TL;DR: ISO 27001 en una FinTech suiza, en 90 segundos
ISO/IEC 27001:2022 es la misma norma en todas partes, pero las entidades de servicios financieros suizas la leen a través de seis overlays regulatorios: Circular FINMA 23/01 (riesgo operativo y resiliencia), Circular 18/3 (externalización), la Ley Federal de Seguridad de la Información (ISG, con reporte de ciberataques en 24 horas desde abril de 2025), la Ley Federal de Protección de Datos revisada (nLPD), DORA (para entidades con exposición UE) y el Reglamento de IA de la UE (aplicación por fases hasta 2027). Una auditoría ISO limpia es necesaria pero no suficiente. El SGSI que sobrevive a una inspección FINMA es el que se diseña con el overlay regulatorio mapeado desde el día uno, no retroadaptado en la primera inspección.
Único PECB Titanium Partner en Suiza: 99 % de aprobado en exámenes PECB, +2.500 profesionales formados desde +120 países
Diagrama que muestra el SGSI ISO/IEC 27001:2022 arriba como norma internacional, con el overlay regulatorio suizo debajo (Circular FINMA 23/01, Circular FINMA 18/3, ISG, nLPD) y la capa de spillover UE debajo (DORA, EU AI Act). Cada marco muestra qué pide al SGSI.
¿Por qué ISO 27001 se lee diferente en una FinTech suiza?
Una CTO de FinTech me enseñó su SGSI el trimestre pasado. Documentación limpia, alcance bien definido, certificada seis meses antes por un organismo de certificación con buena reputación. Después su banco partner le envió la revisión anual de externalización bajo la Circular FINMA 18/3. Tres de los controles que había cerrado en su auditoría ISO 27001 volvieron con preguntas de seguimiento. No porque el SGSI estuviera mal. Porque FINMA lee la conformidad ISO con una lente distinta a la de un auditor ISO.
Esta es la paradoja del SGSI FinTech en Suiza. ISO 27001 es el ancla internacional al que apunta cualquier regulador, pero en una FinTech suiza nunca está sola en la página. Se lee junto a las circulares de FINMA sobre riesgo operativo y externalización, la Ley Federal de Seguridad de la Información (ISG), la Ley Federal de Protección de Datos revisada (nLPD), y, para cualquier FinTech con exposición UE, DORA y el Reglamento de IA de la UE. Cuando esas lecturas se superponen a tu SGSI, seis cosas concretas cambian.
ISO 27001:2022 es la norma. Los controles del Anexo A, las cláusulas SGSI (4 a 10), el ciclo de auditoría, todo lo que un Lead Implementer aprende a diseñar y un Lead Auditor aprende a evaluar. Esa capa no cambia en Suiza. El Anexo A se lee igual en Zúrich que en Singapur.
Lo que cambia es la capa que se le superpone. Para una FinTech suiza, el overlay regulatorio lee cada control ISO con una lente operativa específica, le hace una pregunta concreta y trata los hallazgos de auditoría como entradas a una inspección regulatoria, no como el final de la historia.
Circular FINMA 23/01 (Riesgos operativos y resiliencia, bancos)
La circular principal de la Autoridad Suiza de Supervisión del Mercado Financiero sobre riesgo operativo y resiliencia, en vigor desde el 1 de enero de 2024. Establece las expectativas supervisoras sobre riesgo TIC, ciberriesgo, continuidad de negocio, acuerdos con terceros y gestión de datos críticos para los bancos. FINMA no exige legalmente ISO 27001, pero la reconoce como una vía aceptada para demostrar una gobernanza sólida del riesgo TIC, y lee sus expectativas por encima del marco que la institución haya elegido. Fuente: FINMA, Circular 2023/1, en vigor desde el 1 de enero de 2024.
La lectura en dos capas es la brecha que los planes de estudio Lead Implementer genéricos no cubren por defecto. La formación impartida por practicantes la cierra. Los seis cambios que siguen son el lugar donde la brecha aparece en la práctica.
¿Qué cambia para el alcance del SGSI cuando FINMA está en la sala?
En un entorno no regulado, el alcance del SGSI es una decisión interna: qué servicios, procesos y datos quieres certificar. En una FinTech suiza, el alcance se convierte en una pregunta de procurement y supervisora.
