Hard2bit
ISO/IEC 27001:2022 · SGSI · Certificación

Implantación y Consultoría ISO 27001 para empresas en España

Hard2bit es una empresa española de ciberseguridad certificada ISO 27001 que presta servicios de consultoría, implantación y auditoría ISO 27001 para organizaciones en España, la Unión Europea y LATAM.

Implantamos tu SGSI con enfoque técnico y operativo: Gap Analysis, análisis de riesgos, SoA, auditoría interna y acompañamiento hasta Stage 1/Stage 2. Evidencias auditables, no documentación vacía.

Alineamos el SGSI con NIS2, DORA y ENS para minimizar duplicidades y acelerar el cumplimiento regulatorio.

Proceso Entregables Modalidades Por qué Hard2bit Anexo A FAQ
Solicitar estimación Ver nuestras ISOs →

Estimación realista tras cerrar alcance y madurez inicial · Sin compromiso

Por qué Hard2bit

Lo que nos diferencia de otras consultoras ISO 27001

Muchas consultoras "certifican rápido". Nosotros construimos un SGSI que pasa auditoría y que se puede mantener sin que se convierta en una carga.

Nosotros también estamos certificados

Hard2bit tiene ISO 27001, ISO 22301, ISO 20000-1, ISO 9001 e ISO 14001. No te explicamos cómo certificarte desde fuera: sabemos lo que cuesta mantener un SGSI vivo y auditable.

Ver nuestras certificaciones →

Enfoque técnico, no solo papel

Aterrizamos controles a IAM/MFA, hardening, logging, backups, DR y gestión de cambios con evidencias repetibles. El auditor externo no acepta políticas vacías.

Ver capacidad técnica →

Alineación con NIS2, DORA y ENS

Mapeamos evidencias del SGSI a las obligaciones regulatorias para evitar duplicidades. Un solo proyecto puede cubrir múltiples marcos si está bien estructurado.

Ver cumplimiento normativo →

Experiencia en sectores regulados

Trabajamos con finanzas, industria, SaaS y organismos públicos. Sabemos qué pregunta el auditor en cada sector y qué evidencias realmente cierran las no conformidades.

Ver clientes →

Cómo trabajamos

Proceso de implantación ISO 27001 paso a paso

Fases claras, entregables por etapa y owners definidos desde el inicio. Sin sorpresas en el camino a la certificación.

Leer nuestra guía completa de implantación ISO 27001 →

Alcance, contexto y objetivos

Semana 1–2

Definimos perímetro exacto del SGSI: procesos, sedes, sistemas, terceros críticos y criterios de auditoría. Un alcance bien cerrado desde el inicio evita el SGSI infinito.

Gap Analysis ISO 27001:2022

Semana 2–3

Evaluamos el estado actual frente a las cláusulas 4–10 y el Anexo A. Identificamos brechas, quick wins y backlog priorizado por criticidad y esfuerzo.

Análisis de riesgos y SoA

Semana 3–6

Metodología de riesgos, registro, planes de tratamiento y SoA con aplicabilidad, justificaciones y evidencias por control del Anexo A.

Implementación técnica y operativa

Mes 2–4

Controles reales: IAM/MFA, hardening, logging, backups, DR, gestión de cambios, proveedores críticos y SDLC. No solo documentación.

Auditoría interna + cierre de acciones

Mes 4–5

Auditoría interna completa con plan, checklist, muestreo de evidencias, no conformidades y plan de acciones correctivas con owners y fechas.

Acompañamiento a certificación

Mes 5–6

Preparación de evidencias, soporte durante Stage 1 y Stage 2, y estabilización del ciclo de mejora continua post-certificación.

Auditoría externa

Stage 1: diseño del SGSI

  • Alcance, contexto y partes interesadas
  • Metodología de riesgos y registro validado
  • SoA con aplicabilidad y evidencias por control
  • Políticas y procedimientos clave revisados
  • Planificación de auditoría interna y revisión por dirección
Auditoría externa

Stage 2: implantación y eficacia

  • Operación real de controles con muestras y entrevistas
  • Evidencias: registros, revisiones, métricas y seguimiento
  • Auditoría interna ejecutada con no conformidades y acciones
  • Revisión por la dirección realizada con decisiones documentadas
  • Ciclo de mejora continua activo y trazable

Entregables

Qué entregamos al final de cada fase

ISO 27001 se gana con evidencias, no con documentación inflada. Te dejamos un SGSI mantenible con backlog y owners para sostener la mejora continua tras la certificación.

Gap Analysis + roadmap por fases

Diagnóstico inicial frente a ISO 27001:2022, brechas por cláusula y Anexo A, quick wins y plan de trabajo con dependencias y owners.

SGSI completo (políticas + procedimientos)

Documentación mínima viable y operativa, adaptada a tu negocio y verificable en auditoría. Sin documentación inflada.

