Ley 21.719 · Cumplimiento activo
ISO/IEC 27001:2022 · Seguridad de la Información

ISO 27001: el estándar global
del SGSI certificable

Guía en profundidad de la norma ISO/IEC 27001:2022 y del Sistema de Gestión de Seguridad de la Información: ciclo PDCA, Anexo A, Declaración de Aplicabilidad, gestión de riesgos y el camino real hacia la certificación. Escrita por consultores que implementan y auditan la norma.

93 controles · Anexo A 2022
Auditoría en 2 fases
Lead Auditor & Lead Implementer
Pilar 1
Confidencialidad
Pilar 2
Integridad
Pilar 3
Disponibilidad
Certificado con vigencia de 3 años
Vigilancia anual y recertificación al tercer año

Más que un certificado: una decisión estratégica

Adoptar un SGSI conforme a ISO/IEC 27001 es una decisión estratégica de gobierno corporativo, no un proyecto de TI. Al integrar la seguridad de la información en los procesos, la estructura y la cultura de la organización, la certificación fortalece la postura de seguridad frente a amenazas en constante evolución, construye confianza verificable ante clientes, reguladores y socios comerciales, y habilita ventajas competitivas concretas: acceso a licitaciones, contratos con grandes empresas y mercados donde la evidencia de debida diligencia ya no es opcional.

El enfoque de IDATA Chile para ISO/IEC 27001:2022

¿Qué es un SGSI y cómo opera el ciclo PDCA?

Un Sistema de Gestión de Seguridad de la Información (SGSI) es el conjunto de políticas, procesos, roles y controles con que una organización establece, implementa, mantiene y mejora continuamente la protección de su información. ISO 27001 lo estructura sobre el ciclo de mejora continua Plan–Do–Check–Act, mapeado a las cláusulas 4 a 10 de la norma.

Plan · Planificar

Establecer el SGSI

Cláusulas 4 – 7

Contexto de la organización y partes interesadas, definición del alcance, liderazgo y política de seguridad, evaluación de riesgos, objetivos medibles, recursos, competencias e información documentada.

Do · Hacer

Implementar y operar

Cláusula 8

Ejecución del plan de tratamiento de riesgos, operación de los controles del Anexo A seleccionados y control de los procesos, incluidos los externalizados a proveedores.

Check · Verificar

Evaluar el desempeño

Cláusula 9

Seguimiento y medición de indicadores, auditoría interna del SGSI y revisión por la dirección con entradas y salidas definidas por la norma.

Act · Actuar

Mejorar continuamente

Cláusula 10

Gestión de no conformidades, acciones correctivas con análisis de causa raíz y mejora continua de la idoneidad, adecuación y eficacia del sistema.

Los tres pilares de la seguridad de la información

Todo control del SGSI existe para preservar una o más de estas tres propiedades. La evaluación de riesgos de ISO 27001 mide precisamente el impacto de perder cada una de ellas.

C · Confidentiality

Confidencialidad

La información solo es accesible para personas, procesos y sistemas autorizados. Se preserva con controles de acceso, clasificación de la información, cifrado y acuerdos de confidencialidad.

Riesgo típico: exfiltración de una base de datos de clientes por credenciales comprometidas.
I · Integrity

Integridad

La información es exacta, completa y solo se modifica de forma autorizada y trazable. Se protege con control de cambios, firmas y funciones hash, registros de auditoría y segregación de funciones.

Riesgo típico: alteración no autorizada de registros contables o de parámetros de un sistema productivo.
A · Availability

Disponibilidad

La información y los sistemas están accesibles cuando el negocio los necesita. Se sostiene con redundancia, respaldos verificados, capacidad planificada y preparación TIC para la continuidad.

Riesgo típico: ransomware que cifra servidores críticos y detiene la operación por días.

Anexo A 2022: 93 controles en 4 temas

La versión 2022 reorganizó el Anexo A: de 114 controles en 14 dominios a 93 controles agrupados en cuatro temas, con atributos que facilitan filtrarlos por tipo, propiedad de seguridad y concepto de ciberseguridad. Estos son los temas y algunos controles representativos de cada uno.

A.5 · Organizacionales 37

Controles organizacionales

Gobierno, políticas y procesos que dan estructura al SGSI.

