¿Qué marcos de cumplimiento están cubiertos?

Zenith Suite se mapea directamente a ISO/IEC 27001:2022, GDPR, NIS2, DORA, NIST SP 800-53 Rev. 5, COBIT 2019 y normas relacionadas.

¿Las políticas para pymes son adecuadas para organizaciones sin un equipo de TI dedicado?

Sí. Los conjuntos de políticas para pymes están adaptados a estructuras lideradas por el Director General y equipos de negocio, ideales para organizaciones sin CISO o Centro de operaciones de seguridad (SOC).

¿La suite incluye herramientas de auditoría y plantillas de evidencia?

La suite proporciona metodología de auditoría detallada, evidencia de ejemplo y plantillas de documentos para una preparación completa para auditoría.

¿Cómo se gestionan los riesgos de proveedores y de la nube?

Los controles de seguridad de proveedores y de la nube incorporan una gestión integral del ciclo de vida, cláusulas contractuales y gestión de incidentes.

¿Se pueden escalar y personalizar las políticas para el crecimiento?

Las políticas están diseñadas para la escalabilidad, permitiendo transiciones fluidas entre modelos operativos de pymes y de empresa.

The Zenith Suite - Clarysec

Descripción general

The Zenith Suite combina una biblioteca de políticas dual para pymes+empresas, un mapeo maestro de controles y un Zenith Blueprint del SGSI paso a paso para un cumplimiento completo, listo para auditoría, en los marcos ISO 27001, GDPR, NIS2, DORA, NIST y COBIT.

Cobertura de cumplimiento todo en uno

Cubre los principales marcos, ISO 27001, GDPR, NIS2, DORA, NIST y COBIT, garantizando una alineación fluida con la auditoría.

Biblioteca de políticas dual

Incluye conjuntos de políticas tanto para pymes como para empresas, compatibles con cualquier estructura o tamaño de organización.

Implementación guiada por expertos

Siga la hoja de ruta de 30 pasos de Zenith Blueprint, elaborada por un auditor principal, para una implantación exitosa del Sistema de gestión de la seguridad de la información (SGSI).

Referencia de controles de 539 páginas

Mapeo detallado control por control para la preparación operativa y de auditoría, con evidencia y metodología.

Leer descripción completa

The Zenith Suite es una solución de GRC integral, de extremo a extremo, diseñada para organizaciones que buscan lograr y mantener una ciberseguridad sólida y el cumplimiento normativo. Al reunir la biblioteca completa de políticas para pymes+empresas, el kit maestro Zenith Controls y la hoja de ruta integral Zenith Blueprint, esta suite ofrece todos los componentes esenciales para la planificación estratégica, la gobernanza, el aseguramiento operativo y la mejora continua. La biblioteca de políticas incluye tanto políticas específicas para pymes (P01S–P37S) como documentos de nivel empresarial (P01–P37), con un total de 74 políticas únicas, mapeadas y listas para auditoría. El conjunto para pymes, reconocible por la “S” en los números de documento y por las asignaciones al rol de Director General, está adaptado a pequeñas y medianas empresas con estructuras simplificadas, mínima especialización de TI y responsabilidades claras mapeadas a líderes y equipos. Estas políticas aplican controles prácticos en seguridad, privacidad, TI y operaciones, e incluyen mandatos de revisión anual, gestión de versiones y gestión de excepciones documentada lista para el escrutinio del auditor. En contraste, las políticas de empresa abordan la complejidad y las responsabilidades interfuncionales típicas de organizaciones reguladas y de gran tamaño, incorporando dominios avanzados de gobernanza, auditoría, legal, riesgo, adquisición y tecnología, con mapeos directos e integración de acciones correctivas. El kit Zenith Controls es un compendio autorizado de 539 páginas que aporta un mapeo meticuloso control por control de ISO 27001:2022 a NIS2, DORA, GDPR, NIST y COBIT. Cubre controles de gobernanza, tecnológicos, de personal y de seguridad física, con metodología de auditoría completa, requisitos de evidencia y orientación de implementación. El kit destaca por sus referencias cruzadas detalladas: cada control se describe en términos operativos, se vincula a cláusulas relevantes y se respalda con notas prácticas para la recopilación de evidencia, la gestión de proveedores, la supervisión de la nube y la seguridad desde el diseño. Permite a los usuarios preparar narrativas de cumplimiento claras y defendibles para auditorías y la interacción con reguladores. Guiando a las organizaciones desde la planificación hasta la ejecución, Zenith Blueprint ofrece una hoja de ruta de 30 pasos alineada con todo el ciclo de vida del SGSI: definición del alcance, compromiso de la dirección, gestión de riesgos, operacionalización de controles, auditoría interna y mejora continua. Elaborada por un auditor principal con experiencia, esta guía integra requisitos de ISO/IEC 27001, NIS2, DORA, GDPR y NIST en un único sistema operativo paso a paso, proporcionando plantillas accionables, listas de verificación, estructuras de informes y ejemplos de revisión por la dirección. Cada fase, desde el análisis de contexto y el mapeo de partes interesadas hasta el registro de riesgos, la declaración de aplicabilidad, los controles tecnológicos y controles físicos, y los procesos de acciones correctivas, incluye mapeo entre marcos para el cumplimiento en múltiples jurisdicciones. La verdadera fortaleza de The Zenith Suite reside en su estructura integrada y escalable. Tanto los conjuntos de políticas para pymes como los de empresa pueden utilizarse de forma independiente o combinarse para organizaciones con modelos operativos diversos. La suite es ideal para organizaciones que buscan simplificar el cumplimiento, incluso sin equipos de TI dedicados, aprovechando documentos para pymes desarrollados para Directores Generales y estructuras de roles simples, o para empresas que afrontan auditorías regulatorias complejas y colaboración interdepartamental. Toda la documentación está rigurosamente mapeada a marcos, lo que permite una personalización rápida y una transición fluida a medida que las organizaciones crecen, se reestructuran o fusionan unidades. Ya sea para construir un SGSI desde cero o para madurar una gobernanza existente, The Zenith Suite aporta claridad, preparación para auditoría y cobertura operativa en todos los dominios de seguridad, privacidad, proveedores, TI y legal.