Pre-licencia, los equipos de due diligence de tus bancos o aseguradoras partner dictan en la práctica el alcance: cualquier cosa que toque sus servicios regulados tiene que estar dentro. Post-licencia, FINMA espera que el alcance cubra todos los servicios materiales, y los supervisores leen los enunciados de alcance con ojo afilado para detectar exclusiones. El modo de fallo habitual es tratar los rieles de pago de cara al cliente o los pipelines KYC como «externalizados y por tanto fuera de alcance». En la práctica supervisora de FINMA y en la lectura de due diligence de los partners, se tratan como dentro de alcance: son tu servicio a una contraparte regulada, y el enunciado de alcance del organismo de certificación es el artefacto que un examinador FINMA, o el responsable de externalización de tu partner, leerá primero.
Lo que funciona en la práctica: definir el alcance como el servicio entregado, no como la entidad legal que provee cada componente. Una FinTech de orquestación de pagos que vende a un banco regulado no puede definir el alcance de su SGSI como «la capa de orquestación» excluyendo el flujo de onboarding del comercio que dispara el KYC. Toda la superficie del servicio está en alcance, y la Declaración de Aplicabilidad tiene que reflejarlo. Cualquier otra cosa fracasa en la lectura de procurement antes que en la supervisora.
¿Cómo se leen los controles del Anexo A frente a la Circular 23/01?
Una auditoría ISO limpia no equivale a una inspección FINMA limpia. El mismo control puede pasar una y suspender la otra.
La gestión de cambios TIC (Anexo A.5.37) se lee frente a las expectativas de la Circular 23/01 sobre riesgo de cambio para funciones críticas. La continuidad de negocio (A.5.30) se lee frente al pilar de resiliencia operativa: no solo «¿tienes un plan?», sino «¿cuál es tu tolerancia a la disrupción, por servicio, y cómo se ha derivado esa tolerancia?». La gestión de incidentes cibernéticos (A.5.24) se lee sobre las expectativas de reporte de incidentes de FINMA y la obligación de reporte de ciberataques de la ISG. La seguridad de proveedores (A.5.19 a A.5.23) se lee junto a la Circular 18/3 sobre externalización.
El error es documentar los controles del Anexo A en aislamiento y descubrir la capa regulatoria en la primera inspección FINMA. La disciplina es mapear cada control material tanto a su cláusula ISO como a su circular suiza aplicable, en el mismo documento de control.
Es uno de los puntos donde el tooling se gana el sueldo. Algunas FinTechs suizas construyen la vista multimarco internamente sobre plataformas GRC existentes. Otras usan herramientas dedicadas como Acuna GRC, capaces de modelar ISO 27001, expectativas FINMA, nLPD, DORA y EU AI Act como una única biblioteca de controles en lugar de cinco documentos paralelos. La elección de tooling importa menos que la disciplina de evitar bibliotecas de controles paralelas; la disciplina importa más que cualquier herramienta concreta.
Para los profesionales, la combinación de formación Lead Implementer e ISO 27005 Risk Manager es materialmente más fuerte que cualquiera de las dos por separado en un contexto FinTech regulado, porque la densidad de riesgos es la dimensión donde la lectura de FINMA muerde con más fuerza.
¿Qué le pide la Circular 18/3 a tu registro de riesgos de proveedores?
El registro de riesgos de proveedores del SGSI no es un artefacto de back-office en una FinTech suiza. Es el documento que los examinadores FINMA leen para evaluar el riesgo de concentración, la estrategia de salida, los derechos de auditoría y las cadenas de subexternalización.
La Circular 18/3 (Externalización, bancos y aseguradoras) plantea cuatro preguntas supervisoras a cada relación de externalización material: ¿se entiende y se acota el riesgo de concentración?; ¿hay una estrategia de salida creíble?; ¿son exigibles los derechos de auditoría de extremo a extremo?; y ¿se controla la subexternalización? Los controles de proveedores de ISO 27001 responden a la dimensión de seguridad. La Circular 18/3 plantea encima las dimensiones de resiliencia y gobernanza.
El modo de fallo más habitual para las FinTechs es la concentración cloud. Una relación única con un hyperscaler sin estrategia de salida documentada pasa la seguridad de proveedores ISO 27001 si la configuración de seguridad es sólida. No pasa la Circular 18/3.
Para la FinTech que es el tercero, la que vende a un banco, la lente se invierte: serás auditada bajo el marco de externalización de tu cliente, y tu certificación ISO 27001 es el ticket de entrada, no la conclusión. Las cláusulas de propagación de derechos de auditoría, la notificación de subexternalización y el soporte de estrategia de salida se convierten en obligaciones contractuales que el SGSI tiene que operacionalizar, no solo describir.
