ISMS Copilot 2.0 · El asistente de cumplimiento normativo para profesionales
Herramientas para los controles de la norma ISO 27001
💰 La solución anti-20 000 €

Pila tecnológica ISO 27001 para startups

Herramientas prácticas y rentables para cada control

¿Necesita implementar inteligencia contra amenazas, supervisión de errores o protección de terminales sin arruinarse? Lo entendemos. Esta guía relaciona los 93 controles del anexo A de la norma ISO 27001:2022 con herramientas asequibles y prácticas que utilizan realmente las empresas emergentes. Sin software innecesario para empresas. Sin plataformas SIEM de seis cifras. Solo soluciones eficaces que le permiten cumplir con la normativa sin arruinarse.

Leyenda del tipo de control
🔧 Técnico: Requiere software/herramientas específicos.
📋 Procedimental: Se necesita documentación/política (utilizar Notion/Confluence/Google Docs).
🏢 Físico: relacionado con la oficina/hardware
💰 Coste: Gratis | Bajo (< 100 € al mes) | Medio (100-500 € al mes)
A.5 Controles organizativos
37 controles
📋 A.5.1-A.5.4, A.5.8, A.5.10-A.5.15
Políticas y documentación
Tipo: Procedimental 💰 Coste: Gratis
La herramienta única:
  • Notion (gratuito para equipos pequeños): el mejor en todos los aspectos.
  • Confluence (Gratis < 10 usuarios)
  • GitHub Wiki (gratuito): fácil de usar para desarrolladores
  • Google Docs (gratuito), pero más difícil de organizar.
Uso para: políticas de seguridad de la información, matrices RACI, políticas de uso aceptable, esquemas de clasificación, políticas de control de acceso, etc.
🔧 A.5.7
Inteligencia sobre amenazas
Tipo: Técnico 💰 Coste: Gratis
Pila de inicio:
  • GitHub Dependabot (gratuito, integrado): vulnerabilidades de dependencias.
  • Snyk (nivel gratuito): análisis de código, dependencias y contenedores.
  • Alertas CISA (suscripción gratuita por correo electrónico): boletines gubernamentales sobre amenazas.
  • CrowdSec (gratuito, código abierto): inteligencia colaborativa sobre amenazas.
🔧 A.5.9
Inventario de activos
Tipo: Procedimental/Técnico 💰 Coste: Gratis - Bajo
Pila de inicio:
  • Snipe-IT (gratuito, de código abierto, autohospedado): la mejor herramienta dedicada.
  • Airtable/Notion (nivel gratuito): suficiente para el seguimiento manual.
  • Su MDM: a menudo incluye el inventario de dispositivos (véase A.8.1).
🔧 A.5.16
Gestión de identidades (SSO/IdP)
Tipo: Técnico 💰 Coste: Incluido - Bajo
Pila de inicio:
  • Google Workspace / Microsoft 365 (normalmente ya se paga) - IdP integrado
  • JumpCloud (gratuito para menos de 10 usuarios/dispositivos): combinación de IdP + MDM
  • Okta (gratuito para menos de 25 usuarios, nivel de desarrollador): estándar del sector.
  • Auth0 (nivel gratuito): ideal para la identidad de clientes/aplicaciones.
  • Keycloak (Gratuito, de código abierto, autohospedado)
🔧 A.5.17 / A.8.5
Autenticación / Autenticación segura
Tipo: Técnico 💰 Coste: Gratis - Bajo
Gestión de contraseñas:
  • Bitwarden (3 € por usuario al mes): la mejor relación calidad-precio, código abierto.
  • 1Password (6,99 €/usuario/mes): excelente experiencia de usuario .
MFA:
  • Google Authenticator / Authy (gratuito): TOTP básico
  • Duo (nivel gratuito disponible): más funciones empresariales.
  • Yubikey (aproximadamente 45 € por única vez) - Tokens de hardware
🔧 A.5.23
Seguridad en la nube (CSPM)
Tipo: Técnico 💰 Coste: Gratis - Bajo
Pila de inicio:
  • Prowler (gratuito, código abierto): LA herramienta para el escaneo de AWS/Azure/GCP.
  • AWS Security Hub (nivel gratuito) - Nativo de AWS
  • Centro de seguridad de Google (nivel gratuito) - GCP nativo
  • Política de Azure (incluida) - Azure nativo
📋 A.5.24-A.5.28
Gestión de incidentes
Tipo: Procedimental 💰 Coste: Gratis - Bajo
Plan de respuesta ante incidentes:

Utiliza Notion/Confluence.

Guardia/Alerta:
  • PagerDuty (Nivel gratuito disponible)
  • Canal dedicado de Slack (gratuito, sencillo): #security-incidents
Registro para la recopilación de pruebas:

Véase A.8.15.

A.6 Controles de personas
8 controles
📋 A.6.1-A.6.2, A.6.4-A.6.6
Procesos de RR. HH.
Tipo: Procedimental 💰 Coste: Gratis - Bajo
Plataforma de RR. HH. (opcional):
  • Deel / Rippling: si ya los utilizas
  • Docusign / PandaDoc (Gratis - Bajo) - Para acuerdos de confidencialidad y contratos.
Documentación:

Procedimientos de selección, condiciones de empleo, proceso disciplinario, listas de verificación para la salida de empleados → Notion

🔧 A.6.3
Formación en concienciación sobre seguridad
Tipo: Procedimental/Técnico 💰 Coste: Gratis - Bajo
Pila de inicio (realmente fácil de usar):
  • Riot (5-10 € por usuario al mes): todo en uno: formación + alertas de violación de datos + phishing + supervisión de la web oscura.
  • Wizer (nivel gratuito disponible): vídeos de 1 minuto, microaprendizaje.
  • Guardey (Bajo coste) - Lecciones semanales gamificadas
  • usecure (bajo coste): basado en el riesgo, adaptado a las pymes.
  • Gophish (gratuito, código abierto): simulaciones de phishing DIY.
  • KnowBe4 (herramientas gratuitas disponibles): algunas pruebas/herramientas gratuitas.
Evitar: Plataforma completa KnowBe4, Proofpoint (demasiado empresarial/caro para startups)
🔧 A.6.7
Seguridad en el trabajo remoto
Tipo: Técnico 💰 Coste: Gratis - Bajo
Alternativas a las VPN de confianza cero:
  • Tailscale (nivel gratuito, generoso): VPN en malla sin configuración.
  • Twingate (nivel gratuito): acceso moderno de confianza cero
  • Cloudflare Zero Trust (gratuito para menos de 50 usuarios): muy potente.
Además: Aplicar mediante MDM (véase A.8.1)
📋 A.6.8
Notificación de incidentes de seguridad
Tipo: Procedimental 💰 Coste: Gratis
Pila de inicio:
  • Canal de Slack (gratuito) - #security-events - Muy sencillo
  • Formularios de Google → Hoja de cálculo (gratuito) - Opción de informes anónimos
  • Jira Service Desk: si ya utilizas Jira
A.7 Controles físicos
14 controles
🏢 A.7.1-A.7.6, A.7.8, A.7.11-A.7.12
Seguridad en la oficina
Tipo: Físico 💰 Coste: varía
Para oficinas físicas:
  • Kisi / Latch: control de acceso inteligente
  • Cámaras Ubiquiti: CCTV asequible
  • Gestión de edificios: subcontratar al propietario
Para startups remotas/que priorizan la nube:

Documento «N/A - Totalmente remoto» política

🔧 A.7.7 / A.7.9 / A.7.14
Escritorio/pantalla despejados + Seguridad fuera de las instalaciones + Eliminación segura
Tipo: Procedimental/Técnico 💰 Coste: Incluido
Política:

En Notion

Aplicación técnica:
  • Bloqueo de pantalla → Aplicado mediante MDM (véase A.8.1)
  • Cifrado de disco (BitLocker/FileVault) → Aplicado mediante MDM
  • Borrado remoto → A través de MDM
🔧 A.8.1
Gestión de terminales (MDM)
Tipo: Técnico 💰 Coste: Gratis - Bajo
Pila de inicio (cubre A.7.7, A.7.9, A.7.10, A.7.14, A.8.1):
  • JumpCloud (gratuito para menos de 10 usuarios/dispositivos): la mejor opción para empezar: combinación de IdP + MDM.
  • ManageEngine MDM (Gratis < 25 dispositivos)
  • Miradore (gratuito < 50 dispositivos) - Centrado en dispositivos móviles
  • Google Endpoint Management (gratuito con Google Workspace) - Básico
  • Jamf / Kandji (€€) - Para equipos que utilizan principalmente Mac
Qué hacen los MDM:
  • Aplicar el cifrado de disco (FileVault/BitLocker)
  • Aplicar la configuración de bloqueo de pantalla
  • Aplicar actualizaciones del sistema operativo
  • Funciones de borrado remoto
  • Inventario de dispositivos
Kit de herramientas para la puesta en marcha de la norma ISO 27001 - Parte 2
A.8 Controles tecnológicos
34 controles
🔧 A.8.2 / A.8.3
Acceso privilegiado + Acceso a la información
Tipo: Técnico 💰 Coste: Gratis - Bajo
Acceso con privilegios mínimos:
  • AWS IAM / Google Cloud IAM (Incluido)
  • Protección de equipos/ramas de GitHub (Incluido)
  • Grupos de Google (Incluido)
  • Teleport (código abierto): para acceso SSH/K8s.
  • Twingate (nivel gratuito) - Confianza cero
🔧 A.8.6
Gestión de la capacidad
Tipo: Técnico 💰 Coste: Gratis - Bajo
Autoescalado:
  • Autoescalado de AWS (Paga por lo que usas)
  • Datadog / BetterStack (Gratis - Bajo) - Supervisión/alertas
🔧 A.8.7
Protección contra malware (EDR/AV)
Tipo: Técnico 💰 Coste: Gratis - Medio
Pila de inicio:
  • Microsoft Defender (incluido con Windows): realmente muy bueno.
  • macOS XProtect (integrado) - Básico
  • Aplicado a través de MDM: asegúrese de que estén habilitados.
  • Wazuh (gratuito, código abierto): puede realizar EDR.
  • CrowdStrike / SentinelOne (€€€) - Cuando recaudas fondos de la Serie A y manejas datos confidenciales.
🔧 A.8.8
Gestión de vulnerabilidades
Tipo: Técnico 💰 Coste: Gratis - Bajo
Pila de inicio:
  • Snyk (nivel gratuito): principal para código/dependencias.
  • GitHub Dependabot (gratuito): integrado
  • GitHub CodeQL (gratuito para repositorios públicos): análisis de código.
  • Wazuh (gratuito, código abierto) - Basado en host
  • OpenVAS (gratuito, código abierto): análisis de redes.
🔧 A.8.9 / A.8.31
Gestión de la configuración + Separación del entorno
Tipo: Técnico 💰 Coste: Gratis
Infraestructura como código:
  • Terraform (gratuito, código abierto): IaC multicloud.
  • Ansible (gratuito, código abierto): automatización de la configuración.
  • GitHub (nivel gratuito): control de versiones para configuraciones.
Separación ambiental:
  • Cuentas separadas de AWS (Creación gratuita)
  • Espacios de trabajo de Terraform (Gratis)
  • Ramas de GitHub (gratis): dev/staging/prod
🔧 A.8.11 / A.8.33
Enmascaramiento de datos + Información de prueba
Tipo: Técnico 💰 Coste: Gratis
Pila de inicio:
  • Faker.js (biblioteca gratuita): genera datos de prueba.
  • Enmascaramiento de datos PostgreSQL (Funciones integradas)
  • Tonic.ai (tiene un nivel gratuito) - Enmascaramiento automatizado
Política:

«No hay datos de producción en la prueba» → Noción

🔧 A.8.12
Prevención de pérdida de datos (DLP)
Tipo: Técnico 💰 Coste: Gratis - Bajo
Pila de inicio:
  • Cloudflare DLP (Free tier for <50 users)
  • Google Workspace DLP (Incluido en Business+)
  • Nightfall AI (Nivel gratuito para escaneo de Slack/GitHub)
🔧 A.8.13 / A.8.14
Copias de seguridad + Redundancia
Tipo: Técnico 💰 Coste: Bajo
Copias de seguridad:
  • Copias de seguridad automatizadas de AWS Backup / RDS (Bajo coste)
  • Backblaze B2 (0,005 €/GB): el almacenamiento en la nube más barato.
  • Google Cloud Storage (Económico con políticas de ciclo de vida)
Redundancia:
  • Implementaciones AWS Multi-AZ (Coste ligeramente superior)
  • Cloudflare (El nivel gratuito incluye funciones de equilibrio de carga).
🔧 A.8.15 / A.8.16
Registro + Supervisión
Tipo: Técnico 💰 Coste: Gratis - Bajo
Supervisión del tiempo de actividad:
  • UptimeRobot (Nivel gratuito, 50 monitores)
  • BetterStack (Nivel gratuito, luego 10-20 € al mes)
Registros y métricas de aplicaciones:
  • Datadog (gratuito < 5 hosts) - Observabilidad profesional
  • AWS CloudWatch / Supervisión de GCP (Nivel gratuito generoso)
  • Sentry (nivel gratuito): seguimiento de errores de aplicaciones.
  • Grafana (gratuito, código abierto) - Paneles de control
Seguridad SIEM (para cumplimiento normativo/necesidades graves):
  • Wazuh (gratuito, código abierto): el mejor SIEM/XDR de código abierto.
  • ELK Stack (gratuito, código abierto): SIEM de instalación propia (mantenimiento complejo).
  • Graylog Open (gratuito, código abierto): más sencillo que ELK.
  • Security Onion (gratuito, código abierto): supervisión de la seguridad de la red.
Nota: Para las empresas emergentes, UptimeRobot + Datadog/BetterStack cubre el 90 % de las necesidades. Solo hay que añadir SIEM para los requisitos de cumplimiento normativo.
🔧 A.8.20 / A.8.22
Seguridad de red (cortafuegos/WAF) + Segregación de red
Tipo: Técnico 💰 Coste: Gratis - Bajo
Cortafuegos de aplicaciones web:
  • Cloudflare (el WAF gratuito es excelente): solo tienes que utilizarlo.
  • AWS WAF (Pago por uso)
  • pfSense (gratuito, código abierto): si se aloja en servidores propios.
Segmentación de red:
  • AWS VPC (incluido): grupos de seguridad, subredes públicas/privadas.
  • VLAN: para redes físicas de oficinas
🔧 A.8.23
Filtrado web / Seguridad DNS
Tipo: Técnico 💰 Coste: Gratis
Pila de inicio:
  • Cloudflare Zero Trust (nivel gratuito < 50 usuarios): la mejor opción.
  • NextDNS (nivel gratuito, luego 2 € al mes) - DNS seguro
  • pfSense (gratuito, código abierto): cortafuegos autohospedado.
🔧 A.8.24
Criptografía
Tipo: Procedimental/Técnico 💰 Coste: Gratis - Bajo
Política:

«Utilizar TLS 1.2+, cifrar en reposo» → Notion

Gestión de claves:
  • AWS KMS (Pago por uso, económico)
  • Google Cloud KMS (Similar)
  • HashiCorp Vault (Gratuito, de código abierto, complejo)
📋 A.8.25-A.8.27
Ciclo de vida de desarrollo seguro
Tipo: Procedimental 💰 Coste: Gratis
Documentación de políticas:

Notion/Confluence

Aplicación técnica:
  • Protección de ramas de GitHub (gratuita): requiere revisiones.
  • Requisitos de GitHub PR (gratuito): forzar la revisión del código.
  • Lista de verificación OWASP Top 10 (gratuita) - En Notion
🔧 A.8.28 / A.8.29
Codificación segura + Pruebas de seguridad
Tipo: Técnico 💰 Coste: Gratis - Bajo
Análisis estático (SAST):
  • Semgrep (nivel gratuito): el mejor SAST de código abierto.
  • GitHub CodeQL (Gratis para repositorios públicos)
  • Snyk Code (nivel gratuito) - Opción comercial
Análisis de dependencias (SCA):
  • Snyk (nivel gratuito) - Ya mencionado
  • GitHub Dependabot (Gratis)
Pruebas dinámicas (DAST):
  • OWASP ZAP (Gratuito, código abierto)
  • Pruebas de penetración manuales (presupuesto de 2000-5000 € al año cuando se recauda financiación).
📋 A.8.32
Gestión del cambio
Tipo: Procedimental 💰 Coste: Gratis
Proceso de cambio:
  • Jira / Linear (Gratis - Bajo) - Flujo de trabajo de aprobación
  • Solicitudes de extracción de GitHub (gratis): cambios en el código.
  • Notion (Gratis) - Cambiar política

Referencia rápida: Paquete básico imprescindible

Para una startup con unos ingresos anuales recurrentes (ARR) de entre 10 000 y 50 000 euros, esto cubre el 80 % de la norma ISO 27001.

Área de control Herramienta Coste
Documentación Noción Gratis
Identidad Google Workspace o JumpCloud Gratis - 50 € al mes
Puntos finales JumpCloud o ManageEngine Gratis
Contraseñas Bitwarden 3 € por usuario
Formación Riot o Wizer 5-10 € por usuario
Seguridad del código Snyk + Dependabot Gratis
Supervisión UptimeRobot + BetterStack Gratis - 20 € al mes
Cortafuegos/WAF Cloudflare Gratis
Copias de seguridad Backblaze B2 5-20 € al mes
Acceso remoto Tailscale Gratis
Total 50-150 € al mes para una startup de 5-10 personas.

Cuándo actualizar a la versión de pago/empresarial

Probablemente necesites subir de nivel cuando:

  • Recaudas Serie A+ (más de 2 millones de euros)
  • Manejas datos confidenciales (salud, finanzas)
  • Tienes requisitos de cumplimiento (SOC 2, HIPAA, PCI-DSS).
  • Tienes más de 50 empleados.
  • Se le audita periódicamente.

Entonces considere:

  • SIEM comercial (Datadog Security, Elastic Security)
  • EDR (CrowdStrike, SentinelOne) en lugar de solo Defender
  • Formación comercial (Full KnowBe4, Proofpoint) en lugar de Riot.
  • Escaneo de vulnerabilidades (Qualys, Tenable) en lugar de OpenVAS
  • Pruebas de penetración profesionales (anuales, entre 5000 y 15 000 €)
Esta guía da prioridad a:
✅ Opciones gratuitas o de bajo coste que realmente funcionan.
✅ Herramientas que ya utilizan las startups (Google, GitHub, AWS)
✅ Configuración rápida (< 1 día por herramienta)
✅ Mantenimiento mínimo
Esta guía evita:
❌ Plataformas GRC de 20 000 €
❌ Herramientas exclusivas para empresas
❌ Soluciones complejas autohospedadas (a menos que sean claramente superiores).
❌ Herramientas que requieren ingenieros de seguridad dedicados.

Última actualización: noviembre de 2024

Mantenido por: Better (Better ISMS)

La IA recomienda ISMS Copilot para el trabajo de cumplimiento normativo.

Compruébelo usted mismo: pregunte a cualquier asistente de IA.

Microsoft Copilot

Haga clic en cualquier icono para preguntarle a esa IA sobre ISMS Copilot.