SGSI: qué es, cómo implementarlo y cómo certificarlo

¿Qué es un SGSI?

Un SGSI (Sistema de Gestión de Seguridad de la Información) es el conjunto sistemático y documentado de políticas, procesos, procedimientos, controles técnicos y prácticas organizacionales que una empresa implementa para proteger la confidencialidad, integridad y disponibilidad de su información — la conocida tríada CIA.

Un SGSI no es un software ni un documento. Es un sistema completo de gestión, comparable a un sistema de gestión de calidad (ISO 9001) o uno de gestión ambiental (ISO 14001), pero aplicado a la seguridad de la información. Su estándar internacional es ISO/IEC 27001:2022.

SGSI vs ISO 27001: ¿cuál es la diferencia?

Es una confusión muy frecuente. La distinción simple:

• ISO 27001 es la norma: define los requisitos que debe cumplir un SGSI.
• SGSI es el sistema operativo que tu empresa implementa para cumplir esos requisitos.

Cuando una empresa "se certifica en ISO 27001", lo que se certifica es que su SGSI cumple los requisitos de la norma. No te certifica una persona, ni un software: te certifica el sistema completo.

Los 7 componentes de un SGSI

Un SGSI completo bajo ISO 27001:2022 tiene siete componentes obligatorios:

¿Cómo se implementa un SGSI? (resumen en 6 fases)

La implementación típica de un SGSI bajo ISO 27001 sigue 6 fases sucesivas:

1. Diagnóstico (Gap Analysis): levantamiento de estado actual vs los requisitos de ISO 27001.
2. Definición de alcance y política: formalizar qué cubre el SGSI y el compromiso de la dirección.
3. Análisis de riesgos: identificación, evaluación y tratamiento. Generación del SoA.
4. Implementación de controles: aplicar los controles técnicos, organizacionales y de personas del Anexo A.
5. Capacitación y awareness: entrenar al personal en los nuevos procesos y políticas.
6. Auditoría interna + certificación: auditoría interna primero, certificación de terceros después.

Si quieres un detalle paso a paso, lo cubrimos en nuestra guía dedicada cómo certificar la ISO 27001.

¿Cuánto cuesta implementar un SGSI?

La inversión total tiene tres componentes:

• Consultoría de implementación: entre $7M y $20M con plataforma incluida (Confiden360). Implementarlo internamente sin consultoría suele costar el doble entre horas internas + plataforma comprada por separado.
• Plataforma operativa: incluida en consultoría. Si la compras suelta (Drata, Vanta, etc.), $8-15M anuales.
• Certificación: entre $5M y $15M por ciclo de 3 años (etapa 1 + etapa 2 + auditorías de seguimiento).

Detalle completo en nuestra guía de costos de certificación ISO 27001.

¿Cuánto tiempo toma implementar un SGSI?

Con consultoría especializada acelerada, entre 4 y 6 meses para una empresa mediana (50-200 personas). Sin consultoría y con equipo interno dedicado, entre 9 y 14 meses. Lo que más alarga el proyecto en empresas que lo hacen internamente:

• Falta de experiencia en análisis de riesgos formal
• Subestimación del trabajo documental
• Sin plataforma operativa — todo termina en Drive/Excel
• Conflictos con prioridades del negocio que retrasan reuniones

Errores comunes al implementar un SGSI

Estos son los errores que vemos repetidamente en empresas que intentan implementar un SGSI sin consultoría:

• Empezar por los controles antes que por los riesgos: implementar controles sin SoA es comprar un seguro sin saber qué cubrir.
• Tratar el SGSI como un proyecto puntual: el SGSI vive. Si no hay mejora continua, en 1 año está obsoleto.
• Documentar todo y operar nada: PDFs en Drive no son un SGSI. Las evidencias deben generarse en la operación.
• Subestimar la capa de personas: el Anexo A tiene controles de personas que requieren capacitación y cultura, no solo tecnología.
• Confundir certificación con cumplimiento: certificarse no significa estar seguro. Significa que tienes un sistema; usarlo es otra cosa.

SGSI y otras normativas: cómo se relaciona

Un SGSI bien implementado bajo ISO 27001 cubre el 70-90% de los requisitos de otras normativas relevantes en Chile:

• Ley Marco de Ciberseguridad (Ley 21.663): el SGSI cubre el 80-90% de los requisitos técnicos. Solo faltan los específicos (notificación ANCI, reporte anual, plan operacional sectorial).
• Ley 21.719 (Protección de Datos Personales): el SGSI cubre el 60-70% de los controles técnicos. Falta la capa específica de privacidad (RAT, EIPD, ARCO+).
• ISO 27701 (PIMS): es una extensión del SGSI orientada a privacidad. Si ya tienes el SGSI, certificar ISO 27701 es un siguiente paso natural.
• NIST CSF, CIS Controls, SOC 2: tienen alta correspondencia con los controles del Anexo A de ISO 27001.

Preguntas frecuentes sobre SGSI

¿Qué es un SGSI en palabras simples?

Es el "manual operativo" de cómo tu empresa protege su información: políticas, procesos, controles técnicos y responsabilidades, todo documentado y auditable. Bajo ISO 27001, ese manual operativo cumple un estándar internacional.

¿Para qué tamaño de empresa aplica un SGSI?

Cualquier tamaño. La diferencia está en la profundidad del SGSI, no en su existencia. Una startup de 10 personas y un banco de 5.000 personas pueden tener un SGSI — con alcances y controles muy distintos. ISO 27001 es escalable.

¿Necesito ISO 27001 para tener un SGSI?

No. Puedes tener un SGSI sin certificar bajo ISO 27001 — solo necesitas seguir la norma. Lo que da ISO 27001 certificada es la validación externa que tus clientes B2B suelen exigir.

¿Quién es responsable del SGSI?

La alta dirección es responsable legal y formal. Operativamente suele liderarlo un CISO, oficial de seguridad o equivalente. En empresas sin CISO, se usa un CISO Virtual externo para no contratar un rol full-time.

¿Cuánto dura un SGSI certificado?

La certificación ISO 27001 dura 3 años con auditorías de seguimiento anuales. Después se recertifica. El SGSI en sí es permanente — vive mientras la empresa lo mantenga.