Resumen ejecutivo · TL;DR

Implantar ISO 27001 en una PYME española de 10-100 empleados cuesta entre 15.000 € y 50.000 € entre consultoría externa, formación, herramientas y honorarios del organismo certificador. El cronograma realista son 9-14 meses divididos en cinco fases: diagnóstico (1 mes), diseño (2 meses), implementación (5 meses), auditoría interna (1 mes) y certificación (1-2 meses). El error más caro es atacar la documentación antes de fijar el alcance: reescribir 40 procedimientos porque al final el alcance excluyó tres departamentos retrasa la certificación 4-6 meses.

En este artículo
  1. Por qué implantar ISO 27001 en una PYME
  2. Cronograma realista de 12 meses (fase a fase)
  3. Presupuesto real: dónde se va el dinero
  4. Errores frecuentes que retrasan la certificación
  5. Casos típicos en PYME española (3 perfiles)
  6. Recursos del Estado y subvenciones aplicables
  7. Métricas que el auditor mirará el primer día
  8. Preguntas frecuentes

Por qué implantar ISO 27001 en una PYME española en 2026

Hasta 2023 ISO 27001 era una norma asociada a grandes empresas con departamento de seguridad propio. Tres factores la han llevado en dos años al radar de la PYME española. El primero es la entrada en vigor del Esquema Nacional de Seguridad reformado por el Real Decreto 311/2022, que obliga a todas las empresas proveedoras de la Administración Pública a alinearse con un marco equivalente. ISO 27001 ofrece la correspondencia más limpia con el ENS y, salvo categoría ALTA, permite a la PYME reaprovechar el 80 % del trabajo entre ambos.

El segundo factor es la presión de la cadena de suministro. Bancos, aseguradoras, grandes integradores de tecnología y la propia Administración exigen ya en sus pliegos que el proveedor cuente con ISO 27001 o esté en proceso de certificación. Empresas que vendían sin problemas hasta 2024 se encuentran con cláusulas que las dejan fuera de licitaciones por no tener el certificado.

El tercero es la presión regulatoria europea. NIS2, DORA y el Reglamento de Inteligencia Artificial (Reglamento UE 2024/1689) incorporan obligaciones de seguridad de la información que un SGSI ISO 27001 ya tiene resueltas en gran medida. Implantarla no es solo certificarse: es construir el músculo de cumplimiento que las demás normas van a exigir en los próximos 24 meses.

La buena noticia: el coste y el plazo se han profesionalizado. Una PYME de 30 empleados en Castilla y León puede certificarse en 12 meses con un presupuesto de 20.000-30.000 € si trabaja con consultor externo experimentado y aplica subvenciones disponibles. Las cifras de este artículo proceden de proyectos reales en bodegas DO Ribera del Duero, despachos profesionales y pymes industriales que he acompañado desde 2022.

Cronograma realista de 12 meses (fase a fase)

El cronograma que sigue está calibrado para una PYME de 20-60 empleados, alcance único (una sede, infraestructura cloud principal en Microsoft 365 o Google Workspace y una o dos aplicaciones de negocio). Empresas con varias sedes o desarrollo de software propio deben añadir 2-4 meses extra.

Mes 1 · diagnóstico GAP y definición del alcance

El primer mes determina el éxito del proyecto. Se ejecuta un análisis GAP comparando la situación actual con los 93 controles del Anexo A de ISO 27001:2022. Se decide el alcance del SGSI: qué sedes, qué procesos, qué sistemas, qué datos. El alcance es la decisión más cara de revisar después: cambiar el alcance en el mes 8 implica reescribir el SoA, parte del análisis de riesgos y al menos 8-10 procedimientos.

Se designa formalmente el responsable de seguridad (CISO si lo hay, o responsable de IT con autoridad) y se constituye el comité de seguridad con representación de dirección, IT, RRHH y operaciones. Sin comité con autoridad real el proyecto descarrila.

Meses 2-3 · diseño del SGSI y políticas corporativas

Se redactan las políticas corporativas: política general de seguridad de la información, política de control de accesos, política de uso aceptable, política de continuidad de negocio, política de gestión de proveedores y política de clasificación de la información. No son seis documentos de 30 páginas: la PYME real necesita seis documentos de 4-6 páginas que la gente vaya a leer.

