Objetivo: Implantar un SGSI conforme a ISO/IEC 27001 y establecer un alineamiento DORA orientado a exigencias bancarias, para disponer de un marco sólido, demostrable y auditable que permita a KRATA responder con solvencia a revisiones de seguridad, auditorías y controles de clientes financieros, manteniendo el control sobre un modelo IT gestionado por un tercero.
Resultado: KRATA consolidó un modelo estable, auditado y escalable de seguridad y cumplimiento, mejorando la capacidad de respuesta ante auditorías bancarias, reduciendo fricción operativa en la gestión de evidencias y reforzando el gobierno del riesgo TIC, la resiliencia operativa y el control de terceros.
Contexto
KRATA es una sociedad de tasación homologada por el Banco de España y colaboradora habitual con entidades financieras. En un entorno de exigencia creciente por parte de la banca, necesitaba un marco de seguridad formal y demostrable. El reto era doble: sin experiencia interna en normativa/IT y con dependencia de un proveedor tercero de IT, debía cumplir expectativas de auditoría, control y mejora continua de forma sostenida.
Situación inicial
-
Ausencia de un sistema formal y auditable para seguridad y cumplimiento.
-
Riesgo de no superar revisiones de seguridad de clientes bancarios.
-
Aparición recurrente de no conformidades ante auditorías y controles.
-
Dependencia elevada de un tercero IT sin un gobierno claro de seguridad.
-
Baja eficiencia para gestionar solicitudes, evidencias y auditorías anuales.
Trabajo realizado
-
Acompañamiento integral a ISO/IEC 27001 (desde 2021)
-
Gobierno del SGSI: políticas, roles, responsabilidades y ciclo de mejora.
-
Gestión de riesgos: metodología, tratamiento y seguimiento.
-
Implantación de controles, procedimientos y evidencias verificables.
-
Auditoría interna y preparación para auditorías externas.
-
Soporte durante auditorías de certificación y seguimiento.
-
-
Responsable de Seguridad (función externalizada)
-
Resolución continua de dudas, definición de criterios y dirección del enfoque.
-
Coordinación efectiva con el proveedor tercero de IT, asegurando alineamiento y ejecución controlada.
-
-
Alineamiento DORA orientado a clientes bancarios (DORA readiness)
-
Refuerzo del gobierno del riesgo TIC.
-
Enfoque de gestión de incidentes (registro, escalado, coordinación y evidencias).
-
Mejora de resiliencia operativa (continuidad, pruebas y preparación).
-
Control de terceros: supervisión, requisitos y evidencias sobre servicios críticos.
-
-
Soporte anual en auditorías de clientes y cierre de no conformidades
-
Preparación y respuesta a cuestionarios, revisiones y solicitudes de evidencias.
-
Gestión, seguimiento y cierre de no conformidades cuando aparecen.
-
Resultado
-
SGSI implantado con enfoque auditado y sostenible, alineado con ISO/IEC 27001.
-
Mejora clara en la capacidad de respuesta ante auditorías y controles bancarios.
-
Reducción de incidencias recurrentes y mejor control de no conformidades.
-
Gobierno reforzado sobre un entorno IT gestionado por terceros, con mayor trazabilidad y control.
-
Enfoque DORA readiness implantado para reforzar resiliencia TIC y expectativas del sector financiero.
