Resumen ejecutivo · TL;DR
Implantar ISO 27001 en una PYME española de 10-100 empleados cuesta entre 15.000 € y 50.000 € entre consultoría externa, formación, herramientas y honorarios del organismo certificador. El cronograma realista son 9-14 meses divididos en cinco fases: diagnóstico (1 mes), diseño (2 meses), implementación (5 meses), auditoría interna (1 mes) y certificación (1-2 meses). El error más caro es atacar la documentación antes de fijar el alcance: reescribir 40 procedimientos porque al final el alcance excluyó tres departamentos retrasa la certificación 4-6 meses.
En este artículo
- Por qué implantar ISO 27001 en una PYME
- Cronograma realista de 12 meses (fase a fase)
- Presupuesto real: dónde se va el dinero
- Errores frecuentes que retrasan la certificación
- Tres perfiles típicos de PYME española
- Recursos del Estado y vías de cofinanciación
- Métricas que el auditor mirará el primer día
- Preguntas frecuentes
Por qué implantar ISO 27001 en una PYME española en 2026
Hasta 2023 ISO 27001 era una norma asociada a grandes empresas con departamento de seguridad propio. Tres factores la han llevado en dos años al radar de la PYME española. El primero es la entrada en vigor del Esquema Nacional de Seguridad reformado por el Real Decreto 311/2022, que obliga a todas las empresas proveedoras de la Administración Pública a alinearse con un marco equivalente. ISO 27001 ofrece la correspondencia más limpia con el ENS y, salvo categoría ALTA, permite a la PYME reaprovechar el 80 % del trabajo entre ambos.
El segundo factor es la presión de la cadena de suministro. Bancos, aseguradoras, grandes integradores de tecnología y la propia Administración exigen ya en sus pliegos que el proveedor cuente con ISO 27001 o esté en proceso de certificación. Empresas que vendían sin problemas hasta 2024 se encuentran con cláusulas que las dejan fuera de licitaciones por no tener el certificado.
El tercero es la presión regulatoria europea. NIS2, DORA y el Reglamento de Inteligencia Artificial (Reglamento UE 2024/1689) incorporan obligaciones de seguridad de la información que un SGSI ISO 27001 ya tiene resueltas en gran medida. Implantarla no es solo certificarse: es construir el músculo de cumplimiento que las demás normas van a exigir en los próximos 24 meses.
La buena noticia: el coste y el plazo se han profesionalizado. Una PYME de 30 empleados en Castilla y León puede certificarse en 12 meses con un presupuesto de 20.000-30.000 € si trabaja con consultor externo experimentado y aprovecha las vías de cofinanciación que tenga a su alcance. Los tres perfiles que aparecen más abajo son composiciones a partir de la experiencia de proyectos que he acompañado desde 2022: no corresponden a ningún cliente concreto y se han anonimizado deliberadamente.
Cronograma realista de 12 meses (fase a fase)
El cronograma que sigue está calibrado para una PYME de 20-60 empleados, alcance único (una sede, infraestructura cloud principal en Microsoft 365 o Google Workspace y una o dos aplicaciones de negocio). Empresas con varias sedes o desarrollo de software propio deben añadir 2-4 meses extra.
Mes 1 · diagnóstico GAP y definición del alcance
El primer mes determina el éxito del proyecto. Se ejecuta un análisis GAP comparando la situación actual con los 93 controles del Anexo A de ISO 27001:2022. Se decide el alcance del SGSI: qué sedes, qué procesos, qué sistemas, qué datos. El alcance es la decisión más cara de revisar después: cambiar el alcance en el mes 8 implica reescribir el SoA, parte del análisis de riesgos y al menos 8-10 procedimientos.
Se designa formalmente el responsable de seguridad (CISO si lo hay, o responsable de IT con autoridad) y se constituye el comité de seguridad con representación de dirección, IT, RRHH y operaciones. Sin comité con autoridad real el proyecto descarrila.
Meses 2-3 · diseño del SGSI y políticas corporativas
Se redactan las políticas corporativas: política general de seguridad de la información, política de control de accesos, política de uso aceptable, política de continuidad de negocio, política de gestión de proveedores y política de clasificación de la información. No son seis documentos de 30 páginas: la PYME real necesita seis documentos de 4-6 páginas que la gente vaya a leer.
Cada política se aprueba formalmente por dirección con fecha, firma y número de versión. Se comunican al personal con acuse de recibo. Este acuse de recibo será una de las evidencias que el auditor pedirá el primer día de auditoría.