Cada política se aprueba formalmente por dirección con fecha, firma y número de versión. Se comunican al personal con acuse de recibo. Este acuse de recibo será una de las evidencias que el auditor pedirá el primer día de auditoría.

Mes 4 · análisis de riesgos con metodología MAGERIT

El análisis de riesgos es el corazón del SGSI. Se inventaría completamente: información (bases de datos de clientes, facturación, contratos, RRHH), software (ERP, CRM, herramientas SaaS), hardware (servidores, equipos de usuarios), servicios (cloud, conexión a internet, energía) y personas (responsables, claves del negocio).

Sobre cada activo se identifican amenazas (acceso no autorizado, ransomware, error humano, fallo eléctrico, fuga por proveedor) y vulnerabilidades (contraseñas débiles, falta de cifrado, ausencia de copias offline). Se valora el riesgo inherente combinando probabilidad e impacto en una matriz 5×5. Se eligen salvaguardas. Se calcula el riesgo residual.

Para una PYME de 30 empleados el análisis sale en 80-150 activos. Hacerlo bien lleva 3-4 semanas de trabajo concentrado. La herramienta PILAR del CCN-CERT es gratuita y suficiente para esta escala.

Meses 5-8 · implementación de controles

Es la fase más larga porque implica desplegar técnicamente los controles. Los bloques de trabajo típicos: gestión de identidades (catálogo de usuarios, MFA universal, revisión trimestral de privilegios), endurecimiento de endpoints (EDR, cifrado de disco completo, control de USB), gestión de incidentes (registro, clasificación, comunicación, lecciones aprendidas), gestión de proveedores (cláusulas contractuales de seguridad, inventario de SaaS, revisión anual), formación y concienciación (campañas trimestrales, simulacros de phishing, evidencia de asistencia), copias de seguridad probadas (regla 3-2-1 con prueba documentada de restauración) y continuidad de negocio (BIA, plan de contingencia, ejercicios anuales).

Mes 9 · auditoría interna

La auditoría interna es obligatoria antes de la externa y debe ejecutarla personal cualificado e independiente del SGSI. Una PYME pequeña suele contratarla externamente a otro consultor o a una bolsa de auditores internos. Sus hallazgos se documentan como no conformidades menores o mayores y se cierran con plan de acciones correctivas antes del mes 11.

Mes 10 · revisión por la dirección

Reunión formal de comité con dirección general. Se revisan: cambios del contexto, hallazgos de la auditoría interna, indicadores del SGSI, incidentes del año, eficacia de los controles, recursos necesarios y decisión de mejora. Se documenta acta firmada. Sin esta acta, no hay auditoría externa que valga.

Meses 11-12 · auditoría externa de certificación

La auditoría externa tiene dos fases. La fase 1 es documental: el auditor revisa políticas, alcance, SoA, análisis de riesgos, acta de revisión por dirección y plan de auditorías. Suele durar 1-2 días. La fase 2 es de implementación: el auditor visita la sede, entrevista al personal, audita controles concretos con muestreo. Para una PYME de 30 empleados suele durar 2-3 días.

El cierre de no conformidades menores debe completarse en 60-90 días. El certificado se emite tras ese cierre y tiene validez de 3 años con auditorías de seguimiento anuales.

Presupuesto realista: dónde se va el dinero

El desglose siguiente corresponde a una PYME de 30 empleados, una sede, alcance estándar. Las cifras son rangos de mercado 2026 verificados con proyectos cerrados en Castilla y León y zona centro.

PartidaMínimoMáximoComentario
Consultoría externa de implantación9.000 €18.000 €50-100 horas de consultor senior. Cubre diseño SGSI, análisis de riesgos, SoA, formación interna.
Auditoría interna (consultor distinto)1.500 €3.000 €Obligatoria y debe ser independiente. 2-3 días de auditor.
Auditoría externa de certificación (organismo)3.500 €6.500 €AENOR, Bureau Veritas, SGS o LRQA. Incluye fase 1 + fase 2 + emisión.
Formación y concienciación (anual)900 €2.500 €Plataforma de phishing y formación + 1 sesión presencial directivos.
Herramientas técnicas adicionales0 €8.000 €Depende de si ya hay M365 E5. Gestor contraseñas corporativo, EDR si no incluido, herramienta GRC opcional.
Horas internas (coste imputado)3.000 €10.000 €200-400 horas de personal interno (responsable de seguridad + comité + técnicos).
TOTAL año 117.900 €48.000 €Mediana real en PYME castellanoleonesa: 24.000 €.

