Confidencialidad
La información solo es accesible para personas, procesos y sistemas autorizados. Se preserva con controles de acceso, clasificación de la información, cifrado y acuerdos de confidencialidad.
Guía en profundidad de la norma ISO/IEC 27001:2022 y del Sistema de Gestión de Seguridad de la Información: ciclo PDCA, Anexo A, Declaración de Aplicabilidad, gestión de riesgos y el camino real hacia la certificación. Escrita por consultores que implementan y auditan la norma.
Adoptar un SGSI conforme a ISO/IEC 27001 es una decisión estratégica de gobierno corporativo, no un proyecto de TI. Al integrar la seguridad de la información en los procesos, la estructura y la cultura de la organización, la certificación fortalece la postura de seguridad frente a amenazas en constante evolución, construye confianza verificable ante clientes, reguladores y socios comerciales, y habilita ventajas competitivas concretas: acceso a licitaciones, contratos con grandes empresas y mercados donde la evidencia de debida diligencia ya no es opcional.
El enfoque de IDATA Chile para ISO/IEC 27001:2022Un Sistema de Gestión de Seguridad de la Información (SGSI) es el conjunto de políticas, procesos, roles y controles con que una organización establece, implementa, mantiene y mejora continuamente la protección de su información. ISO 27001 lo estructura sobre el ciclo de mejora continua Plan–Do–Check–Act, mapeado a las cláusulas 4 a 10 de la norma.
Contexto de la organización y partes interesadas, definición del alcance, liderazgo y política de seguridad, evaluación de riesgos, objetivos medibles, recursos, competencias e información documentada.
Ejecución del plan de tratamiento de riesgos, operación de los controles del Anexo A seleccionados y control de los procesos, incluidos los externalizados a proveedores.
Seguimiento y medición de indicadores, auditoría interna del SGSI y revisión por la dirección con entradas y salidas definidas por la norma.
Gestión de no conformidades, acciones correctivas con análisis de causa raíz y mejora continua de la idoneidad, adecuación y eficacia del sistema.
Todo control del SGSI existe para preservar una o más de estas tres propiedades. La evaluación de riesgos de ISO 27001 mide precisamente el impacto de perder cada una de ellas.
La información solo es accesible para personas, procesos y sistemas autorizados. Se preserva con controles de acceso, clasificación de la información, cifrado y acuerdos de confidencialidad.
La información es exacta, completa y solo se modifica de forma autorizada y trazable. Se protege con control de cambios, firmas y funciones hash, registros de auditoría y segregación de funciones.
La información y los sistemas están accesibles cuando el negocio los necesita. Se sostiene con redundancia, respaldos verificados, capacidad planificada y preparación TIC para la continuidad.
La versión 2022 reorganizó el Anexo A: de 114 controles en 14 dominios a 93 controles agrupados en cuatro temas, con atributos que facilitan filtrarlos por tipo, propiedad de seguridad y concepto de ciberseguridad. Estos son los temas y algunos controles representativos de cada uno.
Gobierno, políticas y procesos que dan estructura al SGSI.
El factor humano a lo largo del ciclo de vida laboral.
Protección de instalaciones, equipos y soportes.
Las salvaguardas técnicas sobre sistemas y datos.
Dato de auditor: la versión 2022 introdujo 11 controles nuevos (entre ellos inteligencia de amenazas, seguridad para cloud, preparación TIC para continuidad de negocio, borrado de información, DLP y codificación segura). El período de transición desde ISO 27001:2013 finalizó el 31 de octubre de 2025, por lo que hoy toda certificación vigente debe operar bajo la versión 2022. No se exige implementar los 93 controles: se seleccionan según el resultado de la evaluación de riesgos y esa decisión se documenta en la Declaración de Aplicabilidad.
La Statement of Applicability es el documento pivote del SGSI, exigido por la cláusula 6.1.3 d) de la norma. Conecta la evaluación de riesgos con el Anexo A: declara qué controles aplican a tu organización, cuáles se excluyen y por qué, y en qué estado de implementación se encuentra cada uno.
En la auditoría de certificación, la SoA funciona como el mapa de la auditoría: el auditor la recorre control por control verificando que lo declarado existe, opera y responde a riesgos identificados. Una SoA genérica (copiada de una plantilla, sin trazabilidad al análisis de riesgos) es una de las no conformidades más frecuentes que observamos en auditorías.
ISO 27001 es una norma basada en riesgos: los controles no se eligen por catálogo, sino como respuesta a riesgos evaluados con una metodología formal. Aplicamos un proceso alineado a ISO/IEC 27005, con criterios de probabilidad, impacto y aceptación definidos y aprobados por la dirección.
Levantamiento de activos de información, amenazas y vulnerabilidades asociadas, y asignación de dueños de riesgo con autoridad real sobre el activo.
Estimación de probabilidad e impacto sobre confidencialidad, integridad y disponibilidad, considerando la eficacia de los controles ya existentes.
Comparación del nivel de riesgo contra los criterios de aceptación aprobados y priorización de los riesgos que exceden el apetito definido.
Selección de opciones de tratamiento y de los controles del Anexo A necesarios, plan de tratamiento aprobado por los dueños de riesgo y aceptación formal del riesgo residual.
El riesgo residual (el que permanece después del tratamiento) debe ser conocido y aceptado explícitamente por su dueño. Esa trazabilidad entre riesgo, control y aceptación es lo primero que un auditor experimentado va a revisar.
La certificación la emite un organismo certificador acreditado, tras una auditoría en dos fases. Así funciona el ciclo completo de 3 años.
Antes de postular a la certificación, el SGSI debe estar operando y generando evidencia: gap analysis, implementación de controles, al menos un ciclo completo de auditoría interna y revisión por la dirección. Llegar a la Fase 1 sin ese ciclo cerrado es la causa más común de retrasos.
El organismo certificador revisa el diseño del SGSI: alcance, política, metodología y resultados de la evaluación de riesgos, la SoA y la información documentada obligatoria. Concluye con un informe de áreas de preocupación que deben resolverse antes de la Fase 2.
Auditoría en profundidad, con entrevistas y muestreo de evidencias, para verificar que los controles declarados operan de forma eficaz. Los hallazgos se clasifican en no conformidades mayores y menores; las mayores deben cerrarse con un plan de acción verificado antes de emitir el certificado.
Con los hallazgos cerrados, el organismo emite el certificado ISO/IEC 27001:2022 para el alcance declarado, con una vigencia de 3 años condicionada al mantenimiento del sistema.
Cada año el certificador ejecuta una auditoría de vigilancia por muestreo: mejora continua, gestión de no conformidades previas, auditorías internas y cambios en el alcance o los riesgos. Un SGSI que solo "se despierta" antes de cada auditoría se detecta con facilidad, y se sanciona con hallazgos.
Al cierre del ciclo se realiza una auditoría de recertificación completa (similar en alcance a la Fase 2) que renueva el certificado por un nuevo ciclo de 3 años.
Un proyecto completo típico toma entre 9 y 18 meses, según tamaño, alcance y madurez inicial. Desconfía de promesas de certificación "en 3 meses": un SGSI sin evidencia operativa no supera la Fase 2.
Diagnóstico contra los requisitos 2022, definición de alcance y plan de proyecto con esfuerzo realista.
Evaluación de riesgos, SoA, políticas y controles del Anexo A operando y generando evidencia.
Ciclo completo de auditoría interna, cierre de hallazgos y revisión por la dirección documentada.
Auditorías Fase 1 y Fase 2 con el organismo acreditado, incluido el cierre de hallazgos.
Beneficios concretos que observamos en organizaciones que certifican y mantienen su SGSI.
El certificado es evidencia verificable por terceros de que la seguridad se gestiona con método, un diferenciador real frente a competidores que solo la declaran.
ISO 27001 es un requisito habitual en licitaciones y en la evaluación de proveedores de grandes empresas y multinacionales: sin certificado, muchos procesos se cierran antes de empezar.
La gestión sistemática de riesgos y controles reduce la probabilidad de incidentes y acota el impacto de una brecha: detección más temprana, respuesta definida y recuperación planificada.
El Marco de Ciberseguridad chileno exige a los sujetos obligados gestión de seguridad, controles e incidentes verificables: un SGSI ISO 27001 es el vehículo natural para sostener ese cumplimiento.