Análisis y tratamiento de riesgos

Metodología, registro de riesgos, planes de tratamiento, criterios de aceptación y revisión periódica con evidencias.

SoA (Statement of Applicability)

Aplicabilidad de los 93 controles, justificaciones, estado de implementación, evidencias y trazabilidad por control.

Auditoría interna + plan de acciones

Plan, checklist, muestreo de evidencias, no conformidades, observaciones y plan de cierre por owners con fechas.

Acompañamiento Stage 1 / Stage 2

Preparación de evidencias, revisión final pre-auditoría y soporte durante la auditoría externa de certificación.

Estructura normativa

Anexo A ISO 27001:2022 — 4 dominios, 93 controles

La versión 2022 reorganizó los controles en 4 dominios (vs 14 en 2013). Trabajamos por dominios para que el SGSI sea implantable y auditable.

37

controles

Organizativos

  • Políticas de seguridad
  • Gestión de activos
  • Relaciones con proveedores
  • Seguridad en la nube
  • Gestión de incidentes
  • Continuidad de negocio

8

controles

Personas

  • Selección y onboarding
  • Concienciación y formación
  • Acuerdos de confidencialidad
  • Proceso disciplinario
  • Acceso remoto seguro

14

controles

Físicos

  • Perímetros de seguridad física
  • Control de acceso físico
  • Protección de equipos
  • Política de pantalla limpia
  • Soportes de almacenamiento

34

controles

Tecnológicos

  • Gestión de identidades y accesos
  • Cifrado
  • Hardening y configuración
  • Gestión de vulnerabilidades
  • Logging y monitorización
  • Desarrollo seguro (SDLC)

Modalidades

Elige el camino más eficiente según tu punto de partida

Certificar desde cero, transicionar de 2013 a 2022, o validar tu SGSI antes de auditoría externa.

Más habitual

Implantación completa — de 0 a certificación

Para organizaciones sin SGSI o con madurez baja. Construimos el sistema desde cero, implementamos controles técnicos y operativos, y acompañamos hasta Stage 1/Stage 2.

  • Alcance + gap analysis + roadmap
  • Riesgos + SoA completo
  • Políticas, procedimientos y controles
  • Auditoría interna + cierre de acciones
  • Acompañamiento a certificación externa
Solicitar estimación

Estimación tras cerrar alcance y madurez

Recertificación

Transición 2013 → 2022

Si ya estás certificado en ISO 27001:2013 y necesitas adaptar el Anexo A a la versión 2022 con el mínimo impacto operativo.

  • Gap de transición Anexo A
  • SoA actualizado a 4 dominios / 93 controles
  • Evidencias y revisiones actualizadas
  • Auditoría interna enfocada en transición
Plan de transición

Estimación tras cerrar alcance y madurez

Validación

Auditoría interna + readiness

Si tienes el SGSI montado y quieres validar el estado audit-ready antes de certificación, recertificación o auditoría de seguimiento.

  • Plan de auditoría + checklist completo
  • Muestreo de evidencias por control
  • Identificación de no conformidades
  • Plan de cierre + re-evidencias
Hablar con auditor senior

Estimación tras cerrar alcance y madurez

Clientes que ya lo han hecho

Lo que dicen organizaciones que certificaron con Hard2bit

Dos empresas que completaron su proceso ISO 27001:2022 con nosotros. Sus palabras, sin editar.

Ver todos los clientes →
AL

Aleatica SAU

Infraestructura / Concesiones

Valoración: 5 de 5 estrellas

"Han demostrado responsabilidad e implicación en cada fase del proyecto, ofreciendo soluciones efectivas y adaptadas a nuestras necesidades. El conocimiento en Seguridad de la Información ha garantizado el cumplimiento del objetivo: certificarnos en la ISO 27001:2022. Sin duda, una experiencia muy satisfactoria que recomendamos."

Certificación ISO 27001:2022 obtenida.
IN

Inteliens

Tecnología / Servicios TIC

Valoración: 5 de 5 estrellas

"Destacar la atención y paciencia para que entendamos todo, además del seguimiento realizado a lo largo del proceso. Su implicación con nosotros, por entender bien nuestra forma de funcionar y nuestras necesidades, y el seguimiento de las mismas."

Implantación ISO 27001 con seguimiento end-to-end.

Testimonios publicados con permiso expreso de las organizaciones. Aleatica SAU es una concesionaria de infraestructuras. Inteliens es una empresa de servicios TIC.

¿Tienes prisa por la certificación?

Cuéntanos el plazo, el alcance y la madurez actual. En 48h te damos un plan realista con fases, owners y estimación de coste ajustada a tu contexto.

