Cómo responder un RFP de seguridad ISO 27001 sin morir en el intento

¿Qué busca realmente el cliente con este cuestionario?

El objetivo de un security assessment no es verificar que tenés todo perfecto — es entender tu nivel de madurez y si tu postura de seguridad es compatible con sus requerimientos. La mayoría de los clientes enterprise no esperan que seas una empresa con ISO 27001 certificada si sos una PyME. Esperan que tengas claridad sobre lo que hacés y lo que no, y que seas honesto al respecto. Una respuesta de "no aplicable, somos una empresa de 20 personas sin procesamiento de datos críticos" es mejor que una respuesta vaga o evasiva.

Las 5 áreas que siempre cubre un security assessment

Independientemente del framework que use el cliente (ISO 27001, SOC 2, NIST CSF, o un cuestionario propio), las preguntas siempre cubren las mismas áreas: (1) Gestión de accesos e identidad — MFA, control de accesos privilegiados, offboarding. (2) Seguridad de datos — cifrado en tránsito y en reposo, backup, retención. (3) Gestión de incidentes — proceso de respuesta, plazos de notificación, contacto de seguridad. (4) Continuidad del negocio — RTO, RPO, plan de DR. (5) Gestión de proveedores — si vos a su vez subcontratás servicios críticos. Organizar tus respuestas por estas 5 áreas antes de empezar te ahorra tiempo y mejora la coherencia.

Cómo armar tu base de conocimiento de seguridad

El primer RFP que respondés te lleva días. El quinto debería llevarte horas. La clave es documentar tus respuestas la primera vez de forma que puedas reutilizarlas. Creá un documento maestro con respuestas estándar a las preguntas más frecuentes, organizado por área. Incluí referencias a tus políticas internas, certificaciones vigentes y evidencias disponibles. Actualizalo cada vez que cambie algo relevante en tus controles. Con esa base, responder el próximo cuestionario es cuestión de adaptar, no de empezar de cero.

Los errores más frecuentes al responder

El error más común es ser vago. "Tenemos políticas de seguridad" no dice nada. "Contamos con una política de control de accesos revisada trimestralmente, con MFA obligatorio para todos los accesos a sistemas de producción y revisión de privilegios cada 90 días" es una respuesta útil. El segundo error es no responder lo que no sabés. Si no tenés un proceso formal de gestión de vulnerabilidades, decilo y explicá qué hacés en su lugar. El tercer error es enviar el cuestionario sin revisión — contradicciones entre respuestas de distintas secciones generan desconfianza inmediata.

Cuándo vale la pena buscar certificación

Si respondés más de 3 security assessments por trimestre, o si perdiste una oportunidad de negocio importante por no tener una certificación específica, probablemente vale la pena invertir en ISO 27001 o SOC 2. El costo de certificación para una empresa mediana ronda los USD 15.000-30.000 entre consultoría, auditoría y tiempo interno. Ese costo se amortiza rápido si desbloqueás clientes enterprise que de otra forma no podés alcanzar. Si todavía no llegás a ese volumen, una buena base de documentación interna es suficiente.

¿Respondés RFPs de seguridad regularmente?

FormReply usa tu base de conocimiento interna para responder cuestionarios de clientes en minutos. Cargás tus políticas, certificaciones y documentos una sola vez, y la IA genera respuestas precisas y consistentes para cada nuevo assessment.