¿Cómo se apila por triplicado el reporte de incidentes cibernéticos en una FinTech suiza?
ISO 27001 espera un proceso de gestión de incidentes. La regulación FinTech suiza espera tres, corriendo en paralelo.
El proceso ISO interno existe para el SGSI: detección, clasificación, respuesta, lecciones aprendidas y mejora continua. Las expectativas de FINMA se superponen: los incidentes materiales en instituciones reguladas y sus partners de externalización materiales son reportables sobre una base de riesgo operativo, con plazos y contenidos guiados por la orientación FINMA y el diálogo supervisor. La obligación de reporte a 24 horas de la ISG, en vigor desde abril de 2025, fija un reloj duro para los ciberataques sobre infraestructuras críticas, y las instituciones financieras suizas se clasifican rutinariamente como tales. Desde octubre de 2025, el marco de sanciones federal bajo la ISG prevé sanciones financieras de hasta 100.000 CHF contra los operadores de infraestructuras críticas que incumplan la obligación de notificación de ciberataques en 24 horas. La cifra está fijada en la propia ley; las modalidades de aplicación las siguen desarrollando NCSC y el Consejo Federal.
Un incidente, tres reportes, tres relojes distintos
Un único incidente cibernético material en una FinTech suiza regulada puede disparar tres notificaciones con contenido distinto, destinatarios distintos y plazos distintos: el proceso interno de gestión de incidentes ISO 27001, las expectativas de reporte de incidentes de FINMA y la obligación de reporte a 24 horas de la ISG hacia NCSC. Construye el proceso de incidentes del SGSI para alimentar las tres por diseño, no por reacción. La primera vez que descubres la brecha es durante el incidente, que es el peor momento posible. Aunque los plazos y contenidos exactos varían por institución, encaje regulatorio y severidad del incidente, el resultado práctico para cualquier incidente material en una FinTech suiza regulada son tres flujos de reporte que hay que gestionar a la vez.
Lo que sobrevive a un incidente real es un único proceso de incidentes que produce las tres salidas desde una sola línea temporal, no tres procesos de incidentes corriendo en pistas paralelas.
¿Qué le hace la nLPD a las decisiones de alcance ISO 27001?
La Ley Federal de Protección de Datos revisada (nLPD), en vigor desde el 1 de septiembre de 2023, no exige ISO 27701, pero sí da forma a cada decisión de scoping del SGSI que toque datos personales.
El modo de fallo habitual en FinTech es definir el alcance de la base de datos de clientes como «responsabilidad del banco» cuando la FinTech es de hecho el encargado del tratamiento bajo nLPD. ISO 27001 no detectará ese error; el Anexo A trata los datos personales como una categoría de activos de información entre muchas. La nLPD lo detecta. El efecto downstream es que los controles del SGSI sobre retención, base legal, derechos de los interesados y transferencias transfronterizas se vuelven relevantes para la nLPD, y la autoridad supervisora (PFPDT) los lee con una lente diferente a la de tu auditor ISO.
Para FinTechs suizas que tratan datos personales materiales, que son la mayoría, ISO 27701 (la extensión Privacy Information Management System) es cada vez más el complemento adecuado. Se monta encima de ISO 27001 y alinea el programa de privacidad con la misma disciplina de sistema de gestión. No es legalmente obligatoria. A menudo se vuelve comercialmente obligatoria por parte de partners que ellos mismos enfrentan exposición nLPD y RGPD.
¿Hasta dónde llega la regulación UE dentro de un SGSI FinTech suizo?
Una FinTech suiza es una entidad suiza. Su exposición regulatoria rara vez es solo suiza.
DORA entró en aplicación el 17 de enero de 2025, con normas técnicas detalladas (RTS e ITS) entrando por fases entre 2025 y 2026. Aplica directamente a las entidades formalmente designadas como proveedores de servicios TIC terceros críticos (CTPP) de entidades financieras UE. Los proveedores no críticos, que incluyen a la mayoría de FinTechs suizas que dan servicio a contrapartes UE, asumen típicamente obligaciones alineadas con DORA mediante cláusulas contractuales propagadas por sus clientes financieros UE bajo los requisitos de gestión de riesgos de terceros de DORA.