A partir del año 2 los costes recurrentes son menores: auditoría de seguimiento anual del organismo (1.800-3.000 €), formación (900-2.500 €) y horas internas de mantenimiento (100-200 horas). El año 4, en la renovación del ciclo, se vuelve a pagar la auditoría de certificación completa.

Los 10 errores que retrasan o tumban la certificación

De los proyectos que he acompañado y de los que conozco por colegas del sector, estos son los errores que aparecen una y otra vez. Conocerlos antes de empezar ahorra 3-6 meses de calendario.

1. Cerrar el alcance demasiado tarde

Empezar a redactar procedimientos en el mes 3 sin haber decidido si entra el departamento de RRHH o la sede de Valladolid. Cuando en el mes 7 se decide excluirlos, hay que reescribir 12 procedimientos.

2. Designar como responsable de seguridad a alguien sin autoridad

Nombrar al técnico de sistemas más voluntarioso pero sin capacidad de decir "no" a un comercial que quiere saltarse el alta de proveedor. Sin autoridad real, el SGSI es un dossier de papel.

3. Comprar herramientas antes de tener la política

Adquirir un GRC de 12.000 € en el mes 2 sin haber decidido qué se va a medir. Resultado: 8 meses parametrizando una herramienta que no encaja.

4. Hacer el análisis de riesgos en una semana

Resolver MAGERIT con una hoja de cálculo de 40 filas y valoraciones a ojo. El auditor lo detecta en 15 minutos: pedirá la justificación de cada valoración y no la habrá.

5. Política de proveedores sin inventario de SaaS

Redactar una política maravillosa sin haber inventariado los 35 SaaS que usa la empresa. El día de la auditoría el auditor pregunta por el contrato con Slack y nadie sabe dónde está.

6. Copias de seguridad sin prueba de restauración

Tener backups que nunca se han restaurado. El auditor pide la prueba documentada de la última restauración real. Si no existe, es no conformidad mayor.

7. Formación obligatoria sin evidencia de asistencia

Enviar un PDF por correo y dar por hecho que el personal lo ha leído. Sin acuse de recibo formal (firma o registro en plataforma), no hay evidencia. No conformidad menor casi automática.

8. Comité de seguridad que no se reúne

Constituir el comité en el mes 2 y no convocarlo hasta el mes 10. El auditor pide actas de las reuniones intermedias. No las hay. No conformidad mayor.

9. Revisión por la dirección como puro trámite

Acta de revisión de dirección de media página firmada el día anterior a la auditoría externa. El auditor pregunta a la directora general por dos decisiones del acta y la directora no las recuerda.

10. No probar los planes de continuidad

Tener un plan de contingencia precioso de 30 páginas que nunca se ha ejecutado ni siquiera como simulacro. El auditor pide el informe del último ejercicio. Si no existe, hallazgo mayor.

Tres casos típicos de PYME española

Caso A · bodega DO Ribera del Duero, 18 empleados

Alcance limitado a procesos administrativos, ERP de gestión vitivinícola y plataforma de e-commerce. Motivación: cláusula de un cliente belga importador que exige el certificado. Duración real: 11 meses. Coste total: 19.800 €. Subvención aplicada: Kit Consulting segmento II (5.400 €). Coste neto: 14.400 €. Auditoría con LRQA. Certificado obtenido a la primera con tres no conformidades menores cerradas en 45 días.

Caso B · despacho de abogados, 42 empleados, 2 sedes

Alcance completo: despacho con dos sedes (Burgos y Valladolid), gestión documental cloud, expedientes confidenciales. Motivación: licitaciones a la Junta de Castilla y León donde el ENS exigía un marco equivalente. Duración real: 14 meses (4 meses extra por integración con ENS categoría MEDIA). Coste total: 38.500 €. Auditoría con AENOR. Certificación ISO 27001 + declaración de conformidad ENS MEDIA simultáneas.

Caso C · empresa industrial componentes auxiliares automoción, 78 empleados

Alcance: planta de Aranda de Duero, taller, oficinas técnicas, departamento comercial. Motivación: presión de Renault y Stellantis que ya empiezan a exigir ISO 27001 en proveedores de nivel 2. Duración real: 13 meses. Coste total: 46.200 € (incluido despliegue de EDR Sentinel One que no tenían). Auditoría con Bureau Veritas. Certificado obtenido con cinco no conformidades menores.