Contenido

Combinación completa de políticas para pymes+empresas (74 documentos listos para auditoría)

The Zenith Controls—kit maestro de mapeo de controles

Zenith Blueprint—hoja de ruta de implantación del SGSI en 30 pasos

Metodología de auditoría mapeada y plantillas

Matriz de roles y responsabilidades

Procedimientos de control de acceso y gestión de cambios

Criterios de pruebas de proveedores y terceros

Módulos de respuesta a incidentes y gestión de evidencia

Reglas de protección de datos y privacidad

Marco	Cláusulas / Controles cubiertos
ISO/IEC 27001:2022	Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23 CA-1, CA-2, CA-3, CA-5, CA-7, CA-9 AU-2, AU-6, AU-8, AU-9, AU-12 SI-2, SI-3, SI-4, SI-10 IR-1, IR-4, IR-5, IR-6, IR-8, IR-9 RA-3, RA-5 AC-1–AC-20 PS-2, PS-3, PS-4, PS-5, PS-6, PS-7 MP-2–MP-7 CM-2, CM-3, CM-4, CM-5, CM-6, CM-8 PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16 MA-1–MA-3 CP-1, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10 DM-2 UL-4 AR-4 PT-2, PT-3 SA-3, SA-4, SA-9, SA-9(5), SA-10, SA-11, SA-15 SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, SC-32, SC-45 SI-12 SR-3, SR-5
EU NIS2	Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II
EU DORA	Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A
EU GDPR	Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Marco

Cláusulas / Controles cubiertos

ISO/IEC 27001:2022

Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

EU NIS2

Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II

EU DORA

Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A

EU GDPR

Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Políticas relacionadas

Política de control de acceso

Esta política define cómo la organización gestiona el control de acceso a sistemas, datos e instalaciones para garantizar que solo las personas autorizadas puedan acceder a la información en función de la necesidad del negocio.

Política de respuesta a incidentes (P30)

Esta política define cómo la organización detecta, notifica y responde a incidentes de seguridad de la información que afecten a sistemas digitales, datos o servicios.

Política de protección de datos y privacidad

Esta política define cómo la organización protege los datos personales en línea con las obligaciones legales, los marcos regulatorios y las normas internacionales de seguridad.

Política de seguridad de proveedores

Esta política establece los requisitos de seguridad obligatorios para la contratación, gestión y terminación de relaciones con terceros y proveedores.

Política de continuidad del negocio y recuperación ante desastres

Esta política garantiza que la organización pueda mantener las operaciones del negocio y recuperar los servicios esenciales de TI durante y después de eventos disruptivos.

Sobre las Políticas de Clarysec - The Zenith Suite

The Zenith Suite es un conjunto de herramientas de GRC integral diseñado para simplificar y reforzar la seguridad, el cumplimiento y la preparación para auditoría de la organización. Integra una biblioteca de políticas dual adecuada tanto para pymes como para empresas, un kit de mapeo maestro de controles y una hoja de ruta de implementación por etapas elaborada por expertos reconocidos. Cada documento y herramienta de la suite está mapeado a controles reales y cláusulas regulatorias, lo que permite aportar evidencia clara y defendible para auditorías internas y de certificación. La arquitectura escalable de la suite permite a las organizaciones realizar transiciones con facilidad a medida que crecen, se reestructuran o se fusionan, sin perder la integridad del cumplimiento. Ambos conjuntos de políticas son aplicables y adaptables para Directores Generales, líderes o equipos interfuncionales, siendo adecuados para organizaciones con o sin recursos especializados de TI. Zenith Suite ofrece una cobertura integral de gobernanza, TI, privacidad, gestión de proveedores, controles tecnológicos, controles físicos y controles operativos, y se actualiza periódicamente para alinearse con la evolución de las normas y las mejores prácticas del sector.

Documentos instantáneos, listos para auditoría

Acceda a 74 plantillas de políticas totalmente mapeadas y listas para implementar para el cumplimiento operativo inmediato.

Rendición de cuentas basada en roles

Las políticas para pymes asignan responsabilidades claras para estructuras no TI; los documentos de empresa gestionan equipos complejos.

Profundidad del mapeo regulatorio

Cada política, control y plantilla se mapea con precisión a las regulaciones relevantes, simplificando auditorías y certificación.

Controles de seguridad de proveedores y de la nube

Aplique estándares contractuales y gestión integral del ciclo de vida en proveedores externos y entornos de nube.

Escalable para todos los tamaños de empresa

Combine y personalice los conjuntos para pymes y de empresa para start-ups, pymes u organizaciones multinacionales complejas.

Preguntas frecuentes

Diseñado para Líderes, por Líderes

Esta política ha sido elaborada por un líder en seguridad con más de 25 años de experiencia en la implementación y auditoría de marcos ISMS en organizaciones globales. Está diseñada no solo como un documento, sino como un marco defendible que resiste el escrutinio de los auditores.

Elaborado por un experto que cuenta con:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

The Zenith Suite