El RGPD captura a las FinTechs suizas con clientes UE, con independencia de dónde estén constituidas. El Reglamento de IA de la UE entra por fases entre 2025 y 2027: las prohibiciones se aplicaron desde el 2 de febrero de 2025, las obligaciones de IA de propósito general y gobernanza desde el 2 de agosto de 2025, y el grueso de las obligaciones sobre sistemas de IA de alto riesgo se aplica desde el 2 de agosto de 2026, con transiciones extendidas para sistemas de alto riesgo embebidos hasta 2027. Las FinTechs suizas que usan IA para decisiones de crédito, detección de fraude, KYC o autenticación biométrica quedan capturadas cuando sus sistemas se sitúan en la clasificación de alto riesgo o cuando comercializan sistemas de IA en el mercado UE.
Un SGSI solo-suizo es una ficción para la mayoría de FinTechs a escala. La disciplina es definir el alcance del SGSI una vez, identificar las lecturas regulatorias que aplican y documentar cada una contra los mismos controles, no construir sistemas de gestión separados por regulador. Nuestro deep dive en francés sobre cumplimiento DORA para instituciones financieras suizas y europeas cubre el lado UE en detalle; esta guía se centra en la lectura suiza.
¿Cuál es la diferencia entre entidades supervisadas por FINMA, sandbox FinTech y entidades de la Ley DLT?
No todas las FinTechs suizas se sitúan en el mismo encaje regulatorio, y las expectativas de SGSI siguen al encaje.
Entidades supervisadas por FINMA: bancos bajo la Ley de Bancos, aseguradoras, titulares de licencia FinTech bajo el artículo 1b de la Ley de Bancos, sociedades de valores, sociedades gestoras de fondos, gestores de patrimonios y trustees bajo la FinIA. Están supervisados directamente. Aplica el toolkit completo de FINMA: Circular 23/01 para bancos y FinTechs licenciadas dentro del alcance de resiliencia operativa, Circular 18/3 sobre externalización, diálogo supervisor, inspecciones in situ.
Entidades en sandbox FinTech operan bajo la exención de minimis (depósitos públicos hasta 1 millón de CHF) que permite cierta actividad por debajo del umbral sin licencia bancaria completa. El sandbox no es una categoría formal de licencia FINMA; es un tratamiento de perímetro supervisor. Las entidades sandbox no están supervisadas directamente por FINMA del modo en que lo está un banco licenciado, pero están dentro de un perímetro que monitoriza el umbral, y los bancos partner aplican rutinariamente las expectativas de la Circular 18/3 por contrato. El sandbox no aísla al SGSI de una lectura tipo supervisor; solo cambia quién hace la lectura.
Entidades de la Ley DLT: las plataformas de negociación DLT licenciadas bajo la Ley DLT de 2021 se sitúan en una categoría supervisora distinta con supervisión FINMA específica de la infraestructura de mercado de libro mayor distribuido. El alcance del SGSI aquí tiene que absorber riesgos operativos específicos de DLT (gestión de cambios de smart contracts, custodia de tokens, resiliencia de red) que no encajan cómodamente en las descripciones estándar de los controles del Anexo A, y el organismo de certificación tiene que estar cómodo auditándolos.
El error es asumir que una plantilla de SGSI sirve para los tres encajes. La disciplina es mapear tu perímetro regulatorio temprano, idealmente antes de fijar el alcance del SGSI, y dejar que el encaje guíe las decisiones de alcance y de SoA.
¿Cómo cambia la postura del SGSI pre-licencia frente a post-licencia?
El SGSI cumple dos roles distintos según dónde esté la FinTech en su recorrido regulatorio.
Pre-licencia, el SGSI es un activo de procurement. Los bancos partner conducen due diligence bajo su propio marco de externalización. SOC 2 Type II suele ser el ticket de entrada para partners anclados en EE. UU.; ISO 27001 diferencia cada vez más en compromisos europeos e internacionales. El SGSI, en esta fase, existe para ganar y retener negocio de partners.
Post-licencia, el SGSI se convierte en un artefacto regulatorio. FINMA inspecciona directamente. Aplica el reporte de ciberataques de la ISG. La supervisión de externalización fluye por la cadena hacia arriba, no solo hacia abajo. El SGSI, en esta fase, existe para satisfacer a un supervisor, además de a los partners.
El error habitual es reconstruir el SGSI en la transición a la licencia. El enfoque correcto es construirlo pre-licencia con el overlay post-licencia ya mapeado, de forma que la transición sea maduración documental y no rearquitectura.