  • Políticas de seguridad y roles definidos
  • Inteligencia de amenazas (5.7, nuevo)
  • Seguridad en la cadena de suministro TIC
  • Seguridad en servicios cloud (5.23, nuevo)
  • Gestión de incidentes y cumplimiento legal
A.6 · Personas 8

Controles de personas

El factor humano a lo largo del ciclo de vida laboral.

  • Verificación de antecedentes previa al ingreso
  • Responsabilidades en contratos de trabajo
  • Concientización y formación continua
  • Trabajo remoto seguro
  • Reporte de eventos de seguridad
A.7 · Físicos 14

Controles físicos

Protección de instalaciones, equipos y soportes.

  • Perímetros y control de acceso físico
  • Monitoreo de seguridad física (7.4, nuevo)
  • Protección de equipos y servicios de soporte
  • Escritorio y pantalla limpios
  • Gestión segura de medios de almacenamiento
A.8 · Tecnológicos 34

Controles tecnológicos

Las salvaguardas técnicas sobre sistemas y datos.

  • Gestión de identidades y accesos privilegiados
  • Criptografía y enmascaramiento de datos (8.11)
  • Prevención de fuga de datos · DLP (8.12, nuevo)
  • Gestión de vulnerabilidades y configuración
  • Filtrado web (8.23) y codificación segura (8.28)

Dato de auditor: la versión 2022 introdujo 11 controles nuevos (entre ellos inteligencia de amenazas, seguridad para cloud, preparación TIC para continuidad de negocio, borrado de información, DLP y codificación segura). El período de transición desde ISO 27001:2013 finalizó el 31 de octubre de 2025, por lo que hoy toda certificación vigente debe operar bajo la versión 2022. No se exige implementar los 93 controles: se seleccionan según el resultado de la evaluación de riesgos y esa decisión se documenta en la Declaración de Aplicabilidad.

La Declaración de Aplicabilidad (SoA)

La Statement of Applicability es el documento pivote del SGSI, exigido por la cláusula 6.1.3 d) de la norma. Conecta la evaluación de riesgos con el Anexo A: declara qué controles aplican a tu organización, cuáles se excluyen y por qué, y en qué estado de implementación se encuentra cada uno.

En la auditoría de certificación, la SoA funciona como el mapa de la auditoría: el auditor la recorre control por control verificando que lo declarado existe, opera y responde a riesgos identificados. Una SoA genérica (copiada de una plantilla, sin trazabilidad al análisis de riesgos) es una de las no conformidades más frecuentes que observamos en auditorías.

Statement of Applicability
Cláusula 6.1.3 d) · ISO/IEC 27001:2022
  • Los 93 controles del Anexo A con su condición de aplicable o excluido
  • Justificación de inclusión trazable a riesgos, obligaciones legales o contractuales
  • Justificación documentada de cada exclusión (p. ej. sin desarrollo de software propio)
  • Estado de implementación de cada control y responsable asignado
  • Referencias a las políticas, procedimientos y evidencias que materializan cada control

Gestión de riesgos de seguridad de la información

ISO 27001 es una norma basada en riesgos: los controles no se eligen por catálogo, sino como respuesta a riesgos evaluados con una metodología formal. Aplicamos un proceso alineado a ISO/IEC 27005, con criterios de probabilidad, impacto y aceptación definidos y aprobados por la dirección.

Identificación

Levantamiento de activos de información, amenazas y vulnerabilidades asociadas, y asignación de dueños de riesgo con autoridad real sobre el activo.

Análisis

Estimación de probabilidad e impacto sobre confidencialidad, integridad y disponibilidad, considerando la eficacia de los controles ya existentes.

Evaluación

Comparación del nivel de riesgo contra los criterios de aceptación aprobados y priorización de los riesgos que exceden el apetito definido.

Tratamiento

Selección de opciones de tratamiento y de los controles del Anexo A necesarios, plan de tratamiento aprobado por los dueños de riesgo y aceptación formal del riesgo residual.

Mitigar: aplicar controles Transferir: seguros o terceros Evitar: eliminar la actividad Aceptar: con aprobación formal

El riesgo residual (el que permanece después del tratamiento) debe ser conocido y aceptado explícitamente por su dueño. Esa trazabilidad entre riesgo, control y aceptación es lo primero que un auditor experimentado va a revisar.

