Ejemplos verificables de evaluación preliminar ISO. Datos agregados de magnitudes (hallazgos, no conformidades, plazos, resultados). Sin nombres de organización por confidencialidad declarada estructural.
Ningún caso permite identificar la organización por inferencia. Cuando país × sector × tamaño da k<5, se agrupa.
Ninguna organización auditada bajo G-CERTI aparece como caso. Firewall 01C aplicado.
Cantidades de hallazgos, decisiones y tasa de cierre publicadas. La organización citada conoció y aprobó la publicación.
Cada caso describe contexto operativo, pregunta del directorio, metodología, hallazgos agregados, decisiones tomadas y resultado de cierre.
Del SGSI documentado al sistema controlable
Organización con ISO 27001:2013 vigente desde 2019 y tres ciclos limpios de seguimiento. Evaluación preliminar previa a la transición a la revisión 2022 reveló 47 hallazgos, 12 no conformidades mayores y un proveedor cloud crítico sin plan de salida documentado.
Brecha del 30% que ninguna certificación cubre
Empresa de servicios tecnológicos con cuatro productos basados en IA, comercializando dos de ellos a clientes en Unión Europea. Diagnóstico simultáneo ISO 42001 + EU AI Act reveló 31 hallazgos en el SGI-IA y tres artefactos estructurales obligatorios por el Act que ninguna certificación cubre.
Cuando el sistema certificado deja de generar decisiones
Organización industrial con ISO 9001 certificada desde 2012, tres ciclos de recertificación. Evaluación de efectividad solicitada por nueva dirección reveló sistema documentalmente perfecto pero operativamente desconectado: 38 hallazgos, predominio de inefectividad funcional sobre incumplimiento normativo.
La autoridad sirve cuando ayuda a tomar una decisión concreta sobre el sistema.