Consultoría

Diseño e implementación de SGSI

Desplegamos Sistemas de Gestión de Seguridad de la Información alineados con la norma ISO/IEC 27001:2013. Guiamos a tu organización desde el diagnóstico inicial hasta la madurez operacional, asegurando gobernanza, cumplimiento y la mitigación efectiva de riesgos.

Roadmap completo 4 fases Documentación auditable Consultores certificados

¿Qué es un SGSI?

Un Sistema de Gestión de Seguridad de la Información (SGSI) orquesta procesos, controles y personas para proteger los activos críticos conforme a ISO/IEC 27001:2013. Opera bajo el ciclo de mejora continua (PDCA) y aterriza controles del Anexo A para administrar riesgos, garantizar continuidad y soportar inversiones en ciberseguridad.

  • Compromiso ejecutivo y gobierno activo de la seguridad.
  • Ejecución periódica de análisis de riesgos y tratamiento asociado.
  • Integración de 114 controles organizados en 14 dominios.
  • Visibilidad coordinada de procesos, tecnología y personas.

Beneficios tangibles

  • Visión integral del estado de seguridad y sus brechas.
  • Coordinación de esfuerzos entre operaciones, TI y cumplimiento.
  • Soporte para auditorías regulatorias y certificaciones internacionales.
  • Mitigación oportuna de riesgos y optimización de inversiones en seguridad.

Roadmap de implementación

Acompañamos a tu organización en cuatro fases progresivas que permiten diseñar, implementar, operar y auditar el SGSI con evidencia trazable y alineada a los criterios de certificación ISO/IEC 27001.

Fase 1

Diseño y definición

Entendemos procesos, definimos alcance, matriz de activos, riesgos y entregamos la base documental del SGSI.

Fase 2

Implementación

Priorizamos controles, establecemos responsables, acompañamos la ejecución y la concientización interna.

Fase 3

Operación

Gestionamos controles, monitoreamos alertas, coordinamos comités y documentamos vulnerabilidades e incidentes.

Fase 4

Evaluación y seguimiento

Recopilamos evidencias, ejecutamos auditoría interna inicial y definimos un plan de mejoras continuo.

Fase 1
Diseño y definición

Actividades clave

  • Contextualización del negocio, procesos y organigrama.
  • Revisión de auditorías previas, verificaciones y hallazgos.
  • Redacción del Manual del SGSI, matriz de activos y política de riesgos.
  • Realización del análisis de riesgos y definición del Statement of Applicability.
  • Creación y aprobación de políticas y procedimientos específicos.

Entregables sugeridos

  • Diagnóstico de cumplimiento (GAP Analysis).
  • Manual del SGSI y consolidado de documentación de referencia.
  • Matriz de activos críticos y directriz de gestión de riesgos.
  • Análisis de riesgos y Enunciado de Aplicabilidad.
  • Políticas y procedimientos de seguridad de la información.
Fase 2
Implementación

Actividades clave

  • Priorización de controles y dependencias tecnológicas.
  • Definición del plan de trabajo detallado para el despliegue.
  • Establecimiento de comités y responsables por dominio.
  • Acompañamiento en implementación, concientización y comunicación interna.

Entregables sugeridos

  • Plan maestro de implementación del SGSI.
  • Matriz de roles y responsables de seguridad de la información.
  • Reportes parciales y finales del avance de implementación.
Fase 3
Operación

Actividades clave

  • Coordinación del comité de seguridad y gestión de vulnerabilidades.
  • Monitoreo de alertas, gestión de incidentes y cambios.
  • Verificación de respaldos, pruebas de continuidad y hardening.
  • Auditorías recurrentes a controles y seguimiento de hallazgos.

Entregables sugeridos

  • Reportes de herramientas, SOC y gestión de incidentes.
  • Informes de auditoría, seguimiento y cierres de hallazgos.
  • Actualizaciones a políticas, procedimientos y manuales derivados.
Fase 4
Evaluación y seguimiento

Actividades clave

  • Recopilación y verificación de evidencias de controles implementados.
  • Elaboración del programa de auditorías internas del SGSI.
  • Definición de recomendaciones de mejora a corto, mediano y largo plazo.

Entregables sugeridos

  • Evidencias de implementación y resultados de la primera auditoría interna.
  • Programa anual de auditorías y revisiones.
  • Plan de recomendaciones y mejoras continuas del SGSI.

Dominios y servicios de consultoría

Dominio Servicio propuesto
Políticas de seguridad Definición y evolución de normatividad, políticas y lineamientos corporativos.
Organización de la seguridad Gobierno, comités y modelos de roles para la seguridad de la información.
Recursos humanos Procesos de inducción, conciencia y disciplina en seguridad.
Gestión de activos Inventario, clasificación y uso aceptable de activos críticos.
Controles de acceso Gestión de identidades, accesos privilegiados y doble factor (YubiKey, Microsoft Identity Protection).
Criptografía Implementación de HSM, BitLocker y gestión de claves.
Seguridad física y ambiental Protección perimetral, control de visitantes, respaldo eléctrico y ambiental.
Dominio Servicio propuesto
Seguridad operacional Hardening, servicios administrados, firewalls, IPS y monitoreo continuo.
Comunicaciones Seguridad de red, detección de anomalías, integración con Darktrace e Infoblox.
Desarrollo y mantenimiento Pentest, SAST, DAST y evaluaciones de seguridad previas a liberación.
Relación con proveedores Third Party Risk Management, acuerdos de confidencialidad y supervisión.
Gestión de incidentes SOC 24/7 para monitoreo, detección y respuesta.
Continuidad de negocio Consultoría en BCP/DRP alineada a ISO 22301, pruebas y ejercicios.
Cumplimiento Auditorías internas, gestión regulatoria y control de evidencias.

Roles y competencias certificadas

Dimensionamos recursos internos y proveemos personal especializado para sostener el programa, respaldado por consultores con certificaciones internacionales que cubren gobierno, riesgo y seguridad en cada dominio del SGSI.

Roles para la gestión del SGSI

Equipo dedicado que se integra a tus operaciones

Combinamos talento interno y especialistas de Call IT para asegurar continuidad operativa, gobernanza y toma de decisiones oportuna sobre tu programa de seguridad.

  • Oficial de Seguridad de la Información con responsable de acompañamiento.
  • Implementadores que configuran controles y revisan registros técnicos.
  • Comité de seguridad encargado de decisiones, apetito de riesgo y aprobaciones.
  • Equipo de monitoreo para alertas, incidentes y reportes estadísticos.
  • Soporte extendido para auditorías, documentadores y comité de cambios.
Competencias certificadas

Ciberseguridad avanzada

CISSP, CISM, CISA, CRISC y CGEIT para gobierno y gestión integral de riesgos.

Gestión de servicios

ITIL Expert, ISO/IEC 20000 y PMP para garantizar procesos repetibles y medibles.

Infraestructura y cifrado

Especialistas en HSM Thales, EC-Council Certified Encryption Specialist y arquitecturas zero trust.

¿Listo para desplegar tu SGSI?

Consolidemos tu programa de seguridad con un plan de implementación probado, documentación auditable y el respaldo de especialistas certificados.

Habla con nuestro equipo