Desde qué es la norma hasta cómo funciona el ciclo de 3 años. Esta guía está escrita para directores, gerentes de TI y fundadores que están evaluando si certificarse y cómo hacerlo bien.
ISO/IEC 27001 es la norma internacional para la gestión de la seguridad de la información. Fue publicada por la Organización Internacional de Normalización (ISO) en conjunto con la Comisión Electrotécnica Internacional (IEC), y su versión vigente es la ISO/IEC 27001:2022, publicada en octubre de 2022.
En términos simples: es un estándar que define cómo debe funcionar un Sistema de Gestión de Seguridad de la Información (SGSI) dentro de una organización. No especifica qué tecnología usar, sino qué procesos, controles y evidencias debe tener la organización para proteger su información de manera sistemática.
Obtener la certificación ISO 27001 significa que un organismo externo independiente auditó tu organización y verificó que tu SGSI cumple con los requisitos de la norma.
Antes de avanzar, vale la pena aclarar algunos malentendidos comunes:
No es solo un set de documentos.
Muchas
organizaciones creen que certificarse es escribir políticas y guardarlas en una carpeta. Eso
no pasa una auditoría. La norma exige evidencia de que los controles funcionan en la
práctica.
No es solo para empresas de tecnología.
ISO
27001 aplica a cualquier organización que gestione información sensible: empresas de
servicios, salud, finanzas, gobierno, educación, manufactura.
No es una certificación personal.
La
certificación la obtiene la organización (o un alcance definido de ella), no las personas.
No es permanente.
La certificación tiene una
vigencia de 3 años, con auditorías de seguimiento anuales.
La norma tiene sus raíces en el estándar británico BS 7799, publicado en 1995. La primera versión oficial de ISO/IEC 27001 se publicó en 2005, luego fue revisada en 2013 y la versión actual, con cambios significativos en los controles del Anexo A, es la de 2022.
Si tu organización fue certificada con la versión 2013, debes migrar a la versión 2022. El plazo límite de transición era octubre de 2025, por lo que desde 2026 la única versión vigente para certificación es la 2022.
Si tu organización tiene una certificación ISO 27001:2013 vigente y aún no ha migrado a la versión 2022, es urgente que lo hagas. Podemos ayudarte a evaluar las brechas y planificar la transición. Conversemos →
La certificación ISO 27001 cumple tres funciones principales dentro de una organización:
Este es el motivo más frecuente por el que las empresas se certifican. Los clientes grandes — bancos, retailers, empresas de telecomunicaciones, organismos públicos, multinacionales — exigen que sus proveedores de servicios tecnológicos demuestren un nivel mínimo de seguridad.
En Chile, esto se ha acelerado con dos factores:
Implementar ISO 27001 correctamente obliga a la organización a conocer sus activos de información, entender sus riesgos y aplicar controles concretos. Esto reduce la probabilidad de incidentes de seguridad, fugas de datos y tiempo de respuesta ante contingencias.
La certificación comunica a clientes, proveedores, empleados y reguladores que la organización toma en serio la seguridad de la información. Es una señal de madurez institucional.
En el mercado chileno actual, los sectores que más exigen ISO 27001 a sus proveedores son:
Si estás perdiendo licitaciones o contratos por falta de ISO 27001, el problema tiene solución en 4 a 6 meses. El primer paso es entender tu brecha actual. Solicita un diagnóstico gratuito →
ISO/IEC 27001:2022 tiene dos partes principales: el cuerpo de la norma (cláusulas 4 a 10) y el Anexo A con los controles. Entender esta estructura es clave para saber qué tendrás que implementar.
La norma sigue la estructura de alto nivel (High Level Structure) común a todos los sistemas de gestión ISO.
Cláusula 4 — Contexto de la
organización
Entender la organización y su contexto, identificar
las partes interesadas relevantes y definir el alcance del SGSI.
