¿Cómo elijo entidad certificadora ISO 27001?

Tres criterios prácticos: acreditación ENAC (o equivalente internacional), experiencia en tu sector (no todas dominan defensa, sanidad o industria por igual), y precio y plazos transparentes en la propuesta. Solicita propuesta a 2-3 entidades antes de elegir. Las más conocidas en España: AENOR, BSI, SGS, Bureau Veritas, TÜV Rheinland, DNV, Lloyd's, Applus+.

ISO 27001 para PYME industrial: guía paso a paso

La ISO/IEC 27001 es la norma internacional de gestión de la seguridad de la información. A diferencia del ENS (vinculado a la administración pública española), la ISO 27001 es voluntaria, pero cada vez la piden más grandes contratistas industriales (Indra, CAF, Talgo, General Dynamics y otros Tier 1) a sus proveedores Tier 2.

Hoja de ruta para una PYME industrial: definir alcance, análisis de riesgos según MAGERIT (o equivalente), implementar un Sistema de Gestión de Seguridad de la Información (SGSI), aplicar los 93 controles del Anexo A que correspondan, auditoría interna, auditoría externa por entidad certificadora y mantenimiento anual con recertificación cada 3 años. Plazo realista: 9-18 meses desde cero.

Reservar auditoría inicial gratuita →

Qué es la ISO 27001 y por qué tu cliente la pide

ISO/IEC 27001:2022 (versión vigente) es la norma internacional para sistemas de gestión de seguridad de la información (SGSI). Define cómo una organización planifica, implementa, opera, controla y mejora su seguridad — no qué tecnología usar, sino cómo gestionarla de forma sistemática.

Por qué la piden tus clientes Tier 1:

Cláusula contractual estándar en pliegos de grandes contratistas
Evidencia objetiva de que tu empresa gestiona la seguridad con método (auditada por tercero independiente)
Transferible internacionalmente: si vendes a empresas fuera de España, ISO 27001 es lo que entienden
Cobertura de su propia responsabilidad: tu cliente Tier 1 reduce su riesgo de ciberincidente en cadena de suministro

Sectores donde está creciendo la exigencia ISO 27001 sobre proveedores PYME en 2025-2026: defensa, aeroespacial, automoción, ferroviario, energía, sanitario, tecnología sanitaria, servicios financieros, despachos profesionales que tratan datos sensibles.

Cómo se compone la norma

ISO 27001 se divide en dos partes:

Cláusulas 4-10 (Sistema de Gestión)

Los requisitos del SGSI propiamente dicho: contexto de la organización, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora. Esto es la parte de gestión — políticas, procedimientos, responsables documentados.

Anexo A (Controles)

93 controles de seguridad organizados en 4 temas:

A.5 Organización (37 controles)
A.6 Personas (8 controles)
A.7 Físicos (14 controles)
A.8 Tecnológicos (34 controles)

No todos aplican a todas las empresas. La declaración de aplicabilidad (SoA) documenta cuáles aplican a tu caso y cuáles no, y por qué.

Hoja de ruta paso a paso para una PYME industrial

Paso 1: alcance y contexto (mes 1)

Definir qué procesos, sistemas, sedes y servicios entran en el SGSI. La mayoría de PYMEs certifica un alcance acotado al servicio concreto que prestan a su cliente Tier 1 — no toda la empresa.

Análisis de contexto interno y externo, partes interesadas (clientes, empleados, reguladores, proveedores), requisitos legales y contractuales aplicables.

Paso 2: análisis de riesgos (mes 1-2)

Metodología MAGERIT, ISO 27005 o equivalente. Inventario de activos de información, identificación de amenazas y vulnerabilidades, evaluación de probabilidad e impacto, cálculo del riesgo. Plan de tratamiento del riesgo.

Paso 3: Declaración de Aplicabilidad (SoA) (mes 2)

Documento formal listando los 93 controles del Anexo A, indicando cuáles aplican, cuáles no y la justificación. Es el documento más revisado por el auditor.

