SGSI implementado - Certificación en proceso

Seguridad de la información
con procesos, evidencia y plazos comprometidos

Operamos un Sistema de Gestión de Seguridad de la Información (SGSI) alineado a ISO/IEC 27001. Los controles ya están en marcha; la certificación cierra el ciclo. Para nuestros clientes públicos, eso significa continuidad, confidencialidad y trazabilidad auditable del primer día.

SGSI en operación ISO 27001 previsto ago. 2026 CISO designado Políticas vigentes
Ver la hoja de ruta Conversemos
Por qué importa SGSI hoy AGESIC Hoja de ruta Controles Respaldo
Estado del SGSI
En operación
Políticas vigentes, controles implementados, auditoría interna completada.
Auditoría externa
En curso
Organismo certificador contratado. Etapa 1 planificada.
Certificación ISO 27001
Agosto 2026
Plazo objetivo comprometido con nuestra dirección y clientes.
Plazo restante
~3 meses
Implementación final, auditorías y cierre de hallazgos.
Por qué importa

Por qué un SGSI robusto no es opcional en el Estado

Cuando operamos sistemas públicos, manejamos datos que afectan derechos, prestaciones e información estratégica del país. La seguridad es una obligación contractual, legal y ética — no un "nice to have".

Protección del dato ciudadano

Historias clínicas, datos fiscales, registros civiles, información de personas en situación de vulnerabilidad. Esa confianza no se puede perder.

Cumplimiento normativo

Leyes de protección de datos, regulaciones sectoriales y marcos de compra pública exigen controles demostrables y trazables.

Continuidad del servicio público

Un incidente de seguridad puede detener un programa entero. Gestionar el riesgo es proteger la operación.

Defendibilidad ante auditoría

Nuestro equipo de compras públicas y el tribunal de cuentas van a preguntar. Damos evidencia auditable, no declaraciones de intención.

SGSI hoy

Qué ya tenemos implementado

El SGSI no empieza con la certificación: la certificación lo valida. Hoy ya operamos con políticas, controles y gobernanza — el proceso formal ISO 27001 cierra el ciclo de aseguramiento externo.

Política de SI

Política de Seguridad de la Información

Aprobada por dirección, comunicada al 100% del personal, revisada anualmente y alineada a ISO/IEC 27001.

Gobernanza

CISO designado y comité de seguridad

Responsable con mandato ejecutivo, comité interdisciplinario y reporte directo a dirección.

Análisis de riesgos

Metodología formal de gestión de riesgos

Inventario de activos, análisis de amenazas y vulnerabilidades, matriz de riesgos y plan de tratamiento documentados.

Controles técnicos

Controles técnicos operativos

Gestión de accesos, MFA, cifrado en tránsito y reposo, segmentación de red, respaldos probados y gestión de vulnerabilidades.

Personas

Concientización y capacitación

Campañas de awareness, acuerdos de confidencialidad, capacitación técnica específica y simulacros de phishing.

Proveedores

Gestión de terceros y cadena de suministro

Evaluación de proveedores críticos, cláusulas contractuales de seguridad y monitoreo de cumplimiento.

Incidentes

Respuesta a incidentes

Procedimiento documentado, canal de reporte, roles definidos, SLAs internos y protocolo de comunicación al cliente.

Continuidad

Continuidad y recuperación

Plan de continuidad del negocio, plan de recuperación ante desastres, respaldos offsite y pruebas periódicas.

Panamá

PanamáAuditoría interna

Primera auditoría interna completada. Hallazgos en tratamiento documentado con plazos y responsables.

Uruguay · Marco de ciberseguridad

Adecuación al Marco de Ciberseguridad de AGESIC

AGESIC define el marco de ciberseguridad que orienta y regula la gestión de la seguridad de la información de los organismos del Estado uruguayo. Nuestro SGSI está adecuado a sus categorías y controles, para que los proyectos con clientes públicos de Uruguay hereden ese cumplimiento desde el día uno.

UY
AGESIC · Uruguay

SGSI adecuado a las cinco funciones del marco: Identificar, Proteger, Detectar, Responder y Recuperar

Trabajamos con la misma estructura y terminología del marco — basado en NIST CSF y adaptado al sector público uruguayo — para que la evidencia, los controles y los reportes de nuestro SGSI sean directamente utilizables por el cliente.