Recursos del Estado y subvenciones aplicables en 2026

Cuatro fuentes de cofinanciación están disponibles para una PYME que arranque ISO 27001 en 2026.

Kit Consulting 2026 (segmento II · Ciberseguridad). Hasta 6.000 € en horas de consultoría especializada. Es el más fácil de aplicar a ISO 27001. Se solicita a través de la sede electrónica de Red.es y la empresa debe estar dada de alta como agente digitalizador o trabajar con uno acreditado.

Kit Consulting 2026 (segmento V · Transformación Digital). Hasta 9.000 € adicionales si el proyecto se enmarca en una transformación digital más amplia. Permite combinar ambos segmentos en una misma empresa si el alcance lo justifica.

Ayudas del CDTI a la transformación digital de la industria. Convocatoria recurrente con financiación a fondo perdido del 35 % para inversiones tecnológicas asociadas a planes de digitalización industrial. ISO 27001 entra como gasto elegible.

Programa CCN-CERT de soporte gratuito. Herramientas oficiales gratuitas: PILAR para análisis de riesgos, CLARA para verificación de hardening, ANA para análisis avanzado de incidentes, microCLOUD para gestión segura de pequeñas infraestructuras. Su uso es perfectamente válido como evidencia ante auditor ISO 27001 acreditado.

Las métricas que el auditor mirará el primer día

Una PYME que llega a la auditoría externa con estos siete indicadores documentados y al día reduce a la mitad la probabilidad de no conformidades.

  • Porcentaje de personal con formación de seguridad completada en los últimos 12 meses (objetivo: 100 %).
  • Número de incidentes de seguridad registrados, clasificados y cerrados.
  • Tiempo medio de respuesta (MTTR) a incidentes desde detección hasta cierre.
  • Porcentaje de cuentas privilegiadas revisadas en el último trimestre.
  • Resultado del último ejercicio de restauración de copia de seguridad (fecha + RPO/RTO observados).
  • Número de proveedores críticos revisados frente al inventario total.
  • Acta firmada de la última revisión por dirección con compromisos y plazos.

Diferencias clave entre ISO 27001:2013 y la versión 2022 para tu implantación

Si te ofrecen consultoría que aún piensa en clave 2013, sal corriendo. La revisión 2022 reorganizó el Anexo A en cuatro categorías (organizacionales, personas, físicos, tecnológicos) y redujo el número total de controles de 114 a 93 fusionando duplicidades. Aparecen 11 controles nuevos relevantes: inteligencia de amenazas, seguridad en el uso de servicios cloud, preparación TIC para continuidad, seguridad física monitorizada, gestión de la configuración, eliminación de información, enmascaramiento de datos, prevención de fuga de datos, monitorización de actividades, filtrado web y codificación segura.

Tres de estos controles nuevos son los que más impacto operativo tienen en una PYME. Inteligencia de amenazas (A.5.7) obliga a tener al menos suscripción a un feed gratuito (INCIBE-CERT, CCN-CERT) y un procedimiento de incorporación de inteligencia a las decisiones de seguridad. Seguridad de servicios cloud (A.5.23) exige inventario de SaaS, evaluación de riesgos del proveedor y contrato con cláusulas concretas. Prevención de fuga de datos (A.8.12) requiere medidas técnicas (DLP, restricciones de USB, control de envío masivo) o medidas compensatorias documentadas.

La buena noticia para la PYME que arranca ahora: la 2022 está pensada para encajar mejor con cloud, MFA y trabajo remoto, que ya son la realidad operativa. La consultoría que solo conoce la 2013 generará procedimientos anclados a una era pre-cloud y te tocará reescribirlos antes de la siguiente recertificación.

Cómo definir el alcance correctamente desde el mes 1

El alcance del SGSI es la decisión técnica más cara de revisar. Tres preguntas guiadas ayudan a fijarlo bien desde el primer día.

Primera pregunta: ¿qué activo de información quieres proteger formalmente con certificado? El alcance se construye hacia atrás desde aquí. Si el activo crítico es el ERP de gestión, el alcance incluye la infraestructura que soporta ese ERP, las personas que lo administran y los procesos de negocio que lo usan. No tiene que incluir el equipo de marketing si no tocan el ERP.