Sin compromiso · Respuesta en 24h · Estimación ajustada a tu alcance real

Solicitar estimación 910 139 827

Continúa con

Qué suele complementar ISO 27001

NIS2 — cumplimiento normativo

ISO 27001 como base para cubrir los requisitos de NIS2 sin duplicar esfuerzo.

Ver NIS2 →

DORA — resiliencia operativa

Mapeamos el SGSI a los requisitos de DORA para entidades financieras reguladas.

Ver DORA →

ENS — administración pública

Reutilizamos evidencias del SGSI para el Esquema Nacional de Seguridad.

Ver ENS →

Pentesting — evidencias técnicas

Pruebas de penetración para generar evidencias técnicas de control de acceso y exposición.

Ver pentesting →

Gestión de vulnerabilidades

Operación continua de detección, priorización y remediación para mantener el SGSI vivo.

Ver vulnerabilidades →

SOC gestionado 24/7

Monitorización y detección continua que aporta evidencias de logging y respuesta a incidentes.

Ver SOC →

FAQ

Preguntas frecuentes sobre ISO 27001

Respuestas directas para CISOs, IT managers, responsables de compliance y dirección.

¿Cuánto tiempo se tarda en certificar ISO 27001?

Un proyecto típico dura entre 3 y 6 meses desde el gap analysis hasta Stage 2, dependiendo de la madurez inicial, tamaño del alcance y disponibilidad del equipo interno. Ajustamos el plan por perímetro, número de sedes y criticidad.

¿Cuánto cuesta implantar ISO 27001?

El coste depende principalmente del alcance (procesos, sedes, servicios), la madurez inicial y si se necesita ejecución técnica además de consultoría. En cuanto cerramos alcance y plan de trabajo te damos una estimación ajustada sin sorpresas.

¿Qué diferencia hay entre ISO 27001:2013 y ISO 27001:2022?

La versión 2022 reorganiza el Anexo A en 4 dominios (93 controles vs 114), incorpora nuevos controles para cloud, identidades y configuración segura, y mejora la alineación con entornos operativos actuales. Si tienes certificación 2013, el plazo de transición a 2022 ya está activo.

¿Qué es el SoA (Statement of Applicability)?

El SoA es el documento clave de auditoría donde declaras qué controles del Anexo A aplican, cómo están implementados, qué evidencias los soportan y por qué se excluyen los que no aplican. Es la pieza que el auditor externo revisa con más detalle en Stage 1.

¿Incluís auditoría interna ISO 27001?

Sí. Ejecutamos la auditoría interna completa: plan, checklist por cláusula y control, muestreo de evidencias, identificación de no conformidades y observaciones, y plan de acciones correctivas con owners y fechas.

¿Se puede certificar ISO 27001 en entornos cloud (AWS, Azure, GCP)?

Sí. Definimos el alcance del SGSI e implementamos controles específicos para cloud: IAM y mínimo privilegio, logging y monitorización, hardening de configuración, cifrado en tránsito y reposo, gestión de cambios y continuidad. Todo con evidencias verificables.

¿Hard2bit puede ayudar en licitaciones y cuestionarios de seguridad de clientes?

Sí. Preparamos respuestas tipo para due diligence, cuestionarios de terceros y licitaciones que requieren ISO 27001, y damos soporte durante la auditoría de certificación externa.

¿Qué revisan en Stage 1 y Stage 2?

Stage 1 valida el diseño del SGSI: alcance, contexto, análisis de riesgos, SoA y planificación. Stage 2 evalúa la implantación real: evidencias de operación de controles, auditoría interna ejecutada, revisión por la dirección y tratamiento de no conformidades.

¿ISO 27001 sirve para cumplir con NIS2 o DORA?

ISO 27001 proporciona una base sólida que cubre muchos de los requisitos de NIS2 y DORA. Mapeamos las evidencias del SGSI a las obligaciones regulatorias específicas para evitar duplicidades y acelerar el cumplimiento de ambos marcos.

¿Qué pasa después de la certificación?

La certificación ISO 27001 tiene validez de 3 años con auditorías de seguimiento anuales. Ayudamos a mantener el SGSI vivo con revisiones periódicas, gestión de cambios, evidencias continuas de operación de controles y preparación para recertificación.

¿Qué incluye un servicio de implantación ISO 27001?

Un servicio de implantación ISO 27001 suele incluir gap analysis, definición de alcance, análisis de riesgos, SoA, políticas y procedimientos, implantación de controles, auditoría interna y acompañamiento a certificación.

¿Listo para certificar ISO 27001?

Plan por fases, evidencias auditables y acompañamiento hasta Stage 1/Stage 2. Hard2bit: empresa certificada ISO 27001 que sabe lo que exige el auditor.

Solicitar estimación 910 139 827
NIS2 DORA ENS Pentesting SOC gestionado Certificaciones Hard2bit

El coste depende del alcance y la madurez inicial. Cerramos perímetro antes de estimar.