ISO/IEC 27001 es la norma internacional más reconocida para la gestión de la seguridad de la información. Certificarse abre puertas en licitaciones, acelera ventas con clientes enterprise y, sobre todo, ordena realmente la seguridad de tu empresa. En Chile, su versión oficial del INN es NCh-ISO 27001 y es equivalente para efectos regulatorios.
Esta guía explica en qué consiste la norma, qué pide la versión 2022, cuánto cuesta, cuánto tarda y dónde se equivocan la mayoría de las empresas chilenas que lo intentan por primera vez.
Tabla de contenidos
¿Qué es ISO 27001 y qué no es?
ISO 27001 es una norma certificable que define requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). No es una checklist técnica; es un marco de gestión basado en riesgos.
La versión vigente es ISO/IEC 27001:2022, publicada en octubre de 2022, que reorganizó el Anexo A (ahora con 93 controles agrupados en 4 temas en lugar de los 114 previos en 14 dominios). Las empresas certificadas bajo 2013 tienen hasta octubre 2025 para transicionar.
El Sistema de Gestión de Seguridad de la Información (SGSI)
El corazón de la norma son las cláusulas 4-10, que exigen procesos obligatorios:
- Cláusula 4: Contexto — Partes interesadas, alcance del SGSI.
- Cláusula 5: Liderazgo — Política de seguridad, roles, compromiso de dirección.
- Cláusula 6: Planificación — Evaluación de riesgos, tratamiento, objetivos.
- Cláusula 7: Soporte — Recursos, competencias, comunicación, documentación.
- Cláusula 8: Operación — Ejecución de planes, controles.
- Cláusula 9: Evaluación — Monitoreo, auditorías internas, revisión por dirección.
- Cláusula 10: Mejora — No conformidades, acciones correctivas.
El Anexo A: 93 controles en 4 categorías
La versión 2022 agrupa los controles en 4 temas:
| Tema | Controles | Ejemplos |
|---|---|---|
| A.5 Organizacionales | 37 | Políticas, roles, gestión de proveedores, inteligencia de amenazas |
| A.6 Personas | 8 | Onboarding, capacitación, confidencialidad, home office |
| A.7 Físicos | 14 | Áreas seguras, equipamiento, cableado, eliminación de medios |
| A.8 Tecnológicos | 34 | Endpoint, cloud, red, desarrollo seguro, backups, criptografía |
La 2022 introdujo 11 controles nuevos relevantes para el contexto actual: inteligencia de amenazas, seguridad en cloud, continuidad TIC, seguridad física monitoreada, gestión de configuración, eliminación de información, enmascaramiento, DLP, actividad de monitoreo, filtrado web y codificación segura.
Los 10 pasos para certificar
- Compromiso de dirección — Sin liderazgo visible, ISO 27001 fracasa. Asigna sponsor ejecutivo y presupuesto.
- Definir alcance — Qué áreas, procesos, ubicaciones y servicios están incluidos. Ser específico reduce complejidad.
- Análisis GAP — Evaluación inicial vs. los 93 controles y las cláusulas 4-10. Identifica dónde estás.
- Evaluación de riesgos — Identificar activos, amenazas, vulnerabilidades y probabilidad/impacto. Usa metodologías como ISO 27005, OCTAVE o NIST SP 800-30.
- Declaración de Aplicabilidad (SoA) — Documento que lista cada control del Anexo A y justifica inclusión/exclusión.
- Implementar controles y procesos — Políticas, procedimientos, configuraciones técnicas. Es la fase más larga (4-8 meses).
- Capacitar al personal — Awareness general y capacitación específica por rol.
- Auditoría interna — Realizada por personal independiente (o consultor externo). Genera hallazgos que se corrigen antes de la externa.
- Revisión por la dirección — Reunión formal donde la dirección revisa el estado del SGSI y toma decisiones.
- Auditoría de certificación — Etapa 1 (revisión documental) y Etapa 2 (evidencia en campo). Organismos acreditados en Chile: AENOR, BSI, SGS, TÜV, Bureau Veritas, LRQA, DQS, ICONTEC.
Costos y tiempos reales en Chile
Las cifras varían por tamaño, alcance y si se contrata consultoría. Rangos típicos:
| Tamaño | Tiempo | Consultoría | Auditoría | Total primer año |
|---|---|---|---|---|
| Startup/PYME (hasta 50) | 6-9 meses | USD 8.000 - 20.000 | USD 5.000 - 8.000 | USD 15.000 - 30.000 |
| Mediana (50-250) | 9-14 meses | USD 20.000 - 45.000 | USD 8.000 - 12.000 | USD 30.000 - 60.000 |
| Grande (250+) | 12-18 meses | USD 40.000 - 100.000+ | USD 12.000 - 25.000 | USD 60.000 - 150.000+ |
Las auditorías de mantenimiento anuales cuestan aproximadamente un 40% de la inicial. La re-certificación se realiza cada 3 años.
Errores comunes y cómo evitarlos
- Alcance demasiado amplio — Certifica primero un área acotada, luego expande.
- Documentación excesiva y disfuncional — La norma pide documentos útiles, no carpetas inútiles. Enfócate en lo que tu equipo usará.
- Tratar el SGSI como proyecto puntual — Una vez certificada, debe vivir. Auditorías de seguimiento detectan SGSI "dormidos".
- Controles puramente en papel — Auditor verifica evidencia: logs, tickets, minutas, screenshots. Simular no funciona.
- No integrar TI existente — Aprovecha tu EDR, MFA, monitoreo, respaldo como evidencia. Ver nuestra guía de ransomware y Zero Trust para controles técnicos clave.
Herramientas que aceleran el proceso
- Plataformas GRC: Vanta, Drata, Secureframe, SecurityScorecard, Thoropass.
- Gestión documental: Confluence, SharePoint, Notion con control de versiones.
- Monitoreo técnico: SIEM (Wazuh, Sentinel), EDR, vulnerability scanners.
- Formación: KnowBe4, Hoxhunt para capacitar en seguridad.
¿Listo para iniciar tu camino a ISO 27001?
UpTech acompaña a empresas chilenas desde el análisis GAP hasta la auditoría de certificación.
Ver Servicios Gestionados TI →Preguntas frecuentes
¿Cuánto tarda certificarse en ISO 27001?
En promedio 9 a 18 meses desde cero. Las empresas con prácticas maduras pueden lograrlo en 6-9 meses; las que parten sin sistemas formales suelen requerir 18-24 meses.
¿Cuánto cuesta certificarse?
En Chile, el costo total va de USD 15.000 a USD 80.000 dependiendo tamaño, alcance y si se usa consultoría externa.
¿Es obligatoria la ISO 27001 en Chile?
No es obligatoria de forma universal, pero sí exigida en licitaciones públicas, contratos con bancos y operadores críticos bajo la Ley 21.663.
¿Qué diferencia hay entre ISO 27001 e ISO 27002?
ISO 27001 es la norma certificable con requisitos del SGSI. ISO 27002 es una guía de buenas prácticas que explica cómo implementar los controles del Anexo A.
¿Puedo certificar solo una parte de la empresa?
Sí. El alcance se define y puede limitarse a una unidad, producto o proceso.
Acompañamos tu certificación ISO 27001 con controles técnicos implementados y auditados.
Conversemos: evaluamos sin costo cómo aplicarlo en tu empresa.