiento a certificación — auditoría interna completa seis semanas antes de la de certificación, con quince desviaciones detectadas y cerradas antes de la visita del organismo certificador.
Resultados
10 meses
de proyecto hasta el certificado, dentro del plazo exigido por el cliente
0
no conformidades mayores en la auditoría de certificación
93
controles del Anexo A evaluados y resueltos en la declaración de aplicabilidad
Más allá del certificado: la red de planta quedó segmentada de la de oficina, las copias se prueban cada mes con registro, y el comité de seguridad se reúne trimestralmente con un cuadro de indicadores que entiende dirección. El cliente enterprise mantuvo los pedidos y la empresa usa hoy el certificado como argumento comercial ante nuevos clientes.
Claves del caso
- Empezar por los controles que reducen riesgo, no por los que rellenan papel: la auditoría se gana en la operación.
- Un alcance honesto y bien justificado vale más que uno ambicioso imposible de sostener.
- La auditoría interna con margen real de reacción (seis semanas) convirtió la certificación en un trámite sin sorpresas.
Servicios relacionados
¿Necesitas certificarte en ISO 27001?
Hard2bit está certificada ISO 27001 — implantamos lo mismo que operamos. Cuéntanos tu punto de partida y te proponemos alcance, fases y plazos realistas.