Un Gap Analysis ISO 27001 bien ejecutado en 30 días entrega lo que cualquier proyecto de certificación necesita antes de empezar: un mapa real del punto de partida, una lista priorizada de brechas y un presupuesto creíble de implementación. Esta guía describe la metodología, los entregables esperados y un checklist accionable de los 93 controles del Anexo A 2022.
Qué es y para qué sirve un Gap Analysis
El Gap Analysis es la fotografía inicial del estado de cumplimiento de tu organización frente a la norma. Mide dos cosas en paralelo:
- El estado del sistema de gestión (cláusulas 4 a 10 de ISO 27001): contexto, liderazgo, planificación, soporte, operación, evaluación, mejora.
- El estado de los 93 controles del Anexo A 2022: organizacionales (37), personas (8), físicos (14), tecnológicos (34).
El resultado es un mapa de brechas (gaps) que conecta cada requisito o control con tres datos:
- Estado actual (cumple / cumple parcialmente / no cumple / no aplica).
- Evidencia observada (qué documento o sistema soporta el estado declarado).
- Recomendación (qué hacer para cerrar la brecha).
Cuándo conviene hacerlo
El momento óptimo es antes de iniciar cualquier proyecto de implementación de ISO 27001. Empresas que se saltan el Gap Analysis terminan con:
- Cronogramas mal estimados (subestiman o sobreestiman).
- Presupuestos defectuosos.
- Plan de implementación que duplica trabajo ya hecho.
- Áreas críticas descubiertas tarde, cuando ya hay compromisos comerciales.
También conviene hacerlo:
- Antes de cambiar de versión (por ejemplo, transición desde una metodología propia hacia ISO).
- Antes de una recertificación tras 3 años, para anticipar gaps surgidos.
- Tras una M&A, para integrar el SGSI de la empresa adquirida.
Cronograma de 30 días — semana por semana
Semana 1 — Setup y alcance (días 1–7)
- Kickoff con sponsor ejecutivo: objetivos, alcance, criterio de éxito, comunicaciones internas.
- Definición del scope del SGSI a evaluar (entidad legal, productos, sedes, sistemas).
- Inventario inicial de documentación existente (políticas, procedimientos, contratos, planes).
- Calendario de entrevistas y solicitud de accesos.
- Personalización de la matriz de evaluación.
Entregable de la semana: documento de alcance + plan de entrevistas firmado por el sponsor.
Semana 2 — Cláusulas 4 a 10 del SGSI (días 8–14)
- Entrevistas con liderazgo: contexto, partes interesadas, política, objetivos, planificación de riesgos.
- Revisión documental: ¿existe política? ¿está vigente? ¿hay objetivos medibles?
- Evaluación del proceso de gestión de riesgos (cláusula 6.1.2).
- Evaluación de competencias, concientización y comunicación (cláusula 7).
- Revisión del ciclo PHVA: evaluación del desempeño, no conformidades, mejora.
Entregable: matriz de cumplimiento del cuerpo de la norma (cláusulas 4–10).
Semana 3 — Anexo A: controles organizacionales y de personas (días 15–21)
- A.5 Organizacionales (37): políticas, roles, gestión de proveedores, continuidad, cumplimiento legal, gestión de incidentes, inteligencia de amenazas, clasificación de información.
- A.6 Personas (8): selección, contratos, concientización, disciplina, teletrabajo.
- Entrevistas con RR.HH., Legal, Compliance, Adquisiciones.
Entregable: matriz de cumplimiento parcial del Anexo A (45 controles).
Semana 4 — Anexo A: controles físicos y tecnológicos + informe final (días 22–30)
- A.7 Físicos (14): perímetros, accesos físicos, seguridad de equipos, escritorio limpio, eliminación segura.
- A.8 Tecnológicos (34): endpoints, redes, cifrado, backups, vulnerabilidades, desarrollo seguro, nube, monitoreo, prevención de fuga.
- Entrevistas con TI, DevOps, Seguridad, Facilities.
- Consolidación de hallazgos.
- Construcción del plan de tratamiento priorizado.
- Presentación ejecutiva al sponsor y al equipo directivo.
Entregables finales:
- Matriz de cumplimiento completa (cuerpo + 93 controles).
- Informe ejecutivo (~25 páginas) con hallazgos por capítulo.
- Plan de tratamiento con tareas, responsables, esfuerzo estimado y horizonte temporal.
- Presupuesto estimado del proyecto de implementación.
- Roadmap visual de 6–9 meses para certificación.
Sistema de calificación recomendado
Una escala de 5 niveles aporta granularidad sin volverse abrumadora:
| Nivel | Estado | Descripción |
|---|---|---|
| 0 | No existente | No hay control ni intención documentada. |
| 1 | Inicial / informal | Algunas prácticas existen pero no documentadas ni consistentes. |
| 2 | Definido | Documentado pero no medido ni revisado regularmente. |
| 3 | Gestionado | Documentado, medido y revisado periódicamente. Cumple ISO 27001. |
| 4 | Optimizado | Mejora continua medible, integrado con otras normas (SOC 2, GDPR). |
Para certificarse, todos los controles aplicables deben estar al menos en nivel 3.
Checklist: las preguntas clave por capítulo
A.5 Organizacionales (37 controles) — preguntas tipo
- ¿Existe una política de seguridad aprobada por la alta dirección y comunicada?
- ¿Están definidos los roles y responsabilidades de seguridad?
- ¿Existe un proceso formal de gestión de proveedores con cláusulas de seguridad?
- ¿Hay un plan de continuidad del negocio probado regularmente?
- ¿Se mantiene inventario de obligaciones legales y contractuales aplicables?