Postura del SGSI: FinTech suiza pre-licencia frente a post-licencia
Dimensión: Audiencia primaria del SGSI
Dimensión: Driver del alcance
Dimensión: Reporte de incidentes
Dimensión: Lectura del riesgo de terceros
Dimensión: Alcance de datos personales
Dimensión: Coste de un hallazgo
¿Qué controles del Anexo A se auditan con más dureza en una FinTech suiza?
A lo largo de más de 100 implantaciones de ISO 27001 y más de 200 auditorías, los controles que reciben el escrutinio más profundo en servicios financieros suizos no son una sorpresa; pero las razones por las que lo reciben son más afiladas de lo que sugiere la norma.
A.5.19 a A.5.23 (Seguridad de la información en relaciones con proveedores). El conjunto completo de controles de proveedores se lee frente a la Circular 18/3. Derechos de auditoría, subexternalización y concentración cloud guían las preguntas. Documentar la revisión de seguridad del proveedor es necesario; el supervisor quiere ver respondidas también las dimensiones de resiliencia y estrategia de salida.
A.5.24 a A.5.28 (Gestión de incidentes de seguridad de la información). Los cinco controles de incidentes se inspeccionan en conjunto como un proceso de triple salida: proceso ISO, notificación FINMA, reporte ISG a 24 horas. El hallazgo más frecuente es que el playbook produce uno de los tres pero no los tres.
A.5.30 (Preparación TIC para la continuidad de negocio). Se lee frente al pilar de resiliencia de la Circular 23/01. El control pasa ISO si existe un plan probado. Pasa la Circular 23/01 solo si la tolerancia a la disrupción está definida por servicio crítico, los escenarios están probados y los objetivos de recuperación se derivan de la tolerancia operativa, y no al revés.
A.5.34 (Privacidad y protección de PII). Se lee frente a la nLPD. Los hallazgos se concentran en el scoping de la responsabilidad (quién es el responsable del tratamiento de qué dataset) y los mecanismos de transferencia transfronteriza tras las decisiones de adecuación nLPD-RGPD.
A.8.34 (Protección de los sistemas de información durante auditoría y pruebas). Se lee frente a las expectativas de FINMA sobre acceso supervisor. El control tiene que soportar tanto escenarios de auditoría interna como de inspección supervisora; el segundo se omite a menudo en implantaciones no reguladas.
Un patrón que funciona transversalmente: mantener la documentación de control en un sistema capaz de expresar la lectura multimarco de forma nativa, ya sea un build GRC interno o una herramienta dedicada. La disciplina que importa es el principio single-source-of-truth: un control, un registro, múltiples vistas regulatorias. Cinco documentos paralelos terminan suspendiendo auditoría tarde o temprano.
¿Cómo eliges un organismo de certificación como FinTech suiza?
La selección del organismo de certificación para una FinTech suiza es una decisión más consecuente que lo que sugiere el ejercicio estándar de comparación de proveedores, porque el entendimiento que tenga el organismo del overlay regulatorio suizo da forma a cómo se audita, define el alcance y certifica el SGSI.
Tres factores importan más que en contextos no regulados.
Acreditación que las contrapartes financieras suizas reconozcan. Los organismos acreditados por SAS y los organismos con fuerte reconocimiento en el sector financiero suizo eliminan una pregunta de procurement que otras acreditaciones dejan abierta. Los equipos de due diligence de bancos partner tienen listas preferidas.
Familiaridad del auditor con la regulación financiera suiza. Un Lead Auditor ISO 27001 que lee el Anexo A.5.30 en aislamiento no es lo mismo que uno que lo lee a través de la lente de la Circular 23/01. Las preguntas son distintas; los hallazgos son distintos; las orientaciones de remediación son distintas. Pregunta explícitamente durante la selección del organismo si sus Lead Auditors han auditado entidades reguladas por FINMA antes.
Alineación de la expresión del alcance con las lecturas regulatorias. La plantilla estándar de enunciado de alcance del organismo importa. Un enunciado que se lea limpiamente para un examinador FINMA no siempre es el que un organismo de certificación genérico produciría por defecto.
