ISO/IEC 27001:2022 · SGSI · SEGURIDAD DE LA INFORMACIÓN

Preparación ISO 27001: preparamos su organización para la certificación de seguridad de la información

Implementación completa del SGSI. Desde el diagnóstico de brechas hasta la preparación para la auditoría de certificación. Nosotros preparamos — la certificación la emite un organismo acreditado independiente.

Lead Auditor ISO/IEC 27001Lead Implementor ISO 27001

Agendar evaluación Ver auditoría de seguridad →

93Controles Anexo A

72 hDiagnóstico preliminar

5Fases de certificación

Fernando Arrieta en evento internacional de certificación ISO

«La certificación no es el objetivo final — es la evidencia de que su sistema de gestión funciona.»

Fernando Arrieta — Lead Auditor ISO/IEC 27001

Audiencia

¿Quién necesita certificar ISO 27001?

Organizaciones con operaciones internacionales

Cada vez más contratos exigen ISO 27001 como requisito para trabajar. La certificación es cada vez más un requisito documentado en cadenas de suministro internacionales.

Organizaciones reguladas

Fintech, salud, gobierno y seguros necesitan demostrar controles de seguridad ante reguladores y entes de supervisión.

Empresas que manejan datos sensibles

Si procesás datos personales, financieros o de salud, ISO 27001 te da el marco para protegerlos y demostrarlo.

Proceso de certificación

Fases de preparación para certificación ISO/IEC 27001

Diagnóstico de brechas

Evaluación del estado actual vs. los requisitos de ISO 27001. Se identifica qué existe, qué falta y por dónde empezar.

Análisis de riesgos

Mapeo de activos de información, amenazas, vulnerabilidades y controles necesarios según su contexto.

Implementación del SGSI

Diseño de políticas, procedimientos, controles y roles. Documentación operativa que se usa, no que se archiva.

Auditoría interna

Verificación previa a la certificación: detectamos hallazgos y los corregimos antes de la auditoría externa.

Preparación para auditoría de certificación

Preparación completa: simulacro de auditoría, cierre de hallazgos y documentación lista para presentar al organismo certificador independiente.

Entregables

Qué recibís en el proceso

Informe de brechas (GAP Analysis)

Mapa detallado de lo que cumplís y lo que falta, con priorización por riesgo y esfuerzo.

Documentación del SGSI

Políticas, procedimientos, matriz de riesgos, declaración de aplicabilidad (SoA) y registros operativos.

Plan de tratamiento de riesgos

Controles seleccionados del Anexo A con responsables, plazos y criterios de verificación.

Informe de auditoría interna

Verificación completa antes de la certificación. Hallazgos corregidos y evidencia documentada.

Preparación para certificación

Simulacro de auditoría, revisión por dirección y cierre de no conformidades previo a la auditoría externa.

Soporte de mejora continua

Soporte posterior a la implementación para mantener y mejorar el SGSI. La vigilancia y el ciclo de certificación son responsabilidad del organismo certificador.

Preguntas frecuentes

Certificación ISO 27001: lo que más preguntan

¿Cuánto tiempo toma certificar ISO 27001?

Depende del tamaño y madurez de la organización. En promedio, la implementación completa toma entre 4 y 8 meses. Organizaciones con procesos maduros pueden lograrlo en 3 meses. El diagnóstico preliminar se entrega en 72 horas y permite planificar el cronograma.

¿Cuánto cuesta la certificación ISO 27001?

El costo varía según el alcance, la cantidad de sedes y la complejidad de la organización. El proceso de preparación cubre diagnóstico, implementación y readiness. La auditoría de certificación es un servicio independiente contratado directamente con el organismo certificador acreditado.

¿Qué es el SGSI y por qué lo necesito?

El Sistema de Gestión de Seguridad de la Información (SGSI) es el marco que define cómo su organización protege sus activos de información. Incluye políticas, roles, controles de acceso, gestión de incidentes y mejora continua. ISO 27001 es el estándar internacional que certifica que su SGSI cumple requisitos reconocidos mundialmente.

¿Necesito experiencia previa en seguridad de la información?

No. Muchas organizaciones comienzan desde cero. El diagnóstico inicial mapea el estado actual y el proceso de preparación cubre diagnóstico, implementación y readiness. La auditoría de certificación es un paso separado, gestionado por un organismo acreditado independiente.

¿La certificación tiene validez internacional?

Sí. ISO 27001 es un estándar internacional reconocido en todo el mundo. La certificación la emite un organismo certificador acreditado e independiente y tiene validez global. Fernando Arrieta brinda preparación y readiness — la decisión de certificar es responsabilidad exclusiva del organismo acreditado.

¿Qué controles incluye ISO 27001?

La versión 2022 incluye 93 controles en el Anexo A, organizados en 4 categorías: organizacionales, de personas, físicos y tecnológicos. No todos son obligatorios: se aplican según el análisis de riesgo de su organización.

Sistemas relacionados

Otros sistemas de auditoría

ISO 9001

Gestión de calidad

Certificación de procesos con enfoque PDCA y mejora continua.

Ver sistema ISO/IEC 42001

Gobernanza de IA

Sistema de gestión de inteligencia artificial con rendición de cuentas.

Ver sistema Seguridad

Auditoría de seguridad

Diagnóstico de SGSI con resultados documentados.

Ver sistema

Acreditaciones y membresías institucionales

La seguridad de la información con evidencia empieza con una conversación clara.

Si su organización está evaluando la preparación para ISO 27001, este es el canal para analizar alcance y viabilidad. Todas las consultas se manejan bajo confidencialidad.