Segunda pregunta: ¿qué fronteras tiene tu empresa que el auditor tendrá que reconocer? Sedes físicas, equipos remotos, proveedores en el perímetro, plataformas cloud externalizadas. El alcance debe nombrarlas explícitamente o quedan fuera. Un alcance que dice "los servicios TI" sin más es un alcance que el auditor te hará reescribir en la fase 1.

Tercera pregunta: ¿qué información NO va a estar dentro? Saber qué excluyes es tan importante como saber qué incluyes. Una declaración explícita de exclusiones (con justificación) evita que el auditor presuma que algo entra cuando no debía.

El formato típico del alcance en la declaración pública es de 3-6 líneas. Ejemplo de bodega DO Ribera del Duero: "El SGSI cubre los procesos de gestión administrativa, vitivinicultura digital y comercio electrónico de Bodega X SL en su sede de Aranda de Duero, incluyendo el ERP sectorial Vitivin Pro, la plataforma de e-commerce Shopify y los servicios de Microsoft 365 corporativos. Quedan fuera del alcance los procesos de viñedo no digitalizados y los servicios de turismo enológico, que se gestionan bajo manuales separados".

Kit de arranque: 12 documentos que ya tienes que tener al cierre del mes 3

Si llegas al cierre del trimestre con estos 12 documentos firmados y archivados, vas en buen ritmo para certificar en mes 12.

  1. Política general de seguridad de la información (4-6 páginas).
  2. Política de control de accesos (3-4 páginas).
  3. Política de uso aceptable de TI (2-3 páginas, dirigida a usuario final).
  4. Política de clasificación de la información (3-4 páginas).
  5. Política de gestión de proveedores (3-4 páginas).
  6. Política de continuidad de negocio (4-5 páginas).
  7. Procedimiento de gestión de incidentes (5-6 páginas + plantilla de registro).
  8. Procedimiento de alta y baja de usuarios (3-4 páginas + plantilla).
  9. Procedimiento de gestión de cambios (3-4 páginas + plantilla de RFC).
  10. Procedimiento de copias de seguridad y restauración (4-5 páginas + registro de pruebas).
  11. Acta de designación del responsable de seguridad firmada por dirección.
  12. Acta constitutiva del comité de seguridad con composición y periodicidad.

No hace falta inventar plantillas: el CCN-CERT publica sus guías 800 con ejemplos reutilizables y el INCIBE tiene plantillas adaptadas a PYME. Personalizar plantilla buena es 4-6 veces más rápido que escribir desde cero.

Balance final: ISO 27001 en 2026 como ventaja competitiva

Hace doce meses una PYME podía competir en muchas licitaciones públicas y privadas sin ISO 27001. En doce meses será muy raro hacerlo. La presión combinada del nuevo ENS, NIS2, DORA y las exigencias de cadena de suministro ha comprimido el plazo en el que el certificado se convierte en un coste normal de hacer negocio en España. Las empresas que se anticipen cerrarán 2026 con certificado en mano y lo descontarán de su oferta comercial; las que lo retrasen descubrirán en el segundo semestre que han perdido tres licitaciones por no tenerlo.

Las cifras de este artículo confirman que el proyecto es alcanzable: entre 18.000 y 30.000 € de coste neto para una PYME de 20-50 empleados, 12 meses de calendario con ejecución disciplinada y un resultado que se convierte directamente en diferenciación comercial. La lógica económica favorece la inversión: una sola licitación ganada de 60.000-150.000 € amortiza la certificación en el primer año de contrato.

La recomendación es no arrancar sin hoja de ruta clara: los meses perdidos vienen de la improvisación, no de la norma en sí. Tres semanas de planificación con consultor senior antes de firmar la primera factura evitan los errores más caros. A partir de ahí, el proyecto es metódico: alcance, política, riesgos, controles, auditoría interna, revisión por dirección, auditoría externa. Doce meses. Presupuesto razonable. Ventaja tangible.

Continuar leyendo · cluster cumplimiento

Autor: Ángel Ortega Castro · consultor independiente en estrategia, cumplimiento y digitalización para PYMEs españolas y administraciones públicas. Aranda de Duero (Burgos) · Castilla y León.