KCN1 - Kentro Consulting Network
KCN1Consultoría Empresarial
Agendar llamada Solicitar evaluación
Inicio Servicios Metodología Insights Noticias Nosotros Contacto
Metodología • ISO/IEC 27001:2022NISTPCI DSS

Metodología

Metodología consultiva y auditable para entornos regulados. Integra gobierno, gestión de riesgos, controles técnicos, validación y evidencia bajo marcos internacionales (ISO/IEC 27001:2022, NIST y PCI DSS), con trazabilidad de punta a punta.

Diseño orientado a auditoría

Priorizamos evidencia verificable y repetible. Cada entregable se construye con trazabilidad: requerimiento → control → implementación → evidencia → cierre.

  • • Evidencia audit-ready (quién/qué/cuándo/dónde/resultado)
  • • Mapeo a controles ISO/NIST/PCI/SOC
  • • Reporte ejecutivo + reporte técnico

Alineación a marcos

Operamos con mejora continua (PDCA) y funciones de NIST; para PCI aplicamos requerimientos técnicos con evidencia continua.

  • • ISO/IEC 27001:2022 (SGSI / gobierno / mejora)
  • • NIST CSF (Identify–Protect–Detect–Respond–Recover)
  • • PCI DSS 4.0 (requerimientos + monitoreo + pruebas)

Fases de trabajo

Cada fase produce entregables ejecutivos y técnicos con evidencia trazable para cumplimiento.

1) Gobernar y definir alcance

Contexto, objetivos, alcance, activos críticos, dependencias y criterios de éxito.

  • • Alcance y supuestos
  • • Inventario de activos críticos
  • • RACI / responsables

2) Evaluar brechas y riesgos

Gap assessment vs ISO/NIST/PCI + análisis de riesgo y priorización por criticidad.

  • • Brechas por control/requerimiento
  • • Registro de riesgos y tratamiento
  • • Quick wins y roadmap inicial

3) Diseñar controles y roadmap

Controles, políticas, procedimientos y plan por fases con métricas.

  • • Mapeo de controles (ISO/NIST/PCI)
  • • Roadmap por criticidad y dependencias
  • • KPI/KRI + cadencias

4) Implementar y endurecer

Ejecución técnica: hardening, control de cambios, gestión de vulnerabilidades y adopción.

  • • CIS benchmarking / hardening
  • • Vulnerability management
  • • Controles compensatorios

5) Validar y probar

Pruebas técnicas y de control: pentesting, red team (según alcance) y verificación de efectividad.

  • • Pentesting / re-test
  • • Muestreo y evidencia de control
  • • Hallazgos + plan de remediación

6) Evidencia y auditoría

Paquete audit-ready: evidencias, trazabilidad, reporte ejecutivo y cierre documentado.

  • • Evidencia estructurada y verificable
  • • Reporte ejecutivo + técnico
  • • Seguimiento y cierre

Entregables típicos

  • • Resumen ejecutivo (riesgo, impacto, decisiones)
  • • Matriz de controles y evidencias (ISO/NIST/PCI/SOC)
  • • Roadmap priorizado + plan de remediación
  • • Reportes técnicos (pentest/red team/hardening/vulnerabilidades)
  • • Evidencia verificable para auditoría interna/externa