- ¿Existe un proceso documentado de gestión de incidentes?
- ¿Se aplica inteligencia de amenazas para informar decisiones de seguridad?
- ¿La información está clasificada por sensibilidad?
A.6 Personas (8 controles)
- ¿Se verifican antecedentes en procesos de selección?
- ¿Los contratos laborales incluyen cláusulas de confidencialidad y seguridad?
- ¿Existe un programa de concientización con métricas de cobertura?
- ¿Hay un proceso disciplinario para infracciones de seguridad?
- ¿Las políticas de teletrabajo y dispositivos personales están vigentes y aceptadas?
A.7 Físicos (14 controles)
- ¿Los perímetros físicos están delimitados con controles de acceso?
- ¿Las visitas son acompañadas y registradas?
- ¿Los equipos críticos están protegidos contra fallas eléctricas y ambientales?
- ¿Existe política de escritorio limpio y pantalla bloqueada?
- ¿La eliminación de medios con información sensible es segura y trazable?
A.8 Tecnológicos (34 controles)
- ¿Los endpoints están gestionados (MDM, EDR, parches)?
- ¿Las redes están segmentadas y monitoreadas?
- ¿Los datos sensibles están cifrados en reposo y en tránsito?
- ¿Existe un plan de backups probado con frecuencia definida?
- ¿El proceso de gestión de vulnerabilidades incluye pentesting periódico?
- ¿El ciclo de vida de desarrollo aplica prácticas seguras (SDLC, revisión de código)?
- ¿Los servicios en la nube cumplen el control A.8.32 de seguridad en la nube?
- ¿Existe prevención de fuga de datos (DLP) operando?
- ¿Se monitorea actividad de usuarios privilegiados?
Evidencias típicas a solicitar
| Tipo de evidencia | Ejemplos |
|---|---|
| Documental | Políticas, procedimientos, contratos, planes, registros de acceso. |
| Técnica | Configuraciones de sistemas, reportes de vulnerabilidades, logs de auditoría. |
| Procesos | Tickets de incidentes resueltos, registros de cambios, actas de comité de seguridad. |
| Personas | Registros de capacitación, listas de asistencia, evaluaciones de competencias. |
| Externa | Certificados de proveedores, auditorías externas previas, informes de pentest. |
Errores frecuentes que invalidan el Gap Analysis
1. Hacer solo entrevistas, sin revisar evidencia
El gap report basado solo en lo que dicen las personas tiene sesgo optimista. Hay que pedir evidencia documental y técnica de cada control declarado como "cumple".
2. Confundir alcance del SGSI con alcance del Gap Analysis
El Gap Analysis puede evaluar más de lo que finalmente certificas. Confusión típica: evaluar todas las filiales y luego certificar solo una. Hay que aclararlo desde el día uno.
3. No conectar gaps con riesgos
Un gap sin riesgo asociado no tiene priorización clara. La matriz debe incluir el riesgo que mitigaría cerrar la brecha, para que el plan de tratamiento priorice por impacto, no por orden alfabético.
4. Entregar un informe sin plan accionable
Un Gap Analysis sin plan de tratamiento es media entrega. El cliente necesita saber qué hacer primero, con qué recursos y en qué plazo.
¿Quieres un Gap Analysis ISO 27001 ejecutado en 30 días?
Confiden360 entrega Gap Analysis estructurados, con metodología propia, plantillas validadas y consultores con experiencia regional. Diagnóstico inicial gratuito.
Solicitar Gap Analysis → Ver servicio →Preguntas frecuentes
¿Qué es un Gap Analysis ISO 27001?
Es un diagnóstico estructurado que mide el nivel de cumplimiento de una organización frente a los requisitos de ISO 27001:2022 (cláusulas 4 a 10) y los 93 controles del Anexo A. El resultado es una matriz de brechas y un plan de tratamiento priorizado.
¿Cuánto demora un Gap Analysis ISO 27001 típico?
Entre 3 y 6 semanas en empresas medianas digitales. Las grandes con alcances complejos pueden necesitar 8–10 semanas. La metodología de 30 días aplica a empresas con alcance acotado y equipo dedicado.
¿Necesito un consultor externo o puedo hacerlo internamente?
Internamente es viable si hay un CISO o auditor con experiencia previa. La consultoría externa aporta objetividad, plantillas validadas y velocidad. La mezcla más común es consultor externo facilitando, equipo interno ejecutando.
¿Cuál es la diferencia entre Gap Analysis y Auditoría Interna?
Gap Analysis se ejecuta al inicio del proyecto, antes de implementar. Auditoría Interna se ejecuta cuando el SGSI ya está operando. Son distintas en momento, profundidad y objetivo.
¿Qué entregables produce un Gap Analysis?
Cuatro entregables principales: matriz de cumplimiento, informe ejecutivo, plan de tratamiento y presupuesto estimado de implementación.
¿Cuánto cuesta un Gap Analysis ISO 27001 en Chile?
Para empresas chilenas medianas, los rangos típicos van desde CLP 4 hasta 12 millones según alcance. Empresas grandes pueden superar los CLP 20 millones.
¿Sirve un Gap Analysis hecho contra ISO 27001:2013?
Solo parcialmente. La estructura del Anexo A cambió en 2022. Un Gap Analysis bajo 2013 requiere un mapeo cruzado para ser útil contra la versión vigente.
¿El Gap Analysis sirve para SOC 2 o GDPR también?
Sí, parcialmente. Muchos controles de ISO 27001 mapean a SOC 2 y a GDPR/Ley 21.719. Un Gap Analysis bien diseñado puede etiquetar los controles por marco y servir como diagnóstico multinorma.