Paso 4: implementación de controles (mes 2-9)

El grueso del trabajo. Para una PYME industrial mediana con stack moderno:

Tipo de control	Esfuerzo típico
Tecnológicos (A.8)	Bajo-Medio (mucho ya está montado si tu MSP es profesional)
Físicos (A.7)	Bajo (oficina con control de acceso básico ya cumple)
Personas (A.6)	Medio (formación, contratos, procedimientos de alta y baja)
Organizativos (A.5)	Alto (políticas, procedimientos, responsables documentados)

Paso 5: documentación obligatoria (continuo)

ISO 27001 exige documentar (al menos): política de seguridad, alcance del SGSI, metodología de análisis de riesgos, informe de análisis de riesgos, SoA, plan de tratamiento del riesgo, objetivos de seguridad, evidencia de competencia del personal, resultados de auditorías internas, resultados de revisión por la dirección y acciones correctivas.

Paso 6: auditoría interna (mes 8-9)

Antes de la auditoría externa, una auditoría interna (puede ser de un consultor externo) revisa el SGSI y detecta no-conformidades para corregirlas antes de que las vea el auditor certificador.

Paso 7: revisión por la dirección (mes 9)

La dirección de la empresa formaliza por acta la revisión del SGSI, resultados de auditorías, incidentes, oportunidades de mejora y decisiones de continuidad. Requisito ISO 27001, no opcional.

Paso 8: auditoría externa de certificación (mes 9-12)

La realiza una entidad de certificación acreditada (típicamente AENOR, BSI, SGS, Bureau Veritas, TÜV Rheinland, DNV, Lloyd’s). Se hace en dos fases:

Fase 1: revisión documental + visita inicial. El auditor evalúa si el SGSI está suficientemente maduro para la certificación.
Fase 2: auditoría completa (típicamente 2-4 días según tamaño). Si todo está bien, se emite el certificado ISO 27001. Validez: 3 años con auditorías de seguimiento anual.

Paso 9: mantenimiento (anual)

Año 1 y 2: auditoría de seguimiento por la entidad certificadora (más breve que la inicial)
Año 3: auditoría de recertificación (completa, similar a la inicial)
Continuo: revisiones por la dirección, gestión de incidentes, formación, auditorías internas

Cuánto cuesta y cuánto tiempo

Plazo realista según punto de partida:

Tu situación de partida	Plazo realista hasta certificación
Stack profesional ya montado, gobernanza mínima	6-9 meses
Stack mixto, sin documentación previa	9-12 meses
Empiezas desde cero	12-18 meses

Costes orientativos (rangos del mercado español 2025, NO son los precios de DCSeguridad):

Concepto	Rango
Auditoría externa fase 1 + fase 2 (entidad ENAC)	4.000-10.000 € según alcance
Auditorías de seguimiento anuales (años 1 y 2)	2.500-5.000 € cada una
Auditoría de recertificación (año 3)	4.000-10.000 €
Acompañamiento técnico-consultivo externo	Muy variable
Inversión en infraestructura si hay huecos	Muy variable

Diferencias clave entre ENS e ISO 27001

Aspecto	ENS	ISO 27001
Origen	Norma española (RD 311/2022)	Norma internacional ISO
Obligatoria	Sí, para sector público y cascada contractual	No, voluntaria
Categorías	Básica / Media / Alta	Una sola (con SoA personalizada)
Auditor	Entidad ENAC	Entidad acreditada (varía según país)
Validez	2 años (recertificación)	3 años (recertificación)
Documentación	Anexo II del RD	Anexo A de la norma
Mercado	España, sector público y proveedores	Internacional, cualquier sector

Muchas PYMEs industriales que venden a Tier 1 acaban certificando ambas porque cada cliente pide una. ENS para clientes del sector público español; ISO 27001 para clientes internacionales o privados grandes. El esfuerzo combinado es menor que hacer cada una por separado porque comparten infraestructura técnica y documentación base.

Cómo encaja DCSeguridad

DCSeguridad acompaña a PYMEs industriales que necesitan certificarse en ISO 27001 desde un enfoque pragmático:

Stack que cubre buena parte de los controles tecnológicos del Anexo A: monitorización profesional (Wazuh + Grafana), firewall pfSense, EDR gestionado, backup empresarial con pruebas, cifrado de disco, gestión centralizada de accesos, control de cambios, gestión de incidentes. Lo que tienes que sumar es gobernanza (SGSI + documentación + procesos), no rehacer infraestructura.
Acompañamiento técnico-consultivo durante la implementación (no proyecto cerrado de «te lo dejamos certificado en 3 meses» que rara vez funciona)
Documentación entregable: políticas, procedimientos, registros de los controles tecnológicos que gestionamos — directamente aprovechables como evidencias para el auditor
No somos entidad certificadora: la certificación formal la emite una entidad acreditada (AENOR, BSI, SGS, etc.) independiente del consultor. Te orientamos en la elección y preparamos el SGSI para que pase auditoría externa.

Preguntas frecuentes sobre ISO 27001 para PYMEs

¿Mi empresa de 30 empleados puede certificarse ISO 27001?

Sí, sin problema. La norma no impone tamaño mínimo. Lo que importa es que el SGSI sea proporcional a la organización. Hay PYMEs de 10-15 personas certificadas; lo importante es alcance bien definido y madurez real de los controles que aplican.

¿Es lo mismo «ISO 27001:2013» que «ISO 27001:2022»?

No. La revisión 2022 reorganiza el Anexo A (de 114 controles agrupados en 14 dominios pasa a 93 controles en 4 temas). Si te certificas hoy es directamente en la versión 2022. Si tu cliente te pide «ISO 27001» sin especificar versión, asume 2022.

¿Puedo certificar sólo una parte de mi empresa?

Sí. Es lo más habitual en PYME: alcance acotado al servicio concreto que prestas a tu cliente Tier 1. Documentas el alcance en el SGSI y el certificado lo refleja explícitamente.

¿La auditoría externa tiene en cuenta que somos una PYME?

Sí. Las entidades certificadoras profesionales aplican el principio de proporcionalidad: lo que se exige a una PYME no es lo mismo que a una multinacional. El SGSI debe ser adecuado al tamaño y complejidad, no inflado artificialmente.

¿Cómo elijo entidad certificadora?

Tres criterios prácticos:

Acreditación ENAC (o equivalente en otro país si tu cliente lo pide así)
Experiencia en tu sector (no todas las entidades dominan defensa, sanidad o industria por igual)
Precio y plazos transparentes en la propuesta

Solicita propuesta a 2-3 entidades antes de elegir. Las más conocidas en España: AENOR, BSI, SGS, Bureau Veritas, TÜV Rheinland, DNV, Lloyd’s, Applus+.

Si me certifico y luego cambio de proveedor IT, ¿pierdo la certificación?

No automáticamente, pero la transición tiene que estar documentada. Cambio de proveedor IT = cambio de proveedor de servicios externos en términos ISO. Hay que actualizar el contrato de encargado, los procedimientos asociados y notificar al certificador en la siguiente auditoría de seguimiento. Si el nuevo proveedor mantiene o mejora los controles, no hay problema.

¿Vale la pena certificar ISO 27001 antes que esperar a que me lo pidan?

Si vendes a clientes B2B grandes en sectores regulados, sí — la certificación abre puertas comerciales. Si tu cliente principal es PYME y nadie te lo ha pedido, probablemente no necesites certificar antes. Mejor invertir en montar bien el stack técnico y la documentación, y certificar cuando llegue la primera exigencia real.

Próximo paso

Si tu cliente Tier 1 te ha pedido ISO 27001 (o crees que te lo van a pedir pronto), la auditoría inicial gratuita sirve también como diagnóstico ISO 27001 inicial: te decimos qué controles ya tienes cubiertos parcialmente, qué huecos hay y un plan realista por fases hasta la certificación.

Reservar auditoría inicial gratuita →

O contacta directamente:

Teléfono: +34 910 053 662
WhatsApp: +34 643 100 433

Páginas relacionadas: