Certificar la ISO 27001 no es comprar un papel: es construir un Sistema de Gestión de Seguridad de la Información (SGSI) que funcione, generar evidencias auditables y pasar una auditoría externa. Esta guía describe los 8 pasos reales del proceso, los tiempos típicos, los costos esperados en Chile y los errores que retrasan o invalidan la certificación.
8 pasos · 3 fases · 6 a 9 meses total con consultoría especializada · 12 a 18 meses sin apoyo externo
¿Qué significa certificar la ISO 27001?
Certificar la ISO 27001 significa que una entidad certificadora acreditada (Bureau Veritas, SGS, TÜV, BSI, DNV, LRQA, entre otras) ha auditado el SGSI de tu empresa y declarado que cumple con la norma ISO/IEC 27001:2022. El certificado tiene una vigencia de 3 años, con auditorías de mantención anuales y una recertificación al final del ciclo.
La certificación no es:
- Un set de documentos. Es un sistema que opera, no una carpeta de PDFs.
- Una garantía de que no tendrás incidentes. Es una garantía de que los gestionas profesionalmente.
- Solo para empresas grandes. Se ha certificado exitosamente empresas de 10 personas.
- Permanente. El certificado se renueva cada 3 años y se mantiene con auditorías anuales.
Paso 1 — Decisión y compromiso de la dirección
El proyecto arranca con una decisión formal de la alta dirección: aprobar presupuesto, designar un responsable del SGSI (puede ser CTO, gerente de TI o CISO Virtual), definir objetivos de seguridad alineados al negocio y firmar la política de seguridad.
Sin este compromiso, ningún proyecto avanza. La norma exige evidencias de liderazgo (actas, políticas firmadas, asignación documentada de roles) que ningún consultor puede falsificar.
Tiempo típico: 1 a 2 semanas.
Paso 2 — Diagnóstico inicial (Gap Analysis)
Antes de implementar nada, conviene medir el punto de partida. El Gap Analysis ISO 27001 evalúa el estado actual frente a las cláusulas 4-10 y los 93 controles del Anexo A 2022, identifica brechas y entrega un plan de tratamiento priorizado.
Empresas que se saltan el Gap Analysis suelen subestimar el esfuerzo, duplicar trabajo o descubrir tarde brechas críticas. Para más detalle, revisa la guía completa ISO 27001.
Tiempo típico: 3 a 6 semanas.
Paso 3 — Definir el alcance del SGSI
El alcance determina qué procesos, productos, sedes y unidades de la empresa quedan cubiertos por la certificación. Es una de las decisiones más estratégicas del proyecto:
- Un alcance amplio (toda la empresa) es más vendible comercialmente pero alarga el proyecto.
- Un alcance acotado (un producto SaaS, una unidad) acelera la certificación inicial.
- Lo que queda fuera no está cubierto por el certificado, incluso si la auditoría lo observa.
El alcance se documenta formalmente y se valida con la certificadora antes de la auditoría.
Tiempo típico: 1 semana.
Paso 4 — Análisis de riesgos y Declaración de Aplicabilidad
Este es el corazón del SGSI. La empresa debe:
- Inventariar activos de información (datos, sistemas, infraestructura, personas, proveedores).
- Identificar amenazas y vulnerabilidades sobre cada activo.
- Evaluar riesgos según probabilidad e impacto, y compararlos con el apetito de riesgo definido por la dirección.
- Decidir tratamiento de cada riesgo: mitigar, aceptar, transferir o evitar.
- Seleccionar controles del Anexo A según el plan de tratamiento.
- Documentar la Declaración de Aplicabilidad (SoA) con cada control aplicable o excluido y su justificación.
Tiempo típico: 4 a 6 semanas.
Paso 5 — Implementar los controles del Anexo A
La norma 2022 organiza los 93 controles en 4 capítulos:
- Organizacionales (37 controles): políticas, roles, gestión de proveedores, continuidad.
- Personas (8 controles): screening, términos contractuales, capacitación, fin de contrato.
- Físicos (14 controles): perímetro, accesos físicos, equipamiento, escritorios limpios.
- Tecnológicos (34 controles): accesos lógicos, criptografía, seguridad de red, desarrollo seguro, gestión de vulnerabilidades.
Cada control implementado debe generar evidencias verificables. La auditoría no acepta declaraciones verbales: revisa logs, configuraciones, políticas firmadas, registros de capacitación y tickets de incidentes.
Tiempo típico: 8 a 16 semanas (depende del Gap Analysis inicial).
Paso 6 — Capacitación y concienciación
Todo el personal dentro del alcance debe estar capacitado en las políticas del SGSI y los aspectos de seguridad que les apliquen. Los roles críticos (TI, RRHH, legal, gerencia) requieren formación específica.
La capacitación se documenta: listas de asistencia, evaluaciones, certificados internos. La cultura de seguridad es un control auditado.
Tiempo típico: 2 a 4 semanas en paralelo con el Paso 5.
Paso 7 — Auditoría interna y revisión por la dirección
Antes de la auditoría externa, la norma exige:
- Auditoría interna del SGSI completo, ejecutada por personal capacitado e independiente de las áreas auditadas. Puede ser interna o subcontratada (ver servicio de Auditoría Interna ISO 27001).
- Tratamiento de no conformidades detectadas, con planes de acción y verificación de cierre.
- Revisión por la dirección: una reunión formal donde la alta gerencia evalúa la eficacia del SGSI, los resultados de la auditoría interna, los incidentes ocurridos y las oportunidades de mejora.
Tiempo típico: 3 a 4 semanas.
Paso 8 — Auditoría de certificación (Etapa 1 y Etapa 2)
La auditoría externa se ejecuta en dos etapas:
Etapa 1 — Revisión documental y de madurez
La auditora revisa el alcance, las políticas, el inventario de activos, el análisis de riesgos, la SoA, la auditoría interna y la revisión por la dirección. Identifica si el SGSI está listo para la Etapa 2 o si requiere ajustes previos.
Etapa 2 — Verificación operacional
La auditora visita las instalaciones (o ejecuta auditoría remota), entrevista al personal, revisa evidencias en sistemas reales y prueba la operación efectiva de los controles. Al final, emite el informe con cero, una o varias no conformidades.
Resultado de la auditoría
- Sin NC mayores: se emite el certificado ISO 27001:2022.
- NC menores: se acepta plan de acción y se emite el certificado.
- NC mayores: se otorga plazo de 3 a 6 meses para resolver, con auditoría de verificación posterior.
Tiempo típico: 4 a 8 semanas (entre Etapa 1, Etapa 2 y emisión del certificado).
¿Cuánto tiempo y dinero toma certificar la ISO 27001?
Resumen consolidado:
| Variable | Con consultoría especializada | Hacerlo internamente |
|---|---|---|
| Tiempo de implementación | 4 a 6 meses | 12 a 18 meses |
| Tiempo total con auditoría externa | 6 a 9 meses | 14 a 22 meses |
| Costo de consultoría (CLP) | 7 a 20 millones | Costo interno equivalente: 25 a 60 millones |
| Costo de auditoría externa (CLP) | 6 a 15 millones | 6 a 15 millones |
| Riesgo de hallazgos en auditoría | Bajo (consultor experimentado) | Alto (sin experiencia previa) |
Para un desglose detallado de costos, revisa la guía de costos de certificación ISO 27001.
¿Necesito una consultoría ISO 27001 para certificar?
No es legalmente obligatorio, pero en la práctica más del 90% de las empresas que certifican exitosamente contratan una consultoría ISO 27001 especializada. Las razones son tres:
- La norma es ambigua por diseño. Define qué se debe lograr, no cómo. Una consultoría con experiencia sabe qué nivel de evidencia espera el auditor.
- El tiempo del equipo interno es limitado. Si el responsable es el CTO o el CEO, el proyecto compite con las operaciones del negocio.
- El costo de hacerlo mal es alto. Una auditoría fallida implica reprogramar la certificación, pagar de nuevo y, frecuentemente, perder al cliente que la pidió.
Si estás evaluando consultores, revisa nuestra guía sobre cómo elegir consultoría ISO 27001.
Errores comunes que retrasan la certificación
1. Saltarse el Gap Analysis
Empezar a implementar sin un diagnóstico inicial duplica trabajo y descalibra el cronograma. El Gap Analysis paga su costo en evitar reprocesos.
2. Definir un alcance demasiado amplio
Empresas que intentan certificar todo en la primera vuelta alargan el proyecto entre 4 y 8 meses. Es preferible certificar un alcance acotado y expandirlo en el segundo ciclo.
3. Documentos sin operación
Tener políticas perfectas escritas no sirve si nadie las aplica. La auditoría busca evidencias de operación real: tickets, logs, registros de capacitación, no solo PDFs en SharePoint.
4. Subestimar la auditoría interna
La auditoría interna es un requisito formal de la norma. Hacerla por compromiso, sin rigor, lleva a que la auditora externa detecte hallazgos que la interna debería haber capturado primero.
5. No involucrar a la alta dirección
Sin revisión por la dirección documentada, no hay certificación. Es un hallazgo clásico que la auditora detecta en Etapa 1.
6. Elegir consultor por precio en vez de experiencia
El consultor más barato puede costar 3x al final si no logra que pases la auditoría. Pide referencias de clientes que se hayan certificado, no solo de proyectos cerrados.
¿Quieres certificar tu empresa en ISO 27001 con apoyo de expertos?
Confiden360 es una consultoría ISO 27001 especializada en startups, SaaS y empresas TI. Implementamos tu SGSI en 4 a 6 meses con metodología probada y plataforma incluida (Confirmer360). Diagnóstico inicial sin costo.
Agendar diagnóstico gratuito → Ver consultoría ISO 27001 →Preguntas frecuentes sobre cómo certificar ISO 27001
¿Cuánto tiempo toma certificar la ISO 27001?
Con consultoría especializada, la implementación toma 4 a 6 meses. Sumando la auditoría externa, el proceso completo va de 6 a 9 meses. Sin consultoría, los plazos típicos son de 12 a 18 meses.
¿Cuánto cuesta certificar ISO 27001 en Chile?
El costo total combina consultoría (CLP 7-20M con Confiden360, llave en mano) y auditoría externa (CLP 6-15M). Las mantenciones anuales del ciclo de 3 años cuestan entre 30% y 50% del costo inicial.
¿Necesito un consultor para certificar ISO 27001?
No es obligatorio legalmente, pero más del 90% de las empresas que certifican exitosamente contratan consultoría ISO 27001. La razón es que la norma es ambigua y un consultor experimentado sabe exactamente qué espera el auditor.
¿Puedo certificar solo un producto o servicio?
Sí. El alcance puede ser un producto SaaS, un servicio o un departamento. Es común empezar acotado y expandir en el siguiente ciclo de 3 años.
¿Qué pasa si la auditoría encuentra problemas?
Hay no conformidades menores (NC menores) y mayores (NC mayores). Las menores se resuelven con un plan de acción y no impiden la certificación. Las mayores impiden la emisión del certificado y deben resolverse en 3 a 6 meses.
¿Qué certificadoras emiten ISO 27001 en Chile?
Las más comunes son Bureau Veritas, SGS, TÜV Rheinland, BSI, DNV, LRQA y LL-C. Todas deben estar acreditadas por un organismo internacional para que el certificado sea válido.