Para FinTechs que navegan esta selección a la vez que la propia implantación, Abilene Advisors, la práctica de consultoría GRC dentro del Grupo Abilene, interviene a lo largo del ciclo completo de implantación ISO 27001 en servicios financieros suizos regulados, incluyendo el engagement con el organismo de certificación, redacción del alcance y readiness pre-auditoría. Complementa el lado formativo de Abilene Academy: el curso Lead Implementer construye la capacidad del profesional; el engagement consultor lleva el proyecto.
¿Necesitas ayuda mapeando tu SGSI al overlay regulatorio suizo?
Habla con nuestro Lead Trainer sobre implantación específica para FinTech. Escribe a request@abileneacademy.ch o consulta las próximas sesiones Lead Implementer en https://www.abileneacademy.ch/es/training/curso-iso-27001-lead-implementer.
¿Cuáles son los 10 pasos prácticos hacia ISO 27001 en una FinTech suiza?
Una secuencia pragmática de implantación que aguanta tanto la due diligence del partner como la lectura FINMA. Los plazos abajo asumen una FinTech en fase intermedia con prácticas de ingeniería establecidas; las FinTechs en fase más temprana recortan la duración pero no la secuencia.
1. Mapea el perímetro regulatorio
Antes de definir el alcance del SGSI, decide en qué encaje regulatorio estás: licenciada por FINMA, sandbox FinTech, entidad de la Ley DLT, o no regulada con partners regulados. Identifica cuáles de Circular FINMA 23/01, Circular 18/3, ISG, nLPD, DORA, RGPD y EU AI Act aplican. La salida es un mapa regulatorio de una página que guía cada decisión posterior.
2. Define el alcance del SGSI como un servicio, no como una entidad legal
Define el alcance por la superficie del servicio de cara al cliente, no por el organigrama de la empresa. Si sirves a contrapartes reguladas, la superficie que ellas consumen define el suelo de tu alcance. Las exclusiones que parecen defendibles en términos ISO pueden suspender la lectura de la Circular 18/3 en el paso de procurement.
3. Realiza el análisis de riesgos con overlay regulatorio
Ejecuta un análisis de riesgos alineado con ISO 27005, pero enriquece el catálogo de amenazas con escenarios relevantes para FINMA (disrupción operativa de servicios críticos, concentración de terceros, timing de notificación de incidentes) y escenarios relevantes para la nLPD (ambigüedad de responsabilidad, disputas de transferencia transfronteriza). Los análisis de riesgos genéricos los pasan por alto.
4. Construye una biblioteca de controles multimarco
Documenta los controles del Anexo A una sola vez, con una columna de overlay regulatorio para cada control mostrando la lectura FINMA, nLPD, DORA y (cuando aplique) EU AI Act. Mantenla en una herramienta capaz de expresar esto de forma nativa, ya sea una plataforma GRC existente configurada para el contexto suizo o una dedicada como Acuna GRC. La disciplina single-source-of-truth es lo que sobrevive a la auditoría.
5. Operacionaliza el proceso de incidentes triple stack
Diseña el proceso de incidentes para producir tres salidas desde una sola línea temporal: registro de incidente ISO, notificación FINMA (cuando aplique) y reporte ISG a 24 horas. Prueba el timing en ejercicios tabletop. Que el triple stack falle es el hallazgo SGSI más caro en una FinTech suiza regulada.
6. Resuelve la pregunta SOC 2 vs ISO 27001 temprano
Decide si la FinTech va con SOC 2 sola, ISO 27001 sola o ambas, en función de la geografía de los partners. Los ecosistemas de partners anclados en EE. UU. suelen esperar SOC 2 Type II. Los partners europeos y las contrapartes reguladas por FINMA esperan ISO 27001. Muchas FinTechs suizas reguladas mantienen las dos, con el conjunto de controles diseñado para que un ciclo de auditoría evidencie ambas.
7. Engancha al organismo de certificación antes de la revisión por la dirección
Discute el enunciado de alcance y el enfoque de auditoría con el organismo de certificación elegido antes de cerrar el SGSI para certificación. Lleva preguntas sobre la lectura de regulación financiera suiza. El organismo que se compromete sustantivamente es el correcto; el que no lo hace es un problema de auditoría futura.
8. Realiza una revisión de readiness pre-auditoría
Una revisión de readiness estructurada frente a la conformidad ISO 27001 y al overlay regulatorio detecta la brecha entre «ISO-compliant» y «defendible ante FINMA» antes de la auditoría de certificación. Es donde el engagement de consultoría externa se gana su tarifa; Abilene Advisors realiza revisiones de readiness específicas para FinTech como parte del engagement de implantación.