Mes 4 · análisis de riesgos con metodología MAGERIT
El análisis de riesgos es el corazón del SGSI. Se inventaría completamente: información (bases de datos de clientes, facturación, contratos, RRHH), software (ERP, CRM, herramientas SaaS), hardware (servidores, equipos de usuarios), servicios (cloud, conexión a internet, energía) y personas (responsables, claves del negocio).
Sobre cada activo se identifican amenazas (acceso no autorizado, ransomware, error humano, fallo eléctrico, fuga por proveedor) y vulnerabilidades (contraseñas débiles, falta de cifrado, ausencia de copias offline). Se valora el riesgo inherente combinando probabilidad e impacto en una matriz 5×5. Se eligen salvaguardas. Se calcula el riesgo residual.
Para una PYME de 30 empleados el análisis sale en 80-150 activos. Hacerlo bien lleva 3-4 semanas de trabajo concentrado. La herramienta PILAR del CCN-CERT es gratuita y suficiente para esta escala.
Meses 5-8 · implementación de controles
Es la fase más larga porque implica desplegar técnicamente los controles. Los bloques de trabajo típicos: gestión de identidades (catálogo de usuarios, MFA universal, revisión trimestral de privilegios), endurecimiento de endpoints (EDR, cifrado de disco completo, control de USB), gestión de incidentes (registro, clasificación, comunicación, lecciones aprendidas), gestión de proveedores (cláusulas contractuales de seguridad, inventario de SaaS, revisión anual), formación y concienciación (campañas trimestrales, simulacros de phishing, evidencia de asistencia), copias de seguridad probadas (regla 3-2-1 con prueba documentada de restauración) y continuidad de negocio (BIA, plan de contingencia, ejercicios anuales).
Mes 9 · auditoría interna
La auditoría interna es obligatoria antes de la externa y debe ejecutarla personal cualificado e independiente del SGSI. Una PYME pequeña suele contratarla externamente a otro consultor o a una bolsa de auditores internos. Sus hallazgos se documentan como no conformidades menores o mayores y se cierran con plan de acciones correctivas antes del mes 11.
Mes 10 · revisión por la dirección
Reunión formal de comité con dirección general. Se revisan: cambios del contexto, hallazgos de la auditoría interna, indicadores del SGSI, incidentes del año, eficacia de los controles, recursos necesarios y decisión de mejora. Se documenta acta firmada. Sin esta acta, no hay auditoría externa que valga.
Meses 11-12 · auditoría externa de certificación
La auditoría externa tiene dos fases. La fase 1 es documental: el auditor revisa políticas, alcance, SoA, análisis de riesgos, acta de revisión por dirección y plan de auditorías. Suele durar 1-2 días. La fase 2 es de implementación: el auditor visita la sede, entrevista al personal, audita controles concretos con muestreo. Para una PYME de 30 empleados suele durar 2-3 días.
El cierre de no conformidades menores debe completarse en 60-90 días. El certificado se emite tras ese cierre y tiene validez de 3 años con auditorías de seguimiento anuales.
Presupuesto realista: dónde se va el dinero
El desglose siguiente corresponde a una PYME de 30 empleados, una sede, alcance estándar. Las cifras son rangos de mercado 2026 verificados con proyectos cerrados en Castilla y León y zona centro.
| Partida | Mínimo | Máximo | Comentario |
|---|---|---|---|
| Consultoría externa de implantación | 9.000 € | 18.000 € | 50-100 horas de consultor senior. Cubre diseño SGSI, análisis de riesgos, SoA, formación interna. |
| Auditoría interna (consultor distinto) | 1.500 € | 3.000 € | Obligatoria y debe ser independiente. 2-3 días de auditor. |
| Auditoría externa de certificación (organismo) | 3.500 € | 6.500 € | AENOR, Bureau Veritas, SGS o LRQA. Incluye fase 1 + fase 2 + emisión. |
| Formación y concienciación (anual) | 900 € | 2.500 € | Plataforma de phishing y formación + 1 sesión presencial directivos. |
| Herramientas técnicas adicionales | 0 € | 8.000 € | Depende de si ya hay M365 E5. Gestor contraseñas corporativo, EDR si no incluido, herramienta GRC opcional. |
| Horas internas (coste imputado) | 3.000 € | 10.000 € | 200-400 horas de personal interno (responsable de seguridad + comité + técnicos). |
| TOTAL año 1 | 17.900 € | 48.000 € | Mediana real en PYME castellanoleonesa: 24.000 €. |
A partir del año 2 los costes recurrentes son menores: auditoría de seguimiento anual del organismo (1.800-3.000 €), formación (900-2.500 €) y horas internas de mantenimiento (100-200 horas). El año 4, en la renovación del ciclo, se vuelve a pagar la auditoría de certificación completa.
