Google Drive y SharePoint para ISO 27001: Por Qué tu Empresa Pierde Auditorías por Culpa de las Carpetