Para equipos de IT

Cumplimiento sin pisar tu terreno.

Tú conoces tus sistemas. Nosotros el mapa normativo. Trabajamos contigo, no por encima de ti.

Lo que la ley le pide a tu área

RGPD, NIS2, ENS, ISO 27001… nombres distintos, exigencias parecidas. Esto es lo que tocan de tu terreno:

tria MFA y accesos Copias Logs Cifrado Vulnerabilidades Proveedores Incidentes Evidencias
MFA y control de accesoSSO donde se pueda, MFA donde toca y cuentas admin separadas del uso diario.
Copias y recuperación3-2-1 con copia inmutable. Un backup sin test de restore es una hipótesis.
Registro y monitorizaciónLogs centralizados de lo crítico, retención definida y alertas que alguien mira.
CifradoEn reposo y en tránsito, con gestión de claves. "El proveedor cifra" no es una respuesta.
Gestión de vulnerabilidadesParcheo priorizado por explotabilidad real, no por orden de llegada del CVSS.
Seguridad de proveedoresQuién accede a qué, con qué garantías contractuales y qué pasa si les atacan a ellos.
Respuesta a incidentesDetección, clasificación y los plazos de NIS2: alerta en 24 h, notificación en 72 h.
Evidencias de todo lo anteriorSi no puedes demostrarlo, para el auditor no existe.

De la norma al control

El articulado no dice "FIDO2" — pero el auditor sí lo espera. Así traducimos la letra de la ley a controles verificables y a la evidencia que te van a pedir:

Norma / artículoControl técnico esperadoEvidencia que pide un auditor
NIS2 art. 21.2(j)Autenticación multifactor MFA resistente a phishing —FIDO2/WebAuthn, passkeys— en accesos privilegiados y remotos. OTP por app como mínimo aceptable en el resto; SMS, no. Política de control de acceso + export de configuración del IdP (Entra ID, Okta, Google Workspace) mostrando el enforcement por grupo.
NIS2 art. 21.2(c)Continuidad y copias Backups 3-2-1 con al menos una copia inmutable (object lock / WORM) u offline, y pruebas de restauración periódicas contra RTO/RPO definidos. Informe de test de restore fechado, con tiempos medidos frente al objetivo y quién lo ejecutó.
RGPD art. 32Seguridad del tratamiento Cifrado en tránsito (TLS 1.2+, idealmente 1.3) y en reposo (AES-256); discos de portátiles con FileVault/BitLocker gestionado centralmente. Inventario de cifrado por sistema + procedimiento de gestión de claves (quién las custodia y cómo rotan).
ENS op.accControl de acceso Mínimo privilegio: cuentas de administración separadas, revisión periódica de permisos y PAM cuando hay escala. Bajas de usuario el mismo día. Matriz de roles y permisos revisada, con fecha, responsable y resultado de la última revisión.
NIS2 art. 23Notificación de incidentes Capacidad de detectar y clasificar incidentes significativos: alerta temprana en 24 h y notificación en 72 h al CSIRT de referencia (INCIBE-CERT / CCN-CERT). Runbook de respuesta con roles y plazos + registro de incidentes, aunque esté a cero.
NIS2 art. 21.2(e)Gestión de vulnerabilidades Parcheo priorizado por explotabilidad real: CVSS como base, corregido con EPSS y el catálogo KEV de CISA. SLA por severidad. Informe mensual de vulnerabilidades con SLAs cumplidos y excepciones justificadas por escrito.
CorreoNIS2 art. 21.2 · higiene básica SPF + DKIM + DMARC en p=reject, pasando antes por p=none y p=quarantine mientras se monitorizan los informes agregados. Registros DNS publicados + informes DMARC (rua) del último trimestre.
NIS2 art. 21.2(d)Cadena de suministro Evaluación TPRM de proveedores con acceso a datos o sistemas, cláusulas de seguridad en contrato y encargo de tratamiento (RGPD art. 28) donde toque. Registro de proveedores evaluados con criticidad, fecha y resultado de la última revisión.
ENS op.exp.8Registro de actividad Logs centralizados de sistemas críticos, retención definida, relojes sincronizados por NTP y acceso restringido al propio log. Política de logging + evidencia de retención y de quién puede leer (y no borrar) los registros.

Muestra representativa, no el mapa completo. El Gap Analysis cruza tu alcance real —activos, datos, sector, tamaño— con el articulado que de verdad te aplica.

Con qué frameworks trabajamos

Priorizar sin un marco de referencia es opinar. Estos son los nuestros — y para qué usamos cada uno:

Priorización CIS Controls v8

Nuestra base para ordenar el trabajo. Arrancamos por IG1 —la higiene esencial, 56 salvaguardas— y subimos a IG2 según tamaño y exposición. Cada recomendación se rastrea a una salvaguarda concreta, no a un "best practice" genérico.

Cumplimiento ISO 27002:2022 + ENS

Mapeamos cada control CIS a los 93 controles de ISO 27002:2022 y a las medidas del ENS (categoría básica o media, según el caso). Implementas una vez y cubres varios marcos — sin trabajo duplicado.

Aplicaciones web OWASP ASVS

Para lo que expones en web: ASVS como lista de requisitos verificables, nivel L1 o L2 según la criticidad de la aplicación. Requisitos concretos y testeables, no un top-10 de titulares.

Cómo encajamos contigo

Ni auditores que llegan a suspenderte, ni consultores que te mandan un PDF y desaparecen.

1

Tu stack es tuyo.

Recomendamos agnóstico: criterios y opciones, no marcas. Tú eliges la herramienta — o mantienes la que ya tienes, si cumple el requisito. No cobramos comisión de nadie.

2

Propuestas concretas.

Cada hallazgo llega con severidad, esfuerzo estimado y una alternativa económica cuando existe. Nada de "deberías reforzar la seguridad": qué cambiar, en qué orden y por qué.

3

Nosotros documentamos.

Tú implementas; las políticas, las evidencias y las respuestas a auditores las preparamos nosotros con la plataforma. El papeleo del cumplimiento deja de ser tu problema.

¿Hablamos de tu stack?

Cuéntanos qué tienes montado y te devolvemos el mapa: qué te pide la norma, qué tienes ya cubierto y qué evidencia falta. De técnico a técnico, sin humo.

hola@tria.consulting

¿Prefieres empezar por tu cuenta? Haz el chequeo gratis →