El proceso real de certificación ISO 27001

La certificación la emite un organismo certificador acreditado, tras una auditoría en dos fases. Así funciona el ciclo completo de 3 años.

Preparación

Implementación y auditoría interna

Antes de postular a la certificación, el SGSI debe estar operando y generando evidencia: gap analysis, implementación de controles, al menos un ciclo completo de auditoría interna y revisión por la dirección. Llegar a la Fase 1 sin ese ciclo cerrado es la causa más común de retrasos.

Fase 1 · Stage 1

Auditoría documental y de preparación

El organismo certificador revisa el diseño del SGSI: alcance, política, metodología y resultados de la evaluación de riesgos, la SoA y la información documentada obligatoria. Concluye con un informe de áreas de preocupación que deben resolverse antes de la Fase 2.

Fase 2 · Stage 2

Auditoría de implementación y eficacia

Auditoría en profundidad, con entrevistas y muestreo de evidencias, para verificar que los controles declarados operan de forma eficaz. Los hallazgos se clasifican en no conformidades mayores y menores; las mayores deben cerrarse con un plan de acción verificado antes de emitir el certificado.

Certificación

Emisión del certificado · vigencia 3 años

Con los hallazgos cerrados, el organismo emite el certificado ISO/IEC 27001:2022 para el alcance declarado, con una vigencia de 3 años condicionada al mantenimiento del sistema.

Años 1 y 2

Auditorías de vigilancia anuales

Cada año el certificador ejecuta una auditoría de vigilancia por muestreo: mejora continua, gestión de no conformidades previas, auditorías internas y cambios en el alcance o los riesgos. Un SGSI que solo "se despierta" antes de cada auditoría se detecta con facilidad, y se sanciona con hallazgos.

Año 3

Recertificación

Al cierre del ciclo se realiza una auditoría de recertificación completa (similar en alcance a la Fase 2) que renueva el certificado por un nuevo ciclo de 3 años.

¿Cuánto tarda un proyecto ISO 27001?

Un proyecto completo típico toma entre 9 y 18 meses, según tamaño, alcance y madurez inicial. Desconfía de promesas de certificación "en 3 meses": un SGSI sin evidencia operativa no supera la Fase 2.

Fase 1
Gap analysis
3 – 4 semanas

Diagnóstico contra los requisitos 2022, definición de alcance y plan de proyecto con esfuerzo realista.

Fase 2
Implementación del SGSI
6 – 12 meses

Evaluación de riesgos, SoA, políticas y controles del Anexo A operando y generando evidencia.

Fase 3
Auditoría interna y revisión
4 – 6 semanas

Ciclo completo de auditoría interna, cierre de hallazgos y revisión por la dirección documentada.

Fase 4
Certificación
4 – 8 semanas

Auditorías Fase 1 y Fase 2 con el organismo acreditado, incluido el cierre de hallazgos.

Qué gana tu organización con ISO 27001

Beneficios concretos que observamos en organizaciones que certifican y mantienen su SGSI.

Diferenciación competitiva

El certificado es evidencia verificable por terceros de que la seguridad se gestiona con método, un diferenciador real frente a competidores que solo la declaran.

Acceso a licitaciones y contratos

ISO 27001 es un requisito habitual en licitaciones y en la evaluación de proveedores de grandes empresas y multinacionales: sin certificado, muchos procesos se cierran antes de empezar.

Menos incidentes, menor impacto

La gestión sistemática de riesgos y controles reduce la probabilidad de incidentes y acota el impacto de una brecha: detección más temprana, respuesta definida y recuperación planificada.

Alineación con la Ley 21.663

El Marco de Ciberseguridad chileno exige a los sujetos obligados gestión de seguridad, controles e incidentes verificables: un SGSI ISO 27001 es el vehículo natural para sostener ese cumplimiento.

Sinergia con la Ley 21.719

Las medidas técnicas y organizativas que exige la ley de protección de datos se cubren con controles del Anexo A, y el SGSI genera la evidencia de debida diligencia ante la autoridad.

Madurez y cultura organizacional

Roles y responsabilidades claros, decisiones de inversión basadas en riesgo y una cultura donde la seguridad deja de depender de personas específicas y pasa a ser un proceso de la organización.

