Consideramos la auditoría como una herramienta de gestión, no meramente un ejercicio de cumplimiento. Nuestras auditorías se llevan a cabo para mejorar la toma de decisiones, fortalecer la postura de seguridad y aumentar la madurez organizativa, no para producir informes por el mero hecho de producirlos.
En consonancia con la norma ISO/IEC 2700x y el marco E-ITS de Estonia, evaluamos cómo se diseñan, implementan y gestionan realmente los controles en las operaciones diarias. La atención se centra en la eficacia y la rendición de cuentas: qué funciona, qué no y dónde se acepta implícitamente el riesgo.
El resultado es una visión clara y práctica para el liderazgo, que proporciona una visión defendible del estado actual, vías de remediación priorizadas y una hoja de ruta realista hacia el cumplimiento sostenido y la resiliencia operativa.
Una evaluación de alcance limitado (por ejemplo, con respecto a ISO 27001) centrada en un sistema, servicio o conjunto de documentos específico. Esto también incluye auditorías de control específicas dentro de un dominio definido, como la gestión de riesgos, el control de acceso, la seguridad física o la gestión de proveedores.
Realizada de acuerdo con los requisitos completos de la norma o el marco de auditoría aplicable.
Pre-auditoría E-ITS (opcional) – Una evaluación de la preparación de la organización para someterse a la auditoría principal, incluida la identificación de las carencias iniciales y las mejoras recomendadas.
Auditoría principal E-ITS – Una auditoría exhaustiva que evalúa las prácticas de gestión de la seguridad de la información de la organización con respecto a los requisitos de la Norma de Seguridad de la Información de Estonia (E ITS). La auditoría principal da como resultado una evaluación del nivel de conformidad.
Auditoría de seguimiento E-ITS (opcional) – Se lleva a cabo cuando la auditoría principal identifica no conformidades y la organización busca la confirmación de que se han abordado adecuadamente.
Auditorías periódicas E-ITS – Auditorías recurrentes o programadas que se realizan para verificar la conformidad continua y para evaluar el impacto de los cambios sistémicos dentro de la organización.
Auditoría interna ISO 27001 – La auditoría anual realizada de acuerdo con la cláusula 9.2 de la norma.
Pre-auditoría ISO 27001 (Evaluación de la preparación) – Una evaluación de la preparación de la organización para la certificación formal, incluida la identificación de las carencias y las necesidades de mejora.
Auditoría de seguimiento ISO 27001 – Una revisión para verificar la resolución de las no conformidades identificadas y la implementación de las acciones correctivas.
Auditoría de gestión de riesgos ISO 27005 – Evalúa si los procesos de gestión de riesgos, la metodología y el registro de riesgos de la organización se ajustan a los requisitos de ISO/IEC 27005. Adecuada tanto como auditoría independiente como parte de una auditoría ISO 27001 o E-ITS. Proporciona una evaluación de la madurez y la eficacia del proceso de gestión de riesgos con respecto a las mejores prácticas.
Evaluación de la madurez del SGSI – Una evaluación del nivel de madurez del Sistema de Gestión de la Seguridad de la Información, basada en un modelo de estilo CMMI o en un marco de madurez alineado con E-ITS.
Auditoría combinada (E-ITS + ISO 27001) – Una evaluación unificada que cubre ambas normas dentro de un único proceso de auditoría.
Sesión de formación o consultoría – Un formato híbrido que combina elementos de una auditoría y un taller, donde los hallazgos se presentan junto con recomendaciones prácticas de mejora.
Auditoría oficial de certificación ISO 27001 (Solo los organismos de certificación acreditados, como Bureau Veritas, DNV, TÜV, pueden realizar auditorías de certificación).
Auditorías ISO 9001 / ISO 14001 / ISO 22301 (Solo realizamos auditorías relacionadas con la seguridad de la información y el SGSI; estas normas están fuera de nuestro alcance de auditoría).
Pruebas de penetración o evaluaciones técnicas de vulnerabilidad (Disponibles solo a través de un socio y bajo un acuerdo separado).
