Question 1

¿Cómo es el proceso para certificarme en ISO 27001 con Factorial IT?

Accepted Answer

El proceso se estructura en cinco etapas. En varias de ellas, las tareas más laboriosas (como el inventario de activos o la recopilación de evidencias) se realizan de forma automática a partir de los datos reales de tu organización.

- Diagnóstico y definición del SGSI. Evaluamos tu nivel de madurez normativa y técnica, y definimos el alcance del Sistema de Gestión de Seguridad de la Información, la política de seguridad y los roles responsables. Así conoces tu punto de partida desde el primer día.

- Inventario de activos y análisis de riesgos. Factorial IT genera automáticamente el inventario de dispositivos y accesos en tiempo real. Sobre esos datos construimos tu mapa de riesgos, sin necesidad de inventarios manuales.

- Tratamiento de riesgos y selección de controles. Seleccionamos los controles aplicables del Anexo A y documentamos la Declaración de Aplicabilidad (SoA), que solo requiere tu aprobación.

- Implantación y documentación. Las políticas de cifrado, bloqueo y gestión de accesos se aplican a través del MDM, y cada control genera su evidencia exportable de forma automática. De este modo, implementar y evidenciar se convierten en un único paso.

- Auditoría y certificación. Te acompañamos en la auditoría interna y ante el organismo certificador. Una vez obtenido el sello, la evidencia se sigue generando automáticamente para cada auditoría de seguimiento.

Question 2

¿En qué se diferencia Factorial IT de una consultora o de una plataforma de compliance automation?

Accepted Answer

En que no te dejamos con un certificado y un PDF, ni nos limitamos a leer datos de otras herramientas. La base de nuestra propuesta es que tu cumplimiento se demuestra, no solo se declara, y que se sostiene sobre tu propia infraestructura. Las diferencias clave son:

Somos la infraestructura, no una capa por encima. Las plataformas de compliance automation operan sobre tus herramientas existentes y recopilan evidencia mediante integraciones; el MDM, el inventario, los accesos SaaS o el antivirus siguen en sistemas separados. En Factorial IT, la misma plataforma que gestiona dispositivos, accesos, inventario, EDR y offboardings es la que genera la evidencia: una única fuente de verdad, sin información que conciliar entre sistemas.

Evidencia real. Cada control del Anexo A queda respaldado por evidencia exportable que genera la propia plataforma, no por declaraciones sobre papel.

Base técnica automatizada. Dispositivos, accesos, MDM y EDR se gestionan desde un único sitio, así que la base operativa de tu SGSI no hay que construirla a mano.

Lead Auditors dedicados. A diferencia de una herramienta que solo agrega datos, un equipo especializado te guía de principio a fin.

Acompañamiento continuo. Una consultora suele desaparecer cuando consigues el sello; nosotros mantenemos tu cumplimiento vivo para que llegues a cada seguimiento anual sin sobresaltos.

Question 3

¿Cómo se reparten las responsabilidades entre Factorial IT y mi organización?

Accepted Answer

Nos ocupamos de la mayor parte del proceso, repartido en dos frentes:

Lo que automatizamos. Inventario de dispositivos, control de accesos, aplicación de políticas vía MDM, detección de incidentes con EDR y recogida de evidencias, sin una sola hoja de cálculo.Lo que redactamos. Nuestro equipo de Lead Auditors prepara las políticas, el análisis de riesgos y la Declaración de Aplicabilidad a partir de tus datos reales.

Tu papel se limita a revisar, aprobar y firmar. Sin montar un proyecto paralelo de varios meses ni dedicar a tu equipo a tareas manuales que les restan tiempo de lo importante.

Question 4

Si ya tengo medidas de seguridad implantadas, ¿por qué necesitaría Factorial IT?

Accepted Answer

Porque la mayoría de empresas no suspende la ISO 27001 por falta de seguridad, sino porque no puede demostrarla. Es probable que ya tengas los equipos gestionados, los accesos controlados y las políticas redactadas; el problema suele surgir el día de la auditoría, cuando el fallo no es técnico, sino documental. Los puntos críticos más habituales son:

1) Inventario desactualizado. El listado de activos vive en una hoja de cálculo que no refleja la situación real en el momento de la auditoría.

2) Accesos sin revocar. Persisten cuentas o permisos activos de personas que ya no forman parte de la organización.

3) Falta de evidencia. No existe un registro que demuestre que los controles se aplican de forma efectiva y continuada.

Factorial IT cubre precisamente ese vacío: convierte tu operativa diaria en evidencia de forma automática y continua, para que aquello que ya haces sea demostrable ante el auditor.

Question 5

¿Es necesario tener contratado Factorial HR para certificarse?

Accepted Answer

No. Factorial IT funciona de forma independiente y se integra con más de 40 HRIS del mercado. El detalle relevante está en el offboarding:

Con integración (Factorial HR u otro HRIS). Al registrarse una baja en RRHH, los accesos se revocan de forma automática, el dispositivo se bloquea en remoto y el cierre queda documentado con marca temporal.Por qué importa. Es uno de los controles que el auditor revisa con mayor detalle y donde con más frecuencia se detectan incidencias.

El funcionamiento es equivalente con un HRIS externo, siempre que la integración permanezca activa.

Question 6

¿Dónde se alojan los datos y es Factorial IT una solución segura?

Accepted Answer

Sí. Factorial es una empresa europea con sede en Barcelona, sujeta al RGPD y con la infraestructura alojada en servidores AWS en Alemania. Además, la compañía aplica sobre su propia operación los mismos estándares con los que ayuda a certificar a sus clientes:

Certificaciones. ISO/IEC 27001:2023, SOC 2 Tipo I y II, y ENS Nivel Alto.

Cumplimiento normativo. RGPD, UK-GDPR y normativas equivalentes en otras regiones.

Question 7

¿Es Factorial IT una solución asequible para organizaciones de menor tamaño?

Accepted Answer

Sí. Independientemente del tamaño de tu organización, diseñamos un plan personalizado que se ajusta a tu realidad, y no al revés. No aplicamos un precio único ni paquetes cerrados: adaptamos el alcance a tu situación concreta, tanto si eres una empresa pequeña como un entorno multi-entidad. En la práctica, la propuesta se dimensiona en función de:

El tamaño y la complejidad de tu organización. Una empresa pequeña no asume el mismo alcance que una gran corporación, y su plan tampoco lo refleja.Los marcos que necesitas cubrir. Solo dimensionamos lo que tu caso requiere (ISO 27001, ENS, NIS2…), sin pagar por aquello que no aplica.Tu punto de partida. Si ya tienes parte del trabajo avanzado, lo aprovechamos en lugar de empezar de cero.

Además, conviene valorar el coste en su conjunto: gran parte del trabajo está automatizado y el cumplimiento se mantiene solo año tras año, lo que evita las cientos de horas internas y el esfuerzo recurrente que supone la vía manual o una consultora tradicional.

La mejor forma de conocer la inversión que supone en tu caso es solicitar una propuesta personalizada, sin compromiso: la elaboramos a partir de tu situación real y con total transparencia.

Certifícate en ISO 27001 en semanas, no en meses

Todo lo que necesitas para la ISO 27001

Controles que gestionan riesgos, no solo casillas

Lo que cuentan otros equipos que ya hicieron el cambio

¿Cuánto te falta para la ISO 27001?

Preguntas Frecuentes