Los 10 errores que retrasan o tumban la certificación
De los proyectos que he acompañado y de los que conozco por colegas del sector, estos son los errores que aparecen una y otra vez. Conocerlos antes de empezar ahorra 3-6 meses de calendario.
1. Cerrar el alcance demasiado tarde
Empezar a redactar procedimientos en el mes 3 sin haber decidido si entra el departamento de RRHH o la sede de Valladolid. Cuando en el mes 7 se decide excluirlos, hay que reescribir 12 procedimientos.
2. Designar como responsable de seguridad a alguien sin autoridad
Nombrar al técnico de sistemas más voluntarioso pero sin capacidad de decir "no" a un comercial que quiere saltarse el alta de proveedor. Sin autoridad real, el SGSI es un dossier de papel.
3. Comprar herramientas antes de tener la política
Adquirir un GRC de 12.000 € en el mes 2 sin haber decidido qué se va a medir. Resultado: 8 meses parametrizando una herramienta que no encaja.
4. Hacer el análisis de riesgos en una semana
Resolver MAGERIT con una hoja de cálculo de 40 filas y valoraciones a ojo. El auditor lo detecta en 15 minutos: pedirá la justificación de cada valoración y no la habrá.
5. Política de proveedores sin inventario de SaaS
Redactar una política maravillosa sin haber inventariado los 35 SaaS que usa la empresa. El día de la auditoría el auditor pregunta por el contrato con Slack y nadie sabe dónde está.
6. Copias de seguridad sin prueba de restauración
Tener backups que nunca se han restaurado. El auditor pide la prueba documentada de la última restauración real. Si no existe, es no conformidad mayor.
7. Formación obligatoria sin evidencia de asistencia
Enviar un PDF por correo y dar por hecho que el personal lo ha leído. Sin acuse de recibo formal (firma o registro en plataforma), no hay evidencia. No conformidad menor casi automática.
8. Comité de seguridad que no se reúne
Constituir el comité en el mes 2 y no convocarlo hasta el mes 10. El auditor pide actas de las reuniones intermedias. No las hay. No conformidad mayor.
9. Revisión por la dirección como puro trámite
Acta de revisión de dirección de media página firmada el día anterior a la auditoría externa. El auditor pregunta a la directora general por dos decisiones del acta y la directora no las recuerda.
10. No probar los planes de continuidad
Tener un plan de contingencia precioso de 30 páginas que nunca se ha ejecutado ni siquiera como simulacro. El auditor pide el informe del último ejercicio. Si no existe, hallazgo mayor.
Tres perfiles típicos de PYME española
Insisto en lo dicho arriba: ninguno de estos perfiles es un cliente. Son composiciones anonimizadas, y por eso no vas a encontrar aquí el presupuesto cerrado de nadie; para el orden de magnitud está la tabla de la sección anterior. Lo que sí es real son los plazos, los obstáculos y las lecciones, que es lo que se repite proyecto tras proyecto.
Perfil A · bodega de Castilla y León, en torno a veinte empleados
Alcance limitado a procesos administrativos, ERP de gestión vitivinícola y plataforma de e-commerce. Motivación: la cláusula de un cliente importador extranjero que exige el certificado. Duración real: 11 meses. La consultoría de acompañamiento se planteó con cargo a un bono público de asesoramiento; la auditoría del organismo certificador se pagó íntegra con fondos propios, porque ese tipo de ayudas no la cubre. Certificado obtenido a la primera, con tres no conformidades menores cerradas en 45 días. Lección: el alcance estrecho y bien cerrado en el mes 1 es lo que permitió acabar por debajo de los 12 meses.
Perfil B · despacho profesional de tamaño medio, varias sedes
Alcance completo: gestión documental en la nube y expedientes confidenciales repartidos entre dos oficinas. Motivación: licitaciones a la Administración autonómica, donde el ENS exigía un marco equivalente. Duración real: 14 meses, cuatro más de lo previsto por la integración con el ENS de categoría MEDIA. Resultado: certificación ISO 27001 y certificación de conformidad con el ENS tramitadas en paralelo, reaprovechando el mismo inventario de activos y buena parte de los controles. Lección: hacer ENS e ISO 27001 a la vez alarga el calendario, pero sale mucho más barato que hacerlos con un año de diferencia.