  • Identificar — inventario de activos y gestión de riesgos alineados al marco.
  • Proteger — controles de acceso, cifrado, capacitación y desarrollo seguro.
  • Detectar — monitoreo continuo, logging, alertas y análisis de eventos.
  • Responder — plan de respuesta a incidentes e integración con CERTuy / CSIRTuy.
  • Recuperar — planes de continuidad del negocio y recuperación ante desastres probados.
  • Reporting — evidencias en el formato requerido para auditorías de AGESIC.
Hoja de ruta

Plan hacia ISO 27001 · 3 meses

Compromiso interno y externo: certificación ISO/IEC 27001 en agosto 2026. Plan de trabajo estructurado en tres etapas operativas más la fase de certificación, con responsables, entregables y evidencia auditable.

La hoja de ruta no parte de cero: el SGSI ya está en operación. Los próximos 3 meses consolidan evidencias, cierran brechas residuales, ejecutan las auditorías formales (interna y externa) y obtienen el certificado. Al cierre del plazo, nuestros clientes públicos tendrán la certificación ISO 27001 como parte del expediente de contratación.
Mes 1 · Mayo 2026 01

Consolidación y cierre de gaps

Revisión final de documentación del SGSI, cierre de los hallazgos remanentes de la auditoría interna y preparación del expediente de evidencias.

  • Actualización de políticas y procedimientos
  • Cierre de hallazgos internos
  • Evidencias de controles SoA
  • Matriz de riesgos actualizada
Mes 2 · Junio 2026 02

Auditoría Etapa 1 y preparación final

Auditoría documental del organismo certificador (Etapa 1). Revisión del SGSI, políticas y declaración de aplicabilidad. Ajustes según observaciones.

  • Auditoría Etapa 1 (documental)
  • Tratamiento de observaciones
  • Entrenamiento final al equipo
  • Simulacros de respuesta
Mes 3 · Julio 2026 03

Auditoría Etapa 2 y tratamiento de hallazgos

Auditoría in situ del organismo certificador (Etapa 2). Verificación operativa de los controles. Plan de acción para no conformidades menores.

  • Auditoría Etapa 2 (operativa)
  • Verificación de controles
  • Plan de acción de hallazgos
  • Evidencia de cierre
Agosto 2026 🏁

Emisión del certificado ISO 27001

Cierre formal del proceso, publicación del certificado y disponibilidad de la documentación para expedientes de contratación pública.

  • Certificado emitido
  • Publicación en el sitio
  • Actualización de propuestas
  • Ciclo de mejora continua
Marco de controles

Controles alineados al Anexo A de ISO 27001:2022

Trabajamos con los 93 controles del Anexo A agrupados en las 4 cláusulas temáticas de la versión 2022. A continuación, ejemplos representativos por grupo.

Organizacionales

Política de SI Roles y responsabilidades Gestión de riesgos Clasificación de la información Gestión de proveedores Gestión de incidentes Continuidad del negocio Cumplimiento legal

Personas

Verificación de antecedentes Acuerdos de confidencialidad Concientización y capacitación Proceso disciplinario Teletrabajo seguro Reporte de eventos

Físicos

Perímetros seguros Control de acceso físico Protección contra amenazas ambientales Escritorio y pantalla limpios Seguridad de equipos Gestión de medios

Tecnológicos

Gestión de accesos · MFA Cifrado en tránsito y reposo Gestión de vulnerabilidades Logging y monitoreo Segregación de redes Respaldos y DR SAST · DAST · SCA Desarrollo seguro · SSDLC
Respaldo de la organización

ISO 27001 se suma a un sistema de gestión maduro

La certificación ISO 27001 se apoya sobre un sistema de gestión ya certificado en calidad, ambiente y antisoborno, y un modelo de madurez de desarrollo CMMI-DEV ML3 appraised.

Calidad

ISO 9001

Sistema de gestión de calidad certificado.

Ambiente

ISO 14001

Sistema de gestión ambiental.

Antisoborno

ISO 37001

Sistema de gestión antisoborno.

Madurez

CMMI-DEV ML3

Maturity Level 3 Appraised.

Próximamente

ISO 27001

Certificación prevista para agosto 2026.