Plan Director de Seguridad de la Información

Antes de la tecnología,
está el criterio.

Diagnóstico 360º de tu seguridad, hoja de ruta priorizada y presentación ejecutiva a la dirección. 16 dominios, más de 200 controles, 12 semanas desde el kick-off.

Ver metodología →

12 semanas · 3 entregables formales · Sin alarmismo

Resultados demostrados
60%
Reducción del MTTD en organizaciones con PDSI implantado
45%
Reducción del coste medio de incidentes (Ponemon 2024)
16
Dominios evaluados con más de 200 controles específicos
12w
Desde el kick-off hasta la presentación ejecutiva

¿Por qué un Plan Director de Seguridad?

La seguridad planificada genera confianza.
La impulsiva, costes.

Visibilidad y control

Entender dónde están los activos críticos, qué riesgos se asumen y cómo protegerlos. Sin visibilidad no hay gestión posible; sin gestión no hay control real ni demostrable.

Optimización de inversiones

Cada euro invertido conectado con una reducción de riesgo medible y justificable ante la dirección y el CFO. Sin proyectos dispersos sin contexto.

Confianza de stakeholders

Clientes, inversores, aseguradoras y socios valoran la madurez demostrable. El PDSI es cada vez más exigido en licitaciones, due diligences y contratos con grandes cuentas.

Cumplimiento normativo

NIS2, AI Act, DORA, ENS exigen planes de acción documentados y verificables. El PDSI proporciona la hoja de ruta para cumplir con confianza y demostrar diligencia ante reguladores.

Reducción de impacto

Las organizaciones con PDSI implantado reducen un 60% el tiempo de detección y un 45% el coste medio de los incidentes. No es opinión — son datos del sector.

Mejora continua

El PDSI no es un documento puntual: es el punto de partida de un ciclo de mejora ordenada, medible y alineada con el negocio. La base para el servicio vCISO.

Metodología

Evidencia primero, interpretación después

Ninguna recomendación puede ser válida si no está anclada en evidencias objetivas. Seis líneas de trabajo integradas a lo largo de las 12 semanas.

01
Entrevistas estructuradas y revisión documental

16 sesiones de 60-90 min con los responsables de cada dominio. Políticas, procesos, contratos, auditorías previas. Distinguimos entre lo que existe en papel y lo que opera en la práctica.

02
Pruebas técnicas no intrusivas

Revisiones de configuración de Active Directory, firewalls, consolas cloud. Análisis de superficie de exposición externa (ASM). Hallazgos correlacionados directamente con riesgos identificados.

03
Análisis de cultura de seguridad

Encuesta anónima (20-30 preguntas) y entrevistas con dirección, mandos intermedios y usuarios. El factor humano es el vector más frecuente y el menos evaluado en los diagnósticos tradicionales.

04
Apreciación del riesgo (MAGERIT / ISO 31000)

Identificación y valoración de activos críticos. Cálculo de riesgo inherente y residual. Mapa de calor 5×5 con clasificación en cuatro niveles: crítico, alto, medio y bajo.

05
Diagnóstico de madurez (escala 0-5)

Evaluación del nivel real de implantación de controles en los 16 dominios. Alineada con CMMI, ISO 27001 y NIST CSF. Perfil de gaps priorizado por dominio.

06
Plan de acción priorizado por impacto

Cartera de proyectos priorizada por impacto en reducción de riesgo, esfuerzo estimado y dependencias. Fichas de proyecto, roadmap de 12 meses y métricas de seguimiento.

Alcance del diagnóstico

16 dominios · Más de 200 controles evaluados

El PDSI analiza de forma integral las áreas que sostienen la seguridad de la información. Cada dominio incluye una descripción operativa, los controles asociados y el nivel de madurez objetivo en escala 0–5.

D.01
ISO 27001 · NIS2
Gobierno de la seguridad

Política de seguridad, roles RACI, comité de seguridad, revisiones de dirección y métricas de gobierno.

D.02
ISO 27001 · RGPD
Protección de la información

Clasificación, etiquetado, cifrado en reposo/tránsito, DLP y gestión del ciclo de vida de la información.

D.03
ISO 27001
Seguridad de RR. HH.

Verificación de antecedentes, cláusulas contractuales, formación anual, concienciación y offboarding seguro.

D.04
ISO 27001 · ENS
Gestión de activos

Inventario completo de activos TI e información, asignación de propietarios, clasificación por criticidad y ciclo de vida.

D.05
NIS2 · ENS
Sistemas y redes

Arquitectura segura, segmentación de red, firewalls, VPN, monitorización de red y enfoque zero-trust.

D.06
ISO 27001
Aplicaciones y desarrollo

SDLC seguro, análisis de código SAST/DAST, gestión de APIs, SCA y pentesting de aplicaciones.

D.07
CIS · ENS
Bastionado y configuraciones

CIS Benchmarks para SO y cloud, gestión de cambios de configuración, detección de desviaciones (CSPM).

D.08
ISO 27001 · DORA
Identidades y accesos

IAM, MFA, privileged access management (PAM), accesos de terceros, revisión periódica y mínimo privilegio.

D.09
NIS2 · ISO 27001
Amenazas y vulnerabilidades

Gestión de parches con SLAs, escaneo periódico, threat intelligence, análisis de composición de software.

D.10
NIS2 · DORA
Eventos de seguridad

SIEM, centralización de logs, correlación, casos de uso de detección y gestión del ciclo de vida de incidentes.