Perfil C · industria auxiliar de automoción
Alcance: planta productiva, taller, oficinas técnicas y departamento comercial. Motivación: la presión de los fabricantes de automoción, que ya empiezan a exigir ISO 27001 a sus proveedores de nivel 2. Duración real: 13 meses, con desvío atribuible al despliegue de una solución EDR que no tenían. Certificado obtenido con cinco no conformidades menores. Lección: cuando falta una pieza técnica de base —EDR, MFA, copias probadas—, el proyecto no se retrasa por la norma, se retrasa por la infraestructura.
Recursos del Estado y vías de cofinanciación
Tres recursos públicos merecen una revisión antes de arrancar. Ninguno es automático: comprueba siempre en la sede electrónica correspondiente si hay convocatoria abierta en el momento en que vayas a solicitarlo.
Kit Consulting (Orden TDF/436/2024). Es el programa de bonos de asesoramiento digital, y una de sus categorías es precisamente la de ciberseguridad, que encaja bien con el diseño de un SGSI. Sus segmentos son A, B y C según el tamaño de la empresa, con importes máximos de 12.000 €, 18.000 € y 24.000 €: una PYME pequeña entra por el segmento A. Cuidado con el error que más veces he visto repetido en presupuestos y en artículos: los segmentos numerados (I, II, III) no son de Kit Consulting, sino del Kit Digital, que es un programa distinto. Kit Consulting no cubre los honorarios de la auditoría del organismo certificador.
Ayudas del CDTI a la transformación digital de la industria. Convocatoria recurrente con financiación a fondo perdido del 35 % para inversiones tecnológicas asociadas a planes de digitalización industrial. ISO 27001 entra como gasto elegible.
Programa CCN-CERT de soporte gratuito. Herramientas oficiales gratuitas: PILAR para análisis de riesgos, CLARA para verificación de hardening, ANA para análisis avanzado de incidentes, microCLOUD para gestión segura de pequeñas infraestructuras. Su uso es perfectamente válido como evidencia ante auditor ISO 27001 acreditado.
Si tu empresa también presta servicios al sector público, plantéate certificar simultáneamente el Esquema Nacional de Seguridad (ENS): comparte buena parte de los controles con ISO 27001 y una auditoría conjunta reduce el coste total.
Las métricas que el auditor mirará el primer día
Una PYME que llega a la auditoría externa con estos siete indicadores documentados y al día reduce a la mitad la probabilidad de no conformidades.
- Porcentaje de personal con formación de seguridad completada en los últimos 12 meses (objetivo: 100 %).
- Número de incidentes de seguridad registrados, clasificados y cerrados.
- Tiempo medio de respuesta (MTTR) a incidentes desde detección hasta cierre.
- Porcentaje de cuentas privilegiadas revisadas en el último trimestre.
- Resultado del último ejercicio de restauración de copia de seguridad (fecha + RPO/RTO observados).
- Número de proveedores críticos revisados frente al inventario total.
- Acta firmada de la última revisión por dirección con compromisos y plazos.
Diferencias clave entre ISO 27001:2013 y la versión 2022 para tu implantación
Si te ofrecen consultoría que aún piensa en clave 2013, sal corriendo. La revisión 2022 reorganizó el Anexo A en cuatro categorías (organizacionales, personas, físicos, tecnológicos) y redujo el número total de controles de 114 a 93 fusionando duplicidades. Aparecen 11 controles nuevos relevantes: inteligencia de amenazas, seguridad en el uso de servicios cloud, preparación TIC para continuidad, seguridad física monitorizada, gestión de la configuración, eliminación de información, enmascaramiento de datos, prevención de fuga de datos, monitorización de actividades, filtrado web y codificación segura.
Tres de estos controles nuevos son los que más impacto operativo tienen en una PYME. Inteligencia de amenazas (A.5.7) obliga a tener al menos suscripción a un feed gratuito (INCIBE-CERT, CCN-CERT) y un procedimiento de incorporación de inteligencia a las decisiones de seguridad. Seguridad de servicios cloud (A.5.23) exige inventario de SaaS, evaluación de riesgos del proveedor y contrato con cláusulas concretas. Prevención de fuga de datos (A.8.12) requiere medidas técnicas (DLP, restricciones de USB, control de envío masivo) o medidas compensatorias documentadas.
La buena noticia para la PYME que arranca ahora: la 2022 está pensada para encajar mejor con cloud, MFA y trabajo remoto, que ya son la realidad operativa. La consultoría que solo conoce la 2013 generará procedimientos anclados a una era pre-cloud y te tocará reescribirlos antes de la siguiente recertificación.
Cómo definir el alcance correctamente desde el mes 1
El alcance del SGSI es la decisión técnica más cara de revisar. Tres preguntas guiadas ayudan a fijarlo bien desde el primer día.
Primera pregunta: ¿qué activo de información quieres proteger formalmente con certificado? El alcance se construye hacia atrás desde aquí. Si el activo crítico es el ERP de gestión, el alcance incluye la infraestructura que soporta ese ERP, las personas que lo administran y los procesos de negocio que lo usan. No tiene que incluir el equipo de marketing si no tocan el ERP.
Segunda pregunta: ¿qué fronteras tiene tu empresa que el auditor tendrá que reconocer? Sedes físicas, equipos remotos, proveedores en el perímetro, plataformas cloud externalizadas. El alcance debe nombrarlas explícitamente o quedan fuera. Un alcance que dice "los servicios TI" sin más es un alcance que el auditor te hará reescribir en la fase 1.
Tercera pregunta: ¿qué información NO va a estar dentro? Saber qué excluyes es tan importante como saber qué incluyes. Una declaración explícita de exclusiones (con justificación) evita que el auditor presuma que algo entra cuando no debía.
El formato típico del alcance en la declaración pública es de 3-6 líneas. Ejemplo de bodega DO Ribera del Duero: "El SGSI cubre los procesos de gestión administrativa, vitivinicultura digital y comercio electrónico de Bodega X SL en su sede de Aranda de Duero, incluyendo el ERP sectorial Vitivin Pro, la plataforma de e-commerce Shopify y los servicios de Microsoft 365 corporativos. Quedan fuera del alcance los procesos de viñedo no digitalizados y los servicios de turismo enológico, que se gestionan bajo manuales separados".
Kit de arranque: 12 documentos que ya tienes que tener al cierre del mes 3
Si llegas al cierre del trimestre con estos 12 documentos firmados y archivados, vas en buen ritmo para certificar en mes 12.
- Política general de seguridad de la información (4-6 páginas).
- Política de control de accesos (3-4 páginas).
- Política de uso aceptable de TI (2-3 páginas, dirigida a usuario final).
- Política de clasificación de la información (3-4 páginas).
- Política de gestión de proveedores (3-4 páginas).
- Política de continuidad de negocio (4-5 páginas).
- Procedimiento de gestión de incidentes (5-6 páginas + plantilla de registro).
- Procedimiento de alta y baja de usuarios (3-4 páginas + plantilla).
- Procedimiento de gestión de cambios (3-4 páginas + plantilla de RFC).
- Procedimiento de copias de seguridad y restauración (4-5 páginas + registro de pruebas).
- Acta de designación del responsable de seguridad firmada por dirección.
- Acta constitutiva del comité de seguridad con composición y periodicidad.
No hace falta inventar plantillas: el CCN-CERT publica sus guías 800 con ejemplos reutilizables y el INCIBE tiene plantillas adaptadas a PYME. Personalizar plantilla buena es 4-6 veces más rápido que escribir desde cero.
Balance final: ISO 27001 en 2026 como ventaja competitiva
Hace doce meses una PYME podía competir en muchas licitaciones públicas y privadas sin ISO 27001. En doce meses será muy raro hacerlo. La presión combinada del nuevo ENS, NIS2, DORA y las exigencias de cadena de suministro ha comprimido el plazo en el que el certificado se convierte en un coste normal de hacer negocio en España. Las empresas que se anticipen cerrarán 2026 con certificado en mano y lo descontarán de su oferta comercial; las que lo retrasen descubrirán en el segundo semestre que han perdido tres licitaciones por no tenerlo.
Las cifras de este artículo confirman que el proyecto es alcanzable: entre 18.000 y 30.000 € en el escenario habitual de una PYME de 20-50 empleados, 12 meses de calendario con ejecución disciplinada y un resultado que se convierte directamente en diferenciación comercial. La lógica económica favorece la inversión: una sola licitación ganada de 60.000-150.000 € amortiza la certificación en el primer año de contrato.
La recomendación es no arrancar sin hoja de ruta clara: los meses perdidos vienen de la improvisación, no de la norma en sí. Tres semanas de planificación con consultor senior antes de firmar la primera factura evitan los errores más caros. A partir de ahí, el proyecto es metódico: alcance, política, riesgos, controles, auditoría interna, revisión por dirección, auditoría externa. Doce meses. Presupuesto razonable. Ventaja tangible.
Autor: Ángel Ortega Castro · consultor independiente en estrategia, cumplimiento y digitalización para PYMEs españolas y administraciones públicas. Aranda de Duero (Burgos) · Castilla y León.