9. Construye el registro de proveedores como artefacto regulatorio
Trata el registro de proveedores como un artefacto de la Circular 18/3, no solo como un registro del Anexo A.5.19. Documenta concentración, estrategia de salida, propagación de derechos de auditoría y notificación de subexternalización para cada relación material. El registro tiene que responder a las cuatro preguntas supervisoras de FINMA bajo demanda.
10. Planifica para diálogo supervisor continuo, no para auditorías anuales
Post-licencia, el SGSI vive en diálogo supervisor continuo. Construye una cadencia de revisión trimestral que actualice el overlay regulatorio, refresque el registro de proveedores, pruebe el triple stack de incidentes y alinee la SoA con cualquier actualización de circulares FINMA. El SGSI que sobrevive es el diseñado para continuidad, no para la fecha de renovación del certificado.
¿Qué formación y soporte necesita un SGSI FinTech suizo?
La formación ISO 27001 Lead Implementer te prepara para diseñar e implantar un SGSI a estándar internacional. Esa es la base, y es necesaria. Para un contexto FinTech suizo, dos elementos específicos merecen más peso del que les da un currículo genérico.
El primero es la profundidad en gestión de riesgos. Las FinTechs son densas en riesgo por naturaleza, con transacciones de alta velocidad, dependencias de terceros y un panorama de amenazas en evolución. La formación ISO 27005 Risk Manager extiende lo que cubre Lead Implementer en análisis de riesgos hasta una metodología completa de gestión de riesgos. Para profesionales en FinTechs reguladas, la combinación Lead Implementer + ISO 27005 Risk Manager es materialmente más fuerte que cualquiera por separado.
El segundo es el propio overlay regulatorio suizo. Un formador con experiencia de implantación en servicios financieros suizos regulados aporta el contexto FINMA, ISG y nLPD a la metodología por defecto. Los materiales Lead Implementer describen cómo construir un SGSI. La conversación en aula determina si sales sabiendo cómo construir un SGSI que aguanta supervisión suiza.
Más allá de la formación, el trabajo de SGSI FinTech suele necesitar engagement práctico de implantación: redacción de alcance contra el overlay regulatorio, selección de organismo de certificación, mapeo de controles multimarco, readiness pre-auditoría y soporte de diálogo supervisor continuo. Abilene Advisors, la práctica de consultoría GRC dentro del Grupo Abilene, interviene en ese ciclo completo en servicios financieros suizos regulados, complementando la formación Lead Implementer impartida por Abilene Academy.
Por qué Abilene para ISO 27001 en FinTech suiza
Abilene Academy es el único PECB Titanium Partner en Suiza, el nivel más alto a escala global, con un 99 % de aprobado en exámenes PECB y +2.500 profesionales formados desde +120 países. El Lead Trainer Alexis Hirschhorn ha liderado más de 100 implantaciones ISO 27001 y más de 200 auditorías en servicios financieros suizos regulados, gobernanza de IA, defensa y organizaciones internacionales, y es profesor en la Universidad de Ginebra. La formación se imparte en aula presencial, aula virtual, eLearning y autoestudio, en inglés, francés y español; otros idiomas bajo petición. Para hablar de tu implantación específica para FinTech, escribe a request@abileneacademy.ch o llama al +41 21 802 35 54.
Fuentes y referencias
Circular FINMA 2023/1, Riesgos operativos y resiliencia, bancos · finma.ch (oficial)
Circular FINMA 2018/3, Externalización, bancos y aseguradoras · finma.ch (oficial)
Ley Federal de Seguridad de la Información (ISG), obligación de reporte de ciberataques · fedlex.admin.ch (oficial)
Ley Federal de Protección de Datos revisada (nLPD), en vigor desde el 1 de septiembre de 2023 · edoeb.admin.ch / PFPDT (oficial)
Ley Federal sobre la Adaptación del Derecho Federal a los Desarrollos en Tecnología de Libro Mayor Distribuido (Ley DLT) · fedlex.admin.ch (oficial)
Reglamento (UE) 2022/2554, Ley de Resiliencia Operativa Digital (DORA) · eur-lex.europa.eu (oficial)
Reglamento (UE) 2024/1689, Reglamento de Inteligencia Artificial de la UE · eur-lex.europa.eu (oficial)
ISO/IEC 27001:2022, Sistemas de gestión de la seguridad de la información, Requisitos · iso.org (oficial)