Cláusula 5 — Liderazgo
Compromiso
de la alta dirección, política de seguridad aprobada, roles y responsabilidades
definidos.
Cláusula 6 —
Planificación
Identificación y evaluación de riesgos, plan de
tratamiento, Statement of Applicability (SOA), objetivos de seguridad. Es la
cláusula más exigente en trabajo analítico.
Cláusula 7 — Soporte
Recursos,
competencias, concienciación, comunicación, información documentada.
Cláusula 8 —
Operación
Planificación y control operacional: los controles
deben operar con registros como evidencia.
Cláusula 9 — Evaluación del
desempeño
Seguimiento, medición, auditoría interna y revisión
por la dirección al menos una vez al año.
Cláusula 10 — Mejora
Gestión de no
conformidades, acciones correctivas y mejora continua.
El Anexo A de ISO/IEC 27001:2022 contiene 93 controles organizados en 4 categorías (antes eran 114 en 14 dominios).
Categoría 5 — Controles organizacionales (37
controles)
Políticas de seguridad, roles, gestión de incidentes,
inteligencia de amenazas, continuidad operativa, gestión de proveedores.
Categoría 6 — Controles de personas (8
controles)
Verificación de antecedentes, condiciones de empleo,
concientización y capacitación, proceso disciplinario.
Categoría 7 — Controles físicos (14
controles)
Perímetros de seguridad física, control de acceso
físico, protección contra amenazas físicas, escritorio limpio.
Categoría 8 — Controles tecnológicos (34
controles)
Gestión de identidades y accesos, autenticación,
seguridad de redes, gestión de vulnerabilidades, logs, cifrado, protección
contra malware, seguridad en desarrollo de software.
El SOA es uno de los documentos más importantes del SGSI. Es una tabla que lista los 93 controles del Anexo A e indica para cada uno:
No es obligatorio implementar los 93 controles. Lo que sí es obligatorio es justificar por qué no aplicas los que excluyes. El SOA es el documento que el auditor de certificación revisa primero.
La versión 2022 introdujo cambios relevantes:
La implementación es el trabajo que ocurre antes de la auditoría de certificación. Es el proceso más largo y exigente, y es donde la mayoría de las organizaciones necesita apoyo externo.
ISO 27001 exige explícitamente (Cláusula 5) que la alta dirección se comprometa. El directorio o gerencia general debe:
Los proyectos que fracasan casi siempre lo hacen porque el compromiso ejecutivo fue nominal, no real. Duración típica: 1 a 2 semanas.
Consiste en evaluar dónde está la organización hoy respecto a los requisitos:
El resultado es un informe con el porcentaje de cumplimiento actual y el mapa de lo que hay que construir. Duración típica: 1 a 3 semanas.
Una de las decisiones más importantes: qué partes de la organización, qué procesos y qué sistemas quedan dentro de la certificación. Definir bien el alcance es estratégico:
Duración típica: 1 a 2 semanas (en paralelo con gap analysis).
ISO 27001 requiere identificar y gestionar los activos de información. Tipos de activos típicos:
Cada activo debe tener un propietario, una clasificación de criticidad y una valoración de impactos. Duración típica: 2 a 4 semanas.
La etapa más técnica y analítica. El proceso típico:
El resultado es la matriz de riesgos y el plan de tratamiento de riesgos, ambos clave para la auditoría. Duración típica: 3 a 6 semanas.
Políticas mínimas que casi toda organización necesita:
Una buena política es corta, específica, operable y tiene un responsable claro. Duración típica: 4 a 8 semanas.
ISO 27001 exige que todos los miembros sean conscientes de sus responsabilidades (Cláusula 7). El programa debe incluir:
Duración típica: actividad continua; lanzamiento inicial en mes 3 o 4.
Implementar un control no es lo mismo que tenerlo operando con evidencias. Para cada control se debe mostrar:
Ejemplo: Para control de acceso, no basta decir "usamos MFA". Hay que mostrar la configuración activa, los logs de autenticación y el proceso documentado para altas y bajas de usuarios.
Duración típica: operación continua desde el mes 3.
Antes de la certificación, la norma exige al menos una auditoría interna. Puede ser ejecutada por personal interno capacitado o un consultor externo (lo más común). El resultado incluye:
Duración típica: 2 a 4 semanas.
La alta dirección debe hacer una revisión formal del SGSI (Cláusula 9), cubriendo:
El acta de esta reunión es evidencia clave para el auditor. Duración típica: 1 reunión formal, 2 a 4 horas.
La certificación la otorga un organismo de certificación externo e independiente (no ISO directamente, sino entidades acreditadas).
En Chile y LATAM, los más comunes son:
Recomendación: elige la certificadora considerando qué organismos reconocen tus clientes objetivo.
La primera etapa es una revisión principalmente documental. El auditor revisará:
Duración típica: 1 a 2 días. Tiempo entre Etapa 1 y 2: generalmente 4 a 8 semanas.
La auditoría principal. El auditor verifica que los controles operan en la práctica:
Duración típica: 1 a 4 días según el tamaño del alcance.
El auditor puede emitir tres tipos de hallazgos:
No conformidad mayor (NC
Mayor)
Incumplimiento fundamental. No se otorga el certificado
hasta que sea resuelta y verificada.
No conformidad menor (NC
Menor)
Incumplimiento puntual. Se otorga el certificado
condicionado a resolución en ~90 días.
Observación
Área de riesgo que el
auditor recomienda atender. No bloquea la certificación.
El certificado ISO 27001 incluye:
La certificación tiene vigencia de 3 años, con auditorías de seguimiento anuales obligatorias. Si no mantienes el SGSI operativo, pierdes la certificación.
El primer año termina con la auditoría de certificación. Al obtener el certificado, el reloj de los 3 años empieza a correr. Lo que debes mantener operativo desde el primer día:
Aproximadamente a los 12 meses, el organismo certificador ejecuta la primera auditoría de seguimiento. El auditor verificará:
Duración típica: 1 a 2 días.
A los 24 meses. El auditor espera ver evolución y mejora continua:
Al acercarse el vencimiento de los 3 años, la organización se somete a una auditoría de recertificación. Es más completa que las de seguimiento. La recertificación exitosa reinicia el ciclo por otros 3 años.
Si la organización no se recertifica a tiempo, el certificado vence y debe empezar desde cero.
| Hito | Mes aprox. | Qué ocurre |
|---|---|---|
| Inicio de implementación | Mes 0 | Gap analysis, alcance, kickoff |
| Fin de implementación | Mes 4–6 | SGSI operativo, auditoría interna |
| Auditoría Etapa 1 | Mes 5–7 | Revisión documental |
| Auditoría Etapa 2 | Mes 6–8 | Auditoría en terreno |
| Certificado emitido | Mes 7–9 | Inicio del ciclo de 3 años |
| Surveillance 1 | Mes 19–21 | Primera auditoría de seguimiento |
| Surveillance 2 | Mes 31–33 | Segunda auditoría de seguimiento |
| Recertificación | Mes 36–42 | Reinicio del ciclo |
Mantener el SGSI operativo entre auditorías es donde la mayoría falla. El servicio de CISO Virtual de Confiden360 existe para esto: asegurar que tu sistema sigue vivo, evidenciado y listo para la siguiente auditoría. Ver servicio CISO Virtual →
Esta es la pregunta más frecuente y también la más difícil de responder sin contexto. El costo de certificarse depende de variables específicas de cada organización — no existe un precio estándar de mercado. Lo que sí podemos hacer es explicarte qué compone el costo total y qué factores lo mueven hacia arriba o hacia abajo.
Certificarse en ISO 27001 implica tres tipos de costos independientes que conviene entender por separado:
1. Consultoría de implementación
El
acompañamiento externo para construir e implementar el SGSI. Es el componente
más variable, porque depende del alcance del proyecto, la madurez inicial de la
organización y el modelo de trabajo del consultor.
2. Auditoría de certificación
El
costo del organismo certificador (Bureau Veritas, SGS, TÜV, BSI, etc.) por
ejecutar las auditorías de Etapa 1 y Etapa 2. Este costo lo fija la
certificadora según tablas internacionales basadas en el tamaño y complejidad
del alcance. Se cotiza directamente con ellos.
3. Costos internos
El tiempo de tu
equipo dedicado al proyecto, las herramientas de gestión del SGSI y las
eventuales mejoras técnicas que el diagnóstico identifique como necesarias para
cumplir con los controles.
No hay dos proyectos iguales. Estos son los factores que más impactan el esfuerzo y por lo tanto el costo:
Tamaño del alcance
No es lo mismo
implementar un SGSI para un producto SaaS con 15 personas que para una
consultora TI con 80 personas gestionando múltiples clientes. A mayor alcance,
mayor esfuerzo de levantamiento, análisis de riesgos y gestión de evidencias.
Madurez inicial
Una organización
que ya tiene algunas políticas, controles técnicos básicos y cultura de
documentación avanza significativamente más rápido que una que parte de cero. El
gap analysis al inicio del proyecto determina cuánto hay que construir desde la
base.
Disponibilidad del equipo
interno
El proyecto avanza al ritmo que el equipo del cliente
puede avanzar. Si hay un punto de contacto dedicado y disponible, el proyecto es
más eficiente. Si la implementación compite con las operaciones del día a día,
los tiempos se extienden y el costo consultor aumenta.
Complejidad técnica del entorno
Una
organización 100% en la nube con arquitectura moderna tiene controles técnicos
más simples de implementar y evidenciar que una con infraestructura híbrida,
múltiples proveedores críticos o sistemas legados.
Industria y requisitos regulatorios
adicionales
Empresas en sectores como fintech, salud o servicios
financieros pueden tener requisitos regulatorios que se superponen con ISO 27001
y agregan complejidad al proyecto.
Número de sitios o unidades de
negocio
Un alcance que involucra múltiples oficinas, países o
líneas de negocio requiere más trabajo de coordinación, evidencias adicionales y
auditorías más extensas.
Los organismos certificadores calculan sus honorarios en función del número de días de auditoría requeridos. Ese número lo determinan con tablas estandarizadas internacionalmente (guías IAF) que consideran principalmente:
La recomendación es cotizar con al menos dos organismos certificadores y comparar no solo el precio sino también la experiencia sectorial de sus auditores y los tiempos de disponibilidad para las auditorías.
La certificación no es un gasto único. El ciclo de 3 años implica:
El costo del mantenimiento anual depende de si tienes apoyo externo continuo (como un CISO Virtual) o si tu equipo interno puede sostener el SGSI de forma autónoma con una plataforma de gestión.
La respuesta depende de tu situación concreta, pero hay tres escenarios donde el retorno es claro:
Estás perdiendo contratos por no tener la
certificación.
En este caso el retorno es directo e inmediato.
Si un contrato que se perdió o está en riesgo vale más que el costo de
implementación, la certificación se paga sola con el primer cliente que cierra.
La regulación te lo exige o te lo exigirá
pronto.
La Ley Marco de Ciberseguridad en Chile y los requisitos
de proveedores de grandes empresas reguladas están avanzando en esa dirección.
Certificarse hoy es menos costoso que hacerlo bajo presión de un plazo o una
penalización.
Es una decisión estratégica de
posicionamiento.
Una empresa certificada compite diferente. En
licitaciones, en due diligence, en la conversación con clientes grandes. La
certificación no es solo un documento: es una señal de madurez que abre puertas.
En Confiden360 no publicamos tarifas fijas porque hacerlo sería hacerte un flaco favor. Una cotización sin diagnóstico previo es solo un número en el aire. Lo que hacemos es una sesión de diagnóstico gratuita de 30 minutos donde evaluamos tu alcance, tu madurez actual y tus objetivos — y a partir de ahí te entregamos una propuesta con números reales, sin sorpresas. Solicitar diagnóstico →
En teoría, cualquier organización puede implementar ISO 27001 por su cuenta. En la práctica, la gran mayoría que se certifica exitosamente lo hace con apoyo externo.
ISO 27001 define qué se debe lograr, no cómo. Un consultor con experiencia sabe exactamente qué nivel de evidencia busca el auditor, qué documentos son realmente necesarios y cómo adaptar los requisitos a tu contexto.
ISO 27001 requiere trabajo sostenido durante 4 a 6 meses. Si el responsable interno es el CTO o el CEO, ese tiempo compite directamente con las operaciones. Un consultor lleva el peso del proyecto.
Una auditoría fallida implica pagar de nuevo, retrasar el proyecto y potencialmente perder el cliente que esperaba la certificación.
Combinamos consultoría especializada con plataformas propias. No solo implementamos el SGSI: te dejamos con Confirmer360 para gestionar evidencias y Certisec Academy para concientización. Un sistema que sigue funcionando después de que nos vamos. Ver cómo trabajamos →
Sí. No hay un tamaño mínimo. ISO 27001 ha sido implementada exitosamente en empresas de 10 personas. La norma escala según el tamaño y complejidad de la organización. Una empresa de 15 personas no necesita el mismo SGSI que una de 500.
El rango típico es de 4 a 9 meses. Los factores que más afectan son: la madurez inicial, el compromiso del equipo interno, y la agenda de la certificadora. Un proyecto de 4 meses es posible en organizaciones pequeñas con alcance acotado.
No necesariamente. La norma exige que haya alguien responsable del SGSI, pero no que sea un empleado de tiempo completo. Muchas organizaciones cubren este rol con un CISO Virtual o con un gerente interno que asume la responsabilidad con apoyo de un consultor.
Un incidente durante la implementación no invalida la certificación. La norma espera que los incidentes ocurran; lo que evalúa es si la organización tiene un proceso para gestionarlos correctamente.
Solo cubre lo que está dentro del alcance definido. Puedes empezar con un alcance acotado (por ejemplo, la plataforma SaaS principal) y expandirlo en el siguiente ciclo.
No. ISO 27001 es una norma internacional con certificación formal. SOC 2 es un framework de auditoría del AICPA (EE.UU.), más utilizado en el mercado norteamericano. ISO 27001 tiene más reconocimiento internacional fuera de EE.UU. No son excluyentes: hay organizaciones que tienen ambos.
Sí. El uso de AWS, Azure, GCP es totalmente compatible. La versión 2022 agregó un control específico de seguridad en la nube. Lo importante es incluir los servicios cloud en el análisis de riesgos y gestionar los controles que aplican.
Si hay no conformidades mayores, no se emite el certificado. La organización tiene un plazo (~6 meses) para resolver las NC y someterse a verificación adicional. Es preferible encontrar las NC en la auditoría interna antes de la certificación.
Sí. El alcance puede ser un producto, servicio o departamento. Es común empezar con un alcance acotado y expandirlo en el segundo ciclo de certificación.
No. Es un sistema de gestión que reduce la probabilidad e impacto de incidentes, pero no los elimina. La seguridad perfecta no existe; la gestión sistemática del riesgo sí.
En Confiden360 acompañamos organizaciones en todo el proceso: desde entender si ISO 27001 es lo que necesitas hasta la auditoría de certificación y el mantenimiento del ciclo de 3 años. La sesión de diagnóstico inicial es gratuita y sin compromiso.
Sin precios fijos. Sin compromisos. Con claridad total sobre tu próximo paso.