Cómo contratar una empresa de ciberseguridad: guía de decisión para gestores

Respuesta directa

Para contratar una empresa de ciberseguridad, evalúa primero el alcance exacto que necesitas —pentest, SOC, respuesta a incidentes o conformidad— y luego verifica las certificaciones del equipo (OSCP, CISSP, ISO 27001), la metodología documentada, las referencias de clientes en tu sector, el SLA de respuesta, la cláusula de NDA y el formato de los informes entregados. Pide una propuesta con precificación detallada y rechaza a los proveedores que no ofrezcan retest sin costo adicional o informe ejecutivo.

En resumen

  • Define el alcance antes de pedir propuestas: servicios distintos (pentest, SOC, vCISO) responden a preguntas de negocio completamente diferentes.
  • Las certificaciones individuales del equipo (OSCP, CISM, CEH) importan más que las certificaciones genéricas de la empresa.
  • El SLA de comunicación de incidente crítico debe ser ≤ 2 horas; exígelo en el contrato, no solo en las presentaciones.
  • Todo contrato de ciberseguridad necesita un NDA robusto, una cláusula de responsabilidad limitada y un alineamiento explícito con la LGPD.
  • Un precio anormalmente bajo, la ausencia de retest y la falta de informe ejecutivo son las tres mayores señales de alerta del mercado.
  • Decripte atiende empresas de 1 a más de 100.000 colaboradores con planes escalables —del MEI al Enterprise— con un diagnóstico gratuito como punto de partida.

Por qué contratar una empresa de ciberseguridad — y cuándo llegó el momento adecuado

La mayoría de los gestores solo piensa en ciberseguridad después de un incidente. El problema es que, en ese punto, el costo promedio de respuesta a un ransomware en Brasil ya supera los R$ 1,4 millones, según un relevamiento de 2024 de IBM Security, sin contar la paralización operativa, los daños a la reputación y las penalidades de la ANPD por una eventual violación de datos personales.

La decisión de contratar debe anticiparse. Algunos disparadores indican que el momento llegó: tu empresa pasó por un crecimiento acelerado y los controles no lo acompañaron; vas a iniciar la conformidad con ISO 27001, SOC 2 o LGPD; tu sector está bajo regulación específica (Bacen, ANVISA, SUSEP); ocurrió un incidente anterior o una auditoría externa señaló vulnerabilidades; o simplemente el consejo pasó a exigir un informe de postura de seguridad.

Tercerizar la ciberseguridad no es señal de debilidad tecnológica: es una decisión estratégica. Las empresas especializadas tienen inteligencia de amenazas actualizada, herramientas de punta y equipos multidisciplinarios que un equipo interno rara vez logra replicar con la misma relación costo-beneficio.

Tipos de servicio × cuándo contratar: tabla de decisión rápida

Antes de pedir una propuesta, entiende qué servicio resuelve tu problema. La confusión entre modalidades es la principal causa de contratos mal dimensionados, y de gestores insatisfechos seis meses después.

| Servicio | Qué entrega | Cuándo contratar | |---|---|---| | Pentest (prueba de intrusión) | Informe técnico + ejecutivo de vulnerabilidades explotables en sistemas, redes o aplicaciones | Antes de lanzar un producto, tras un cambio de infraestructura, por exigencia de cliente/auditoría o anualmente | | SOC / MDR | Monitoreo continuo 24×7, detección y respuesta a alertas en tiempo real | Cuando procesas datos críticos o necesitas visibilidad permanente sobre amenazas activas | | Respuesta a Incidentes (IR) | Contención, erradicación y recuperación durante una crisis activa | Ni bien sospeches de un compromiso — cada hora cuenta | | Conformidad (ISO 27001, LGPD, SOC 2) | Gap analysis, implementación de controles, preparación para auditoría y certificación | Al iniciar el camino regulatorio o renovar una certificación | | vCISO | Liderazgo estratégico de seguridad a demanda, sin relación laboral | Cuando falta madurez de gobernanza, pero no hay presupuesto para un CISO de tiempo completo | | Threat Intelligence | Feed de IoCs, monitoreo de dark web y superficie de ataque | Para empresas maduras que quieren anticipar campañas dirigidas al sector |

Cada modalidad puede —y en general debe— combinarse. Un pentest anual sin monitoreo continuo crea una falsa sensación de seguridad: sabes qué era vulnerable el día de la prueba, no qué será vulnerable mañana.

Gestión de Amenazas · Gratis

Solicita un diagnóstico gratuito de Decripte y descubre, en menos de 48 horas, cuáles son los mayores riesgos de tu empresa, sin compromiso.

Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.

Qué evaluar en una empresa de ciberseguridad: criterios objetivos

**Certificaciones del equipo técnico.** Pregunta quién ejecutará el servicio, no quién firma la propuesta. Los profesionales de pentest deben tener OSCP, OSCE o CEH. Los analistas de SOC, CompTIA Security+ o CySA+. Los líderes de gobernanza, CISSP o CISM. Los gerentes de proyectos de conformidad, Lead Implementer ISO/IEC 27001.

**Metodología documentada.** Las empresas serias siguen frameworks reconocidos: OWASP Testing Guide para pentest web, PTES para pentest de infraestructura, NIST SP 800-61 para respuesta a incidentes, CIS Controls o ISO 27002 para conformidad. Si el proveedor no cita metodología o dice que tiene una 'metodología propietaria' sin explicar la base, huye.

**Referencias verificables en tu sector.** Pide contactos de clientes con perfil similar al tuyo: tamaño, segmento, tipo de dato procesado. Una empresa de salud no debería ser el primer cliente de una empresa de ciberseguridad en ese sector.

**SLA contractual, no comercial.** El SLA de respuesta a incidente crítico debe estar en el contrato de servicio, no solo en el deck de ventas. Exige: tiempo máximo para el primer contacto tras la alerta (≤ 2 horas), tiempo de contención inicial (≤ 4 horas para severidad crítica) y frecuencia mínima de comunicación durante la crisis.

**Confidencialidad y NDA.** Todo proyecto de ciberseguridad implica acceso a información sensible: arquitectura de red, datos de clientes, vulnerabilidades no corregidas. Exige un NDA bilateral antes de cualquier reunión técnica y verifica que el contrato principal incluya una cláusula de confidencialidad con vigencia mínima de 5 años después de la finalización.

**Informes: ejecutivo y técnico.** El informe ejecutivo debe ser legible por un director sin formación técnica y contener el riesgo en lenguaje de negocio (impacto financiero, probabilidad, prioridad de corrección). El informe técnico debe tener evidencias reproducibles (capturas, payloads, logs) para que tu equipo u otro proveedor pueda validar y remediar. Exige ambos antes de firmar.

Preguntas que todo gestor debe hacer al proveedor antes de contratar

La negociación es el mejor momento para evaluar la madurez real de un proveedor. Los proveedores serios responden sin titubear. Las preguntas de abajo revelan competencia, procesos y postura ética:

1. **¿Quién, específicamente, ejecutará el servicio?** Pide el currículum o el perfil de LinkedIn del consultor principal. La tercerización no declarada es una red flag grave en seguridad.

2. **¿Qué metodología siguen y cómo está documentada?** La respuesta debe citar NIST, OWASP, PTES o ISO, y el proveedor debe poder explicar qué entrega cada etapa.

3. **¿Cómo manejan una vulnerabilidad crítica encontrada durante el pentest?** La respuesta correcta es: notificación inmediata al cliente, con orientación de mitigación de emergencia, antes del informe final.

4. **¿El retest tras la corrección está incluido en el alcance?** Cualquier pentest serio incluye al menos un ciclo de retest de las vulnerabilidades críticas y altas sin costo adicional.

5. **¿Cómo garantizan que los datos recolectados durante el servicio se destruyen al final?** Debe haber una política documentada de retención y destrucción de datos, alineada con la LGPD.

6. **¿Tienen seguro de responsabilidad civil profesional (E&O)?** Las empresas maduras lo tienen. La ausencia no es eliminatoria, pero necesita una contrapartida contractual.

7. **¿Cuál es el proceso de escalamiento si ocurre un incidente fuera del horario comercial?** La respuesta debe describir un flujo real, no un 'llamamos al equipo'.

Gestión de Amenazas · Gratis

Sin tarjeta, sin compromiso — entiende tu riesgo real antes de invertir.

Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.

Señales de alerta: cómo identificar a un proveedor inadecuado

El mercado de ciberseguridad en Brasil creció por encima del 30% anual desde 2021, lo que atrajo a proveedores no preparados junto con los especializados. Algunas señales exigen atención inmediata:

**Precio anormalmente bajo.** Un pentest completo de aplicación web que cuesta R$ 500 no financia ni el tiempo de un profesional calificado. Un precio demasiado bajo significa un alcance reducido no declarado, el uso de herramientas automatizadas sin análisis humano (un escaneo de vulnerabilidades vendido como pentest) o la tercerización a profesionales sin cualificación.

**Sin retest incluido.** Un pentest sin retest es una fotografía: muestra el estado en un momento, pero no confirma que las correcciones funcionaron. Cualquier proveedor serio incluye al menos un ciclo de retest en las vulnerabilidades críticas.

**Ausencia de informe ejecutivo.** Si la entrega es apenas un informe técnico en inglés generado por una herramienta automatizada, el proveedor no está agregando análisis humano: está revendiendo el output de un escáner. Un informe ejecutivo en español, con contexto de negocio, es obligatorio.

**Resistencia al NDA antes de la reunión técnica.** Un proveedor que se niega a firmar un NDA antes de que compartas detalles de infraestructura o alcance no tiene la madurez jurídica adecuada para el servicio.

**Promesas de 'seguridad total' o '100% de protección'.** La ciberseguridad no promete invulnerabilidad: promete una reducción de riesgo medible y capacidad de detección y respuesta. Cualquier proveedor que garantice protección absoluta está vendiendo una ilusión.

**Sin mención a la LGPD en el contrato.** Si el contrato no trata cómo se procesan, almacenan y destruyen los datos de tu empresa durante el proyecto, el proveedor no tiene una gobernanza de privacidad adecuada.

Contrato, LGPD y gobernanza: lo que no puede faltar en el documento

El contrato de prestación de servicios de ciberseguridad tiene particularidades que los contratos genéricos de TI no cubren. Antes de firmar, asegúrate de que los siguientes puntos estén tratados explícitamente:

**Alcance técnico detallado.** Las direcciones IP, los dominios, los sistemas y los tipos de prueba autorizados deben estar listados con precisión. Esto te protege a ti (limita lo que el proveedor puede probar) y también al proveedor (evita alegaciones de acceso no autorizado).

**Cláusula de operaciones autorizadas (Rules of Engagement).** Especialmente en pentests, debe describir el horario permitido para pruebas invasivas, los sistemas fuera de alcance y el procedimiento de emergencia si algo se sale de control.

**Tratamiento de datos bajo la LGPD.** El proveedor es operador de datos personales durante el proyecto. El contrato debe incluir: finalidad del tratamiento, plazo de retención, obligación de comunicar incidentes que involucren datos personales dentro de 72 horas y obligación de eliminación al final del servicio, conforme a los art. 46 y 48 de la LGPD.

**SLA contractual con penalidades.** Un SLA sin penalidad por incumplimiento es inocuo. Define una multa proporcional por atrasos en la entrega del informe, en la comunicación de una vulnerabilidad crítica y en el tiempo de respuesta a incidentes.

**Propiedad intelectual de los informes.** Los informes, las metodologías y las evidencias recolectadas deben ser de tu propiedad, no del proveedor. Garantízalo explícitamente.

**Cláusula de no captación de personal.** Protege a ambas partes: impide que el proveedor capte a tus empleados y que tú contrates directamente a los consultores del proyecto por un período determinado.

Términos clave

Pentest (Prueba de Intrusión)
Simulación controlada y autorizada de un ataque real contra sistemas, aplicaciones o infraestructura de una organización. El objetivo es identificar y explotar vulnerabilidades antes de que lo hagan agentes maliciosos, produciendo evidencias técnicas y recomendaciones de corrección priorizadas por riesgo.
SOC / MDR (Security Operations Center / Managed Detection and Response)
Centro de operaciones de seguridad que monitorea continuamente el entorno de TI en busca de amenazas activas. El MDR agrega capacidad de respuesta gestionada: el equipo del proveedor no solo detecta, sino que toma acciones de contención y mitigación en nombre del cliente.
vCISO (Chief Information Security Officer Virtual)
Modelo de liderazgo estratégico de seguridad de la información prestado a demanda, sin vínculo laboral. El vCISO define política, gobernanza, roadmap y participa en reuniones de directorio por el tiempo y la frecuencia contratados, generalmente de 4 a 20 horas mensuales.
SLA de Seguridad (Service Level Agreement)
Acuerdo formal que define tiempos máximos de respuesta, criterios de severidad de incidentes y penalidades por incumplimiento. En ciberseguridad, los SLA más críticos son el de notificación de vulnerabilidad crítica (inmediata) y el de respuesta a incidente activo (≤ 2 horas para severidad P1).

Cómo decidir y contratar bien

  1. Mapea tu superficie de riesgo y define el alcance. Lista los activos críticos de tu organización: sistemas expuestos a internet, datos personales procesados, integraciones con terceros y regulaciones aplicables. Ese mapeo define qué servicio realmente necesitas y evita comprar un alcance innecesario o insuficiente.
  2. Establece criterios de evaluación antes de contactar proveedores. Define tus criterios eliminatorios (NDA obligatorio, informe ejecutivo en español, retest incluido) y clasificatorios (certificaciones, referencias en el sector, SLA contractual). Los criterios definidos antes del proceso evitan que un deck de ventas bien producido distorsione la decisión.
  3. Solicita un RFP o briefing técnico a al menos tres proveedores. Envía un documento con el alcance técnico, tus criterios y las preguntas obligatorias. Las propuestas recibidas sin respuesta a las preguntas técnicas deben descartarse: demuestran falta de atención o incapacidad de responder.
  4. Verifica referencias y valida certificaciones. Llama a los contactos de referencia proporcionados. Pregunta específicamente sobre el cumplimiento de plazos, la calidad del informe, el comportamiento en situación de crisis y si volverían a contratar. Valida las certificaciones técnicas directamente en los portales de los organismos emisores (Offensive Security, (ISC)², ISACA).
  5. Negocia y revisa el contrato con soporte jurídico especializado. No uses modelos de contrato de TI genéricos. Garantiza que el alcance técnico, las Rules of Engagement, el SLA con penalidades, el tratamiento de datos bajo la LGPD, la propiedad de los informes y el plazo del NDA estén cubiertos explícitamente. Un abogado con experiencia en derecho digital es altamente recomendable en esta etapa.
  6. Ejecuta el servicio con un acompañamiento interno designado. Designa un punto focal interno —idealmente alguien técnico o el gestor de TI— para acompañar el proyecto. Las reuniones de kick-off y los status semanales no son una formalidad: son el canal para aclarar dudas, ajustar el alcance y garantizar que el equipo del proveedor tenga los accesos necesarios sin atraso.
  7. Valida las entregas, ejecuta el plan de remediación y agenda el retest. Al recibir el informe, valida que todas las vulnerabilidades tengan evidencias reproducibles y recomendaciones accionables. Prioriza las correcciones por criticidad, corrige dentro del plazo contratado y agenda el retest para confirmar la eficacia de las correcciones antes de cerrar el proyecto.

Preguntas frecuentes

¿Cuánto cuesta contratar una empresa de ciberseguridad en Brasil?

El costo varía ampliamente según el servicio. Un pentest de aplicación web de alcance medio cuesta entre R$ 8.000 y R$ 35.000. Un SOC/MDR para pyme empieza en R$ 3.500/mes. Un vCISO a demanda, entre R$ 5.000 y R$ 20.000/mes dependiendo de la dedicación. Las propuestas muy por debajo de esos valores casi siempre indican un alcance reducido o la ausencia de análisis humano calificado.

Mi empresa es pequeña. ¿Vale la pena contratar ciberseguridad?

Sí. Las pymes son blancos frecuentes justamente porque tienen menos defensas. Los ataques de ransomware, el phishing corporativo y la filtración de datos afectan a empresas de cualquier tamaño. Proveedores como Decripte ofrecen planes escalables para empresas de 1 a más de 100.000 colaboradores; el punto de partida es un diagnóstico gratuito que ya entrega valor inmediato.

¿Cuál es la diferencia entre pentest y escaneo de vulnerabilidades?

El escaneo de vulnerabilidades (vulnerability scan) es automatizado: las herramientas identifican versiones desactualizadas, configuraciones inseguras y CVEs conocidos. El pentest lo realizan profesionales que explotan manualmente las vulnerabilidades encontradas para demostrar el impacto real, incluyendo cadenas de ataque que las herramientas automatizadas no detectan. Ambos son complementarios, pero no intercambiables.

¿La empresa de ciberseguridad que contrate puede filtrar mis datos?

Es un riesgo que debe mitigarse contractualmente. Exige un NDA robusto, una política documentada de retención y destrucción de datos, la confirmación de que el proveedor trata los datos como operador bajo la LGPD y, idealmente, un seguro de responsabilidad civil profesional. Los proveedores maduros tienen todos esos elementos listos para presentar.

¿Con qué frecuencia debo contratar un pentest?

La recomendación estándar del mercado es al menos anualmente para sistemas críticos. Además, realiza pentests puntuales tras cambios significativos de arquitectura, el lanzamiento de nuevos productos digitales, fusiones y adquisiciones o cuando lo exija un cliente o una regulación. Sectores como el financiero y la salud frecuentemente exigen ciclos semestrales.

¿Qué es la LGPD y por qué impacta el contrato de ciberseguridad?

La Ley General de Protección de Datos (Ley 13.709/2018) regula el tratamiento de datos personales en Brasil. Cuando contratas una empresa de ciberseguridad, ella accede a sistemas que frecuentemente contienen datos personales de tus clientes y colaboradores, lo que la convierte en operadora de esos datos. El contrato debe definir finalidad, plazo de retención, obligación de notificación de incidentes y eliminación de los datos al final del proyecto, so pena de responsabilidad solidaria ante la ANPD.

Referencias

Cómo lo resuelve Decripte

Del diagnóstico gratuito al servicio gestionado — elige el punto de entrada correcto.

Solicita un diagnóstico gratuito de Decripte y descubre, en menos de 48 horas, cuáles son los mayores riesgos de tu empresa, sin compromiso.

Empieza gratis con la Gestión de Amenazas y descubre qué ya está expuesto. Evoluciona a los planes gestionados cuando tenga sentido — sin montar un equipo interno.