D.11
ISO 22301 · DORA
Continuidad

BCP/DRP, análisis de impacto de negocio (BIA), definición de RTO/RPO, pruebas de restauración y simulacros.

D.12
ISO 27001 · ENS
Seguridad física

Control de acceso físico a instalaciones y CPDs, videovigilancia, gestión de visitantes y equipos fuera de sede.

D.13
NIS2 · DORA
Proveedores y suministro

Due diligence de proveedores TIC, cláusulas de seguridad en contratos, SBOMs y gestión de incidentes con terceros.

D.14
Multi-marco
Cumplimiento

RGPD/LOPDGDD, NIS2, ENS, AI Act, normativa sectorial, auditorías internas y externas y declaraciones de conformidad.

D.15
ISO 27001
Garantía e indicadores

KPIs de seguridad, cuadro de mando ejecutivo, revisiones periódicas de dirección e informes de mejora continua.

D.16
AI Act
Uso de la IA

Política de uso aceptable de IA, gestión de riesgos de IA generativa, shadow AI y AI Act compliance.

Entregables

Tres entregables formales. Sin informes genéricos.

E1 · Semana 9
Análisis de estado

Informe de madurez por dominio, mapa de calor de riesgos y top riesgos con activos afectados y recomendaciones de tratamiento.

Madurez por dominio (escala 0-5)
Mapa de calor de riesgos 5×5
Evaluación de cultura de seguridad
Sesión de revisión con el equipo técnico
E2 · Semana 11
Plan Director (PDSI)

18 fichas de proyecto, roadmap de 12 meses, estimación de esfuerzo y alineación con todos los marcos normativos aplicables.

18 fichas de proyecto priorizadas
Roadmap de 12 meses
PDF + Excel de gestión de cartera
Alineación ISO 27001, NIS2, ENS, DORA
E3 · Semana 12
Presentación ejecutiva

Sesión presencial o por videoconferencia con la Alta Dirección: riesgos en términos de negocio y hoja de ruta de inversión.

Resumen para el comité o consejo
Riesgo expresado en impacto económico
Hoja de ruta de inversión priorizada
Acta de cierre formal del proyecto

Framework normativo

Un marco integrado. Sin duplicidad de esfuerzos.

Integramos todos los requisitos aplicables en un único modelo de controles. No gestionamos marcos por separado.

ISO 27001

93 controles en 4 categorías. Base principal del PDSI y referencia para la certificación del SGSI. Versión 2022.

NIS2

Obligatoria para entidades esenciales e importantes. Gestión de riesgos, notificación de incidentes en 24h y seguridad de la cadena de suministro.

ENS

Marco obligatorio para el sector público español y sus proveedores. Creciente exigencia en licitaciones públicas.

DORA

Resiliencia digital para el sector financiero. Pruebas TLPT, gestión de TIC de terceros y reporting al supervisor. Vigente desde enero 2025.

AI Act

Primer marco global de IA. Clasificación por nivel de riesgo, requisitos de gobernanza y transparencia. Aplicación progresiva 2024-2027.

RGPD / LOPDGDD

Medidas técnicas y organizativas proporcionales al riesgo. Fundamento del DLP, clasificación y cifrado de información.

Preguntas frecuentes

Lo que los directivos preguntan sobre el Plan Director

¿En qué se diferencia el PDSI de kritero de un informe de auditoría?+
Una auditoría evalúa el cumplimiento respecto a un estándar en un momento concreto. El PDSI de kritero va más allá: combina diagnóstico técnico, análisis de cultura, apreciación del riesgo y plan de acción ejecutable. El resultado es una hoja de ruta que conecta cada inversión con una reducción de riesgo medible.
¿Qué tamaño de organización necesita un Plan Director de Seguridad?+
Cualquier organización que tenga activos críticos, obligaciones regulatorias o clientes que exigen madurez demostrable. En la práctica, lo vemos con más frecuencia en empresas de entre 50 y 2.000 empleados, aunque hemos trabajado con organizaciones más pequeñas con alta exposición regulatoria y más grandes que necesitaban ordenar una situación compleja.
¿Tenemos que tener el equipo disponible durante las 12 semanas?+
No de forma intensiva. Las fases de trabajo conjunto se concentran en las primeras 8 semanas: 16 entrevistas de 60-90 minutos con los responsables de cada dominio, una encuesta de cultura y acceso a sistemas para las pruebas técnicas. A partir de la semana 8, el equipo de kritero trabaja de forma autónoma hasta los entregables finales.
¿El PDSI nos prepara directamente para una certificación ISO 27001?+
El PDSI es la base ideal para una certificación ISO 27001. El diagnóstico de madurez utiliza los 93 controles de la norma, y el plan de acción incluye los proyectos necesarios para alcanzar el nivel de implantación requerido. La certificación formal requiere un proceso adicional con un organismo de certificación acreditado, pero el PDSI os lleva hasta ese punto.
¿Qué pasa después del PDSI?+
El PDSI es el punto de partida, no el destino. La mayoría de organizaciones que completan el PDSI continúan con el servicio vCISO de kritero, que garantiza la ejecución del plan, el seguimiento de métricas y la evolución continua de la postura de seguridad. El paso natural del diagnóstico a la gestión continua.

El siguiente paso

¿Sabes realmente cuál es tu nivel de exposición?
Nosotros podemos medirlo.

Una conversación de 45 minutos para entender tu contexto, evaluar si el PDSI encaja con tu momento y definir un alcance a medida. Sin coste, sin compromiso.

info@kritero.io