WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

ISO 27001 es la norma internacional para Sistemas de Gestion de Seguridad de la Informacion (SGSI). Proporciona un enfoque sistematico para gestionar informacion sensible. La version 2022 reorganizo los controles del Anexo A en cuatro categorias.

Quien deberia obtener la certificacion ISO 27001?

ISO 27001 es valiosa para cualquier organizacion que necesite demostrar una gestion estructurada de la seguridad de la informacion, especialmente proveedores SaaS, empresas de salud, servicios financieros y organizaciones que trabajan con gobiernos.

Que es el Anexo A de ISO 27001?

El Anexo A contiene 93 controles en cuatro categorias: Organizacionales (37), De personas (8), Fisicos (14) y Tecnologicos (34). Estos controles no son todos obligatorios — las organizaciones seleccionan segun su evaluacion de riesgos.

Cuanto tiempo toma la certificacion ISO 27001?

Para PYME tipicamente 6-12 meses para la implementacion inicial, con 3-6 meses para la primera auditoria. La certificacion es valida por 3 anos con auditorias de vigilancia anuales.

Como se relaciona ISO 27001 con NIS2 y SOC 2?

ISO 27001 proporciona un marco SGSI integral. El cumplimiento NIS2 puede cubrirse ampliamente con controles ISO 27001. SOC 2 se centra en criterios de confianza especificos del servicio, mientras ISO 27001 tiene un alcance mas amplio.

Que puede automatizar WarDek para ISO 27001?

WarDek evalua automaticamente 12 controles tecnicos del Anexo A mediante escaneo de seguridad: verificacion de cifrado, analisis de headers, deteccion de vulnerabilidades, seguridad email y mas.

ISO 27001:2022 Compliance Guide — Annex A Controls

¿Qué es ISO 27001:2022?

ISO 27001 es la norma mundialmente reconocida para los Sistemas de Gestión de Seguridad de la Información (SGSI). Publicada por ISO e IEC, define cómo las organizaciones deben gestionar los riesgos de seguridad de la información mediante un enfoque sistemático basado en procesos. La revisión de 2022 modernizó el conjunto de controles para abordar la computación en la nube, la inteligencia sobre amenazas y la privacidad de datos.

La certificación es otorgada por auditores externos acreditados y debe renovarse cada tres años con auditorías de vigilancia anuales. Para las PYME, ISO 27001 es cada vez más un requisito competitivo — los grandes clientes la exigen frecuentemente durante la evaluación de proveedores.

Las 4 categorías de controles (Anexo A)

ISO 27001:2022 organiza sus 93 controles en cuatro temas, reemplazando la estructura anterior de 14 dominios:

Categoría	Controles	Enfoque
Organizacionales	37	Políticas, roles, responsabilidades, inteligencia sobre amenazas, servicios en la nube, relaciones con proveedores
Personas	8	Verificación de antecedentes, formación en concienciación, teletrabajo, acuerdos de confidencialidad
Físicos	14	Seguridad perimetral, protección de equipos, áreas seguras, cableado, vigilancia
Tecnológicos	34	Control de acceso, criptografía, desarrollo seguro, gestión de vulnerabilidades, registro de eventos, seguridad de red

Cada control tiene atributos asociados — tipo de control (preventivo, detectivo, correctivo), propiedades de seguridad de la información (CIA) y conceptos de ciberseguridad — lo que facilita la correspondencia con otros marcos de referencia.

12 controles técnicos clave que WarDek automatiza

Los escáneres de seguridad de WarDek evalúan automáticamente los siguientes controles del Anexo A mediante análisis pasivos y activos:

Control	Nombre	Qué verifica WarDek
A.5.7	Inteligencia sobre amenazas	Bases de datos de vulnerabilidades conocidas, exposición CVE, fuentes de amenazas
A.5.23	Seguridad de servicios en la nube	Cabeceras del proveedor cloud, configuración CDN, exposición del almacenamiento
A.8.9	Gestión de la configuración	Cabeceras de seguridad, configuración del servidor, ajustes predeterminados
A.8.16	Actividades de monitorización	Cabeceras de registro, manejo de errores, divulgación de información
A.8.20	Seguridad de red	Configuración TLS, suites de cifrado, versiones de protocolo, HSTS
A.8.24	Uso de criptografía	Validez del certificado, fortaleza de claves, estándares de cifrado
A.8.25	Ciclo de desarrollo seguro	Cabeceras de seguridad que indican prácticas SDLC, políticas CSP
A.8.26	Requisitos de seguridad de aplicaciones	Validación de entradas, políticas CORS, mecanismos de autenticación
A.8.28	Codificación segura	Protecciones XSS, defensas contra inyección, codificación de salida
A.8.8	Gestión técnica de vulnerabilidades	CVEs conocidas, versiones de software obsoletas, estado de parches
A.8.12	Prevención de fugas de datos	Metadatos expuestos, listado de directorios, divulgación de información
A.8.22	Filtrado web	Políticas de seguridad de contenido, políticas de referente, permisos

Hoja de ruta de implementación para PYME

Un enfoque práctico en 6 fases para la certificación ISO 27001 de pequeñas y medianas empresas:

Fase 1 — Análisis de brechas (Semanas 1–4)

Evaluar la postura de seguridad actual frente a los controles del Anexo A
Ejecutar un escaneo WarDek para establecer una línea base de los controles técnicos
Identificar logros rápidos y brechas principales
Obtener el compromiso de la dirección y definir el alcance del SGSI

Fase 2 — Evaluación de riesgos (Semanas 5–8)

Identificar los activos de información y sus propietarios
Evaluar amenazas, vulnerabilidades e impactos
Calcular niveles de riesgo y definir planes de tratamiento de riesgos
Crear la Declaración de Aplicabilidad (DdA)— documentando qué controles del Anexo A aplican y por qué

Fase 3 — Políticas y documentación (Semanas 9–16)

Redactar documentos obligatorios: política del SGSI, plan de tratamiento de riesgos, DdA
Desarrollar procedimientos operativos para los controles aplicables
Definir métricas y enfoques de monitorización
Establecer el control documental y el versionado

Fase 4 — Implementación (Semanas 17–28)

Desplegar controles técnicos (reglas de firewall, cifrado, gestión de accesos)
Realizar formación de concienciación en seguridad para todo el personal
Implementar procedimientos de respuesta a incidentes
Configurar sistemas de monitorización y registro

Fase 5 — Auditoría interna (Semanas 29–32)

Realizar una auditoría interna completa de todos los controles aplicables
Documentar no conformidades y acciones correctivas
Realizar la revisión por la dirección
Ejecutar un escaneo WarDek final para verificar los controles técnicos

Fase 6 — Auditoría de certificación (Semanas 33–40)

Etapa 1: Revisión documental — el auditor verifica la completitud de la documentación del SGSI
Etapa 2: Auditoría de implementación — el auditor verifica que los controles funcionan eficazmente
Abordar los hallazgos de auditoría dentro del plazo establecido
Obtener la certificación (válida 3 años, vigilancia anual)

Relación con NIS2, RGPD y SOC 2

ISO 27001 no existe de forma aislada. Comprender cómo se relaciona con otros marcos de cumplimiento ayuda a maximizar el retorno de la inversión en certificación:

Marco	Relación con ISO 27001	Solapamiento
NIS2	Las medidas del artículo 21 se corresponden directamente con muchos controles del Anexo A. La certificación ISO 27001 se considera una prueba sólida de cumplimiento NIS2.	~70 %
RGPD	El artículo 32 (seguridad del tratamiento) se alinea con los objetivos de ISO 27001. Los controles del Anexo A para clasificación de datos, control de acceso y criptografía apoyan directamente los requisitos del RGPD.	~50 %
SOC 2	Los Criterios de Servicios de Confianza (seguridad, disponibilidad, integridad del procesamiento, confidencialidad, privacidad) se solapan significativamente con los controles del Anexo A. Muchas organizaciones persiguen ambas certificaciones.	~60 %

Al implementar ISO 27001 primero, las organizaciones cubren típicamente del 50 al 70 % de los requisitos de NIS2, de las medidas técnicas del RGPD y de SOC 2 — haciendo que las certificaciones posteriores sean significativamente más rápidas y rentables.

ISO 27001:2022 — Complete Guide for SMEs