Consultores certificados en la norma

IDATA Chile cuenta con consultores certificados ISO 27001 Lead Auditor e ISO 27001 Lead Implementer: cubrimos las dos caras del proyecto, construir el SGSI y auditarlo con el rigor del organismo certificador.

Consultor Líder de Implementación
ISO 27001 Lead Implementer CISSP

Especialidad: diseño del SGSI, alcance, evaluación de riesgos, SoA y arquitectura de controles del Anexo A
Foco: sistemas de gestión operables, no carpetas de documentos

Auditor Líder
ISO 27001 Lead Auditor CISA

Especialidad: auditorías internas ISO 19011, simulacros de Fase 1 y Fase 2, gestión de no conformidades
Foco: preparar a tu equipo para el auditor externo, sin sorpresas

Consultor de Privacidad / DPO
ISO 27701 CIPP/E

Especialidad: integración del SGSI con la Ley 21.719 y extensión de privacidad (PIMS)
Foco: un solo sistema de gestión para seguridad y protección de datos

Preguntas técnicas sobre ISO 27001

ISO/IEC 27001 es la norma certificable: define los requisitos del sistema de gestión (cláusulas 4 a 10) y enumera los controles del Anexo A. ISO/IEC 27002 es una guía de implementación: desarrolla cada control con propósito, orientación y atributos, pero no es certificable. En la práctica, la organización se certifica contra ISO 27001 y usa ISO 27002 como manual de referencia para implementar los controles seleccionados en su SoA.

El cambio principal está en el Anexo A: de 114 controles en 14 dominios a 93 controles en 4 temas (organizacionales, de personas, físicos y tecnológicos), con 11 controles nuevos como inteligencia de amenazas, seguridad para servicios cloud, DLP, enmascaramiento de datos, filtrado web y codificación segura. Se sumaron atributos de control para clasificar y filtrar, y hubo ajustes menores en las cláusulas 4 a 10. El período de transición cerró el 31 de octubre de 2025: hoy toda certificación vigente opera bajo la versión 2022.

Es el documento exigido por la cláusula 6.1.3 d) que enlaza la evaluación de riesgos con el Anexo A: enumera los 93 controles indicando cuáles aplican y cuáles se excluyen, con la justificación de cada decisión y su estado de implementación. Es el documento central de la auditoría de certificación: el auditor lo usa como mapa para verificar que los controles declarados existen, operan y responden a riesgos reales.

Según la cláusula 4.3, considerando el contexto de la organización, las partes interesadas y las interfaces y dependencias con terceros. Puede cubrir toda la organización o delimitarse a procesos, servicios o ubicaciones específicas. Un alcance bien definido es clave: uno demasiado amplio encarece y alarga el proyecto; uno artificialmente estrecho resta credibilidad al certificado frente a clientes que revisan qué procesos están realmente cubiertos.

Un proyecto típico completo toma entre 9 y 18 meses según tamaño, alcance y madurez inicial: gap analysis (3–4 semanas), diseño e implementación del SGSI (6–12 meses), auditoría interna y revisión por la dirección (4–6 semanas) y auditoría de certificación en dos fases (4–8 semanas incluyendo el cierre de hallazgos). El certificado dura 3 años, con vigilancia anual y recertificación al tercer año.

Sí, con matices: no reemplaza el cumplimiento legal, pero es el marco de gestión más eficiente para sostenerlo. La Ley 21.663 exige a los sujetos obligados gestión de seguridad de la información, gestión de incidentes y controles verificables: elementos nativos del SGSI. La Ley 21.719 exige medidas técnicas y organizativas proporcionales al riesgo, que los controles del Anexo A cubren de forma directa. Además, el SGSI genera la evidencia documental de debida diligencia que ambos reguladores pueden requerir.

¿Listo para llevar tu SGSI a la certificación?

Partimos con un gap analysis contra ISO/IEC 27001:2022 que te dice exactamente dónde estás y cuánto falta. Cuéntanos el tamaño y rubro de tu organización y te respondemos en menos de 24 horas hábiles.

¿Necesitas también continuidad de negocio? Conoce nuestra consultoría ISO 27001 + ISO 22301 →

El SGSI se apoya en controles técnicos y marcos regulatorios que estos servicios complementan.