Las medidas técnicas y organizativas que exige la ley de protección de datos se cubren con controles del Anexo A, y el SGSI genera la evidencia de debida diligencia ante la autoridad.
Roles y responsabilidades claros, decisiones de inversión basadas en riesgo y una cultura donde la seguridad deja de depender de personas específicas y pasa a ser un proceso de la organización.
IDATA Chile cuenta con consultores certificados ISO 27001 Lead Auditor e ISO 27001 Lead Implementer: cubrimos las dos caras del proyecto, construir el SGSI y auditarlo con el rigor del organismo certificador.
Especialidad: diseño del SGSI, alcance, evaluación de riesgos, SoA y arquitectura de controles del Anexo A
Foco: sistemas de gestión operables, no carpetas de documentos
Especialidad: auditorías internas ISO 19011, simulacros de Fase 1 y Fase 2, gestión de no conformidades
Foco: preparar a tu equipo para el auditor externo, sin sorpresas
Especialidad: integración del SGSI con la Ley 21.719 y extensión de privacidad (PIMS)
Foco: un solo sistema de gestión para seguridad y protección de datos
ISO/IEC 27001 es la norma certificable: define los requisitos del sistema de gestión (cláusulas 4 a 10) y enumera los controles del Anexo A. ISO/IEC 27002 es una guía de implementación: desarrolla cada control con propósito, orientación y atributos, pero no es certificable. En la práctica, la organización se certifica contra ISO 27001 y usa ISO 27002 como manual de referencia para implementar los controles seleccionados en su SoA.
El cambio principal está en el Anexo A: de 114 controles en 14 dominios a 93 controles en 4 temas (organizacionales, de personas, físicos y tecnológicos), con 11 controles nuevos como inteligencia de amenazas, seguridad para servicios cloud, DLP, enmascaramiento de datos, filtrado web y codificación segura. Se sumaron atributos de control para clasificar y filtrar, y hubo ajustes menores en las cláusulas 4 a 10. El período de transición cerró el 31 de octubre de 2025: hoy toda certificación vigente opera bajo la versión 2022.
Es el documento exigido por la cláusula 6.1.3 d) que enlaza la evaluación de riesgos con el Anexo A: enumera los 93 controles indicando cuáles aplican y cuáles se excluyen, con la justificación de cada decisión y su estado de implementación. Es el documento central de la auditoría de certificación: el auditor lo usa como mapa para verificar que los controles declarados existen, operan y responden a riesgos reales.
Según la cláusula 4.3, considerando el contexto de la organización, las partes interesadas y las interfaces y dependencias con terceros. Puede cubrir toda la organización o delimitarse a procesos, servicios o ubicaciones específicas. Un alcance bien definido es clave: uno demasiado amplio encarece y alarga el proyecto; uno artificialmente estrecho resta credibilidad al certificado frente a clientes que revisan qué procesos están realmente cubiertos.
Un proyecto típico completo toma entre 9 y 18 meses según tamaño, alcance y madurez inicial: gap analysis (3–4 semanas), diseño e implementación del SGSI (6–12 meses), auditoría interna y revisión por la dirección (4–6 semanas) y auditoría de certificación en dos fases (4–8 semanas incluyendo el cierre de hallazgos). El certificado dura 3 años, con vigilancia anual y recertificación al tercer año.
Sí, con matices: no reemplaza el cumplimiento legal, pero es el marco de gestión más eficiente para sostenerlo. La Ley 21.663 exige a los sujetos obligados gestión de seguridad de la información, gestión de incidentes y controles verificables: elementos nativos del SGSI. La Ley 21.719 exige medidas técnicas y organizativas proporcionales al riesgo, que los controles del Anexo A cubren de forma directa. Además, el SGSI genera la evidencia documental de debida diligencia que ambos reguladores pueden requerir.
Partimos con un gap analysis contra ISO/IEC 27001:2022 que te dice exactamente dónde estás y cuánto falta. Cuéntanos el tamaño y rubro de tu organización y te respondemos en menos de 24 horas hábiles.
¿Necesitas también continuidad de negocio? Conoce nuestra consultoría ISO 27001 + ISO 22301 →
El SGSI se apoya en controles técnicos y marcos regulatorios que estos servicios complementan.