Evaluamos tu organización contra los requisitos de ISO/IEC 27001:2022 — cláusulas y controles del Anexo A — para medir tu nivel de cumplimiento actual, identificar las brechas y entregarte un plan de remediación priorizado. Antes de comprometerte con un proyecto de implementación, necesitas saber dónde estás parado.
El gap análisis (o análisis de brechas) es el primer paso formal antes de implementar ISO 27001. Es un diagnóstico que compara el estado actual de tu organización — políticas, controles, procesos, evidencias — contra lo que exige la norma ISO/IEC 27001:2022. La diferencia entre ambos puntos es la brecha. El trabajo de implementación consiste en cerrarla.
Sin este diagnóstico, el proyecto de certificación arranca a ciegas. No sabes cuánto esfuerzo requerirá, no sabes dónde concentrar los recursos, y no puedes dar una estimación realista de plazos y costos. Las organizaciones que se lanzan a implementar sin gap análisis previo terminan descubriendo brechas críticas a mitad de camino — lo que genera retrasos, sobrecostos y frustración.
La evaluación cubre absolutamente TODAS las dimensiones de la norma ISO/IEC 27001:2022, tanto las organizacionales operativas como los controles individuales anexados:
Evaluamos si tu organización tiene definido cada requisito principal:
Evaluamos cada uno de los controles en las 4 categorías que define la versión 2022:
Para cada control evaluamos: si existe legalmente, si está documentado, si opera tecnológicamente con registros auditables y si posee revisión de eficacia activa.
No interrumpimos tu semana normal, nos acoplamos a la disponibilidad de tus equipos líderes para procesar las evaluaciones de madurez lo antes posible.
Nos reunimos contigo para entender el contexto de tu organización: qué servicios ofreces, qué información procesas, cuál es tu infraestructura tecnológica y qué controles de seguridad ya posees formales/informales. Recopilamos las políticas que ya existan para revisarlas.
Ejecutamos la evaluación sistemática de cláusulas y los 93 controles. Verificamos que los requisitos estén definidos o medimos la brecha exacta. Realizamos entrevistas con actores clave (CTO, Gerencia, RRHH, Producto) responsables de las esferas de control.
Consolidamos un reporte con porcentajes de cumplimiento general y seccionado. El nivel de severidad por brecha se expone en una matriz visual sobre las cláusulas. El informe final trae un resumen ejecutivo y un anexo técnico riguroso.
Entregamos un plan priorizado que cruza impacto certificatorio vs esfuerzo financiero/técnico de remediación. Qué hacer primero, qué esperar y sobre qué hay que definir prepuestos de gobierno. Este insumo es base fundamental para el proyecto real de implementación.
Documento formal con el resultado completo: porcentaje de cumplimiento normativo, listado de brechas clasificadas por severidad, nivel de madurez, y el resumen de gestión directiva.
Tabla interactiva mapeando controles del Anexo A indicando madurez base. Esta misma matriz se reciclará como núcleo de tu SOA (Statement of Applicability) cuando operes el SGSI oficial.
Plan de acción tabulado en tres frentes (Alta, Media, Baja prioridad) proyectando qué construir primero basado en impacto certíficador frente a costo de desarrollo local.
Slide deck resumido estructurado para conversar la aprobación de presupuestos o decisiones de ciberseguridad corporativa a niveles gerenciales, sin trabas de tecnicismos complejos.
Es una confusión muy frecuente entre ejecutivos. Ambos evalúan tu sistema de seguridad y ciber resiliencia general, pero en momentos cronológicos diferentes y con objetivos opuestos de la cadena de construcción:
Evalúa la brecha abstracta entre tu estado actual y lo que la norma hipotéticamente va a exigir. El resultado es un mapa de planos de ingeniería de lo que deberás construir en tu proyecto futuro de implementación de la certificación.
Verifica empíricamente que el SGSI ya instalado operativamente funciona según su propio dictamen legal como fue creado para certificarse. El resultado detecta desajustes finales y pulidos exigibles, probando eficacia operativa real.
Si tu organización ya tiene un SGSI implementado y necesita verificar si fue bien administrado, requieres auditoría de verificación.
¿Necesitas auditoría interna? → Ver servicioNo estás seguro del volumen de esfuerzo ni si tu empresa está en fase. El gap análisis te regala los datos para tomar esa decisión en el directorio, usando información de tu realidad concreta y no instinto.
Llega un requerimiento clave para cerrar negocio que exige fechas para obtener la certificación. Antes de comprometer los SLA ante grandes contratos (Banca/Enterprise) requieres saber en qué piso estás para proyectar el cronograma sin mentir.
El directorio exije saber cuánto valdrá la implementación del proyecto entero (tecnología, horas hombre y asesores logísticos). Sin datos tabulados y reales del diagnóstico de brechas, cualquier cotización carece de fundamento verídico.
La versión 2013 vence definitivamente en 2026. Si estás migrando y no eres consciente del peso que tendrán los 11 controles agregados (inteligencia de amenazas, filtración de la nube), este gap de migración es tu brújula mandatoria obligada de empalme.
No es un simple form digital o software frío sin criterio analítico. Ejecutamos entrevistas, revisamos actas corporativas con contexto de experto, verificando lo particular. El resultado calza con tus procesos internos, no con plantillas genéricas.
Diferencias entre 2013 y 2022 son radicales. Nuestras brechas no cometen el error obsoleto de centrarse en papeleo analógico. Somos minuciosos tasando cloud computing, configuraciones DLP e inteligencia de ciberamenaza digitalizada (OIV/CSIRT).
El informe aterriza al lenguaje financiero: Nivel de madurez frente a esfuerzo invertido frente a capital requerido. Las gerencias y CFO lo comprenden y los líderes técnicos no pierden detalles programáticos del roadmap logístico.
Si prosigues con nuestro servicio principal, tu roadmap de diagnóstico es directamente portado la semana uno como master-plan de la consultoría, minimizando retrabajos del cliente. Si contratas con otros asesores, es 100% transferible legalmente.
El gap análisis es el punto de partida real. En 1 a 3 semanas tienes el diagnóstico maestro con datos verídicos para ejecutar la decisión final. Evaluación independiente asegurada y sin compromiso para contratar servicios posteriores de diseño e implementación.
Roadmap priorizado de inversión según tamaño y madurez del rubro TI.