Servicios

Tres servicios. Es lo que hacemos bien. Si necesita algo distinto, se lo decimos y le orientamos hacia un proveedor adecuado.

---

vCISO · Dirección de seguridad como servicio

Para quién. Empresas de 30 a 500 empleados que no necesitan un CISO a tiempo completo pero sí necesitan a alguien que tome decisiones de seguridad con criterio, no un técnico que reacciona a incidencias.

Qué incluye. Un profesional senior asignado a su cuenta durante un número de horas mensuales acordado. Define la estrategia de seguridad, prioriza inversiones, asiste a comité de dirección cuando aplica, dirige a su equipo técnico interno o a proveedores externos, y le representa frente a auditores, aseguradoras y clientes.

Cómo trabajamos. Tras el diagnóstico inicial, fijamos un plan trimestral con tres a cinco objetivos medibles. Revisión mensual con dirección, revisión técnica semanal con su equipo, informe trimestral con métricas. Sin presencia obligatoria en oficina si no aporta valor.

Compromiso. Mínimo trimestral, sin penalización por salida tras el primer trimestre. No cobramos por horas no consumidas.

Entregable mensual. Acta de prioridades, registro de decisiones tomadas, informe de riesgos vivos y plan del mes siguiente.

Quién lo presta. Ingeniero senior con más de diez años en seguridad operativa y experiencia previa como CISO interno o consultor de dirección.

---

ISO/IEC 42001 · Certificación de gestión de IA responsable

Para quién. Organizaciones que despliegan sistemas de IA propios o de terceros y necesitan demostrar que la gestión es responsable: clientes corporativos lo piden, reguladores lo van a pedir, y el Reglamento Europeo de IA lo refuerza.

Qué es ISO/IEC 42001. Norma internacional publicada en 2023 que define los requisitos para un sistema de gestión de IA. Cubre gobernanza, gestión de riesgos, ciclo de vida del modelo, supervisión humana, sesgos, trazabilidad y mejora continua.

Qué incluye nuestro acompañamiento.

1. Análisis de brechas frente a la norma · una a dos semanas según tamaño.

2. Diseño del sistema de gestión documental adaptado a su organización.

3. Implantación de controles, procedimientos y registros.

4. Formación al equipo responsable y al comité de IA.

5. Preauditoría interna y acompañamiento durante la auditoría externa de certificación.

Lo que no hacemos. No certificamos nosotros. La certificación la emite una entidad acreditada independiente. Nosotros le preparamos para que la pase a la primera.

Plazo típico. De cuatro a nueve meses según punto de partida y nivel de madurez del gobierno de datos existente.

---

OSINT Audit · Auditoría de exposición pública

Para quién. Cualquier organización con presencia digital significativa, equipos directivos visibles, o exposición a ingeniería social. Particularmente útil tras una fusión, antes de una salida pública relevante, o tras un incidente que sugiera filtración.

Qué hacemos. Recopilamos, de fuentes abiertas y legítimas exclusivamente, toda la información que un atacante con motivación moderada podría obtener sobre su organización en una semana de trabajo: dominios y subdominios, infraestructura expuesta, credenciales filtradas en brechas públicas, información personal del equipo directivo, presencia en foros y redes, y huellas de proveedores.

Lo que no hacemos. No accedemos a sistemas, no probamos vulnerabilidades sin autorización, no contactamos a empleados con pretextos. OSINT es estrictamente pasivo y legal.

Entregable.

• Informe ejecutivo de 12-20 páginas.
• Listado priorizado de hallazgos por nivel de criticidad.
• Plan de mitigación con acciones concretas, responsables sugeridos y orden de ejecución.
• Sesión de presentación a dirección y equipo técnico.

Plazo. Diez días laborables desde firma de contrato y autorización para inicio.

Repetibilidad. Recomendamos repetir la auditoría OSINT cada doce meses, o tras cambios organizativos significativos.

---

¿Cómo empezar?

El primer paso siempre es el diagnóstico inicial. Una semana. Sin coste si finalmente decidimos no trabajar juntos. Le respondemos con el nombre y apellido del ingeniero que lo llevaría antes de cualquier compromiso.

Escríbanos a [email protected].