¿Qué diferencia hay entre el plan Estándar y el Extendido?

El plan Estándar (2.450 €) cubre la auditoría completa de los 18 controles y 56 salvaguardas IG1. El plan Extendido (4.250 €) añade un pentesting ligero del perímetro externo para validar técnicamente qué vulnerabilidades son explotables de verdad.

¿Cuánto tarda la auditoría?

14 días naturales para la versión Estándar. 21 días para la Extendida con pentesting. Solo requerimos 2-3 horas distribuidas del equipo del cliente.

Auditoría de ciberseguridad CIS Controls v8.1 IG1 (antes conocida como CIS 18 IG1) para despachos profesionales, consultoras, auditoras, asesorías fiscales y bufetes de abogados. Diagnóstico Essential Cyber Hygiene del Center for Internet Security para cumplir RGPD, ENS, NIS2 y exigencias de aseguradoras de ciberriesgo. Solo 4 auditorías mensuales. Auditoría CIS para despachos. Consultora ciberseguridad. Cumplimiento RGPD despachos profesionales. Auditoría ciberseguridad asesorías. Pentesting básico despachos.

Auditoría de ciberseguridad para despachos profesionales y consultoras.

Diagnóstico completo bajo el marco internacional CIS Controls v8.1 IG1 (antes conocido como CIS 18 IG1) — los 18 controles y 56 salvaguardas que tu aseguradora, tus clientes corporativos y la inspección de Protección de Datos esperan ver documentados.

Ver planes y precios → Solicitar propuesta

Lo que evita una auditoría CIS bien hecha

85%

de las técnicas de ataque comunes (MITRE ATT&CK)

€60K

coste medio de un incidente en pyme profesional

60%

de las pymes cierran en los 6 meses siguientes a un ciberataque grave

✓ Marco oficial Center for Internet Security

✓ Aceptado por aseguradoras de ciberriesgo

✓ Compatible con RGPD · ENS · NIS2

✓ Entregables en 14 días

Para quién

Diseñada para organizaciones que manejan datos sensibles a diario.

Si tu trabajo gira en torno a información confidencial de terceros y tu reputación depende de no fallar, la auditoría CIS IG1 es el primer paso lógico.

⚖️

Bufetes de abogados

Secreto profesional, expedientes de clientes, comunicaciones cifradas.

📊

Asesorías y consultoras

Datos fiscales, nóminas, información financiera de empresas cliente.

🔍

Auditoras y compliance

Papeles de trabajo, controles internos, evidencias de auditoría.

🏥

Clínicas y consultas

Historiales médicos, datos especialmente protegidos por RGPD.

🏛️

Notarías y registros

Documentación pública, escrituras, información sensible legalmente protegida.

💼

Despachos profesionales

Cualquier empresa de servicios profesionales con responsabilidad civil de datos.

🔒 ACCESO LIMITADO

Solo 4 auditorías al mes. Por una buena razón.

No vendemos auditorías exprés. Cada diagnóstico CIS IG1 implica entre 40 y 60 horas de trabajo experto: entrevistas, inventario de activos, análisis técnico, revisión documental y un plan de remediación ejecutable que tu aseguradora aceptará como evidencia.

Para mantener esa profundidad, aceptamos un máximo de 4 clientes nuevos cada mes. Cuando se cubren, abrimos lista para el mes siguiente.

Reservar la plaza disponible →

Disponibilidad — mes en curso

Capacidad mensual: 4 plazas

Reservada

Libre

1 de 3 plazas restantes

Alcance de la auditoría

Los 18 controles CIS que revisamos en tu organización.

56 salvaguardas concretas, agrupadas en 18 controles. Cada una se evalúa con evidencias documentales y técnicas — no con un cuestionario que rellena el cliente.

Inventario de activos hardware

Qué equipos tienes y cuáles deberían estar prohibidos en la red.

Inventario de software

Aplicaciones autorizadas vs. shadow IT en portátiles del despacho.

Protección de datos

Cifrado, clasificación y control de acceso a datos sensibles de cliente.

Configuración segura

Hardening de equipos, servidores, móviles y aplicaciones.

Gestión de cuentas

Quién tiene acceso a qué, ciclo de vida de altas y bajas.

Control de accesos

MFA, privilegios mínimos y accesos remotos seguros.

Gestión de vulnerabilidades

Parcheo, ventanas de exposición y priorización por riesgo.

Logs y auditoría

Qué se registra, dónde se guarda y quién lo revisa.

Email y navegación

Filtros antiphishing, DMARC/SPF/DKIM, navegación segura.

Defensa frente a malware

EDR, antivirus de nueva generación, respuesta automatizada.

Recuperación de datos

Backups, regla 3-2-1, pruebas de restauración periódicas.

Infraestructura de red

Segmentación, firewall, WiFi corporativo y de invitados.

Monitorización de red

Detección de anomalías y tráfico sospechoso.

Concienciación del personal

Formación obligatoria, simulacros de phishing, métricas.

Gestión de proveedores

Riesgo de terceros, contratos con encargados de tratamiento.

Seguridad en aplicaciones

Web del despacho, portales de cliente, áreas privadas.

Respuesta a incidentes

Plan, roles, comunicación interna y a la AEPD si procede.

Tests de penetración

Validación técnica real (incluido en plan Extendido).

Planes

Dos versiones. Sin letra pequeña.

Empieza con la auditoría completa. Si necesitas validación técnica real con pruebas de explotación, sube al plan Extendido.

Estándar

Auditoría CIS IG1

Diagnóstico completo de los 18 controles y las 56 salvaguardas IG1. Plan de remediación accionable y entregables aptos para aseguradora.

2.450 €

+ IVA · pago al firmar el NDA

Auditoría completa de los 18 controles CIS v8.1 IG1
Evaluación de las 56 salvaguardas Essential Cyber Hygiene
Inventario inicial de activos hardware y software
Revisión de configuración segura y gestión de accesos
Análisis de exposición externa pasiva (sin pruebas activas)
Informe ejecutivo + informe técnico + plan de remediación priorizado
Sesión de devolución de 1h con el equipo
Evidencias documentales aptas para aseguradora ciberriesgo
Soporte por email durante 30 días

Reservar plan Estándar →

Extendida · recomendada

Auditoría CIS IG1 + Pentesting

Todo lo del plan Estándar y, además, pruebas técnicas controladas para validar qué vulnerabilidades son explotables de verdad.

4.250 €

+ IVA · flexibilidad de pago

Todo lo incluido en el plan Estándar
Pentesting perimetral externo (servicios expuestos)
Validación técnica real de las vulnerabilidades del informe
Sesión de devolución técnica adicional con tu IT
Soporte por email durante 60 días
Documentación de evidencias para auditoría externa o cliente final

Reservar plan Extendido →

💡 Importante: el pentesting incluido en el plan Extendido es de tipo ligero: orientado a validar la exposición externa de un despacho profesional estándar. Si tu organización requiere pentesting más profundo, lo cotizamos aparte.

Proceso

14 días desde la firma hasta el informe final.

Solo necesitamos 2-3 horas distribuidas de tu equipo. El trabajo pesado lo hacemos nosotros.

Firma de NDA

Acuerdo de confidencialidad reforzado. Cubre secreto profesional y datos especialmente protegidos.

Día 1

Kick-off remoto

Sesión de 60 min para entender tu organización, sistemas y prioridades. Inventario inicial.

Día 2

Trabajo de campo

Análisis técnico, revisión documental, entrevistas con personal clave. (Pentesting si plan Extendido).

Día 3 – 11

Entrega y devolución

Informes ejecutivo y técnico, plan de remediación priorizado y reunión de cierre.

Día 14

Preguntas frecuentes

Lo que nos preguntan antes de firmar.

¿Por qué solo 4 auditorías al mes?

Porque cada auditoría CIS IG1 honesta requiere 40-60 horas de trabajo experto. Si aceptáramos 10 al mes con la misma calidad, necesitaríamos 600 horas de equipo experto al mes que ningún despacho mantiene sin diluir el nivel. Preferimos cerrar plazas y mantener la calidad.

La "CIS 18 IG1" ya no se llama así, ¿no?

Correcto. La denominación oficial actual es CIS Controls v8.1 IG1 o Essential Cyber Hygiene. La actualización a v8.1 es de junio de 2024. Mantiene los 18 controles y las 56 salvaguardas, pero se hablaba de "CIS 18" cuando v8 redujo de 20 a 18 controles. Hoy lo correcto es citarlo como v8.1.

¿Qué diferencia real hay entre el plan Estándar y el Extendido?

El Estándar te dice qué problemas tienes según el marco CIS. El Extendido lo demuestra técnicamente: hacemos pruebas de explotación controladas sobre el perímetro externo de tu organización, para que sepas qué vulnerabilidades son realmente explotables y cuáles son teóricas.

¿Vale la auditoría como evidencia para mi póliza de ciberriesgo?

Sí. El marco CIS Controls es uno de los más reconocidos por las aseguradoras de ciberriesgo (junto con ISO 27001 y NIST). Los entregables están preparados para presentarse como evidencia en cuestionarios de suscripción y renovación de póliza.

¿Tendremos que parar el despacho durante la auditoría?

No. Solo necesitamos 2-3 horas distribuidas de personal clave (responsable IT, socio director, responsable de protección de datos). El resto del trabajo se hace en remoto sin interferir con la operativa diaria del despacho.

¿Y si el cupo del mes está lleno?

Te incluimos en lista de espera priorizada. Si alguien cancela, te avisamos al instante. Si no, confirmamos plaza para el mes siguiente con precio bloqueado.

Reserva la última plaza disponible este mes.

Cuéntanos en 30 segundos qué tipo de despacho diriges y te enviamos propuesta concreta en 24h con el plan que mejor encaja con tu situación.

Solicitar propuesta personalizada →

Sin compromiso · Respuesta en 24h laborables · Si el cupo está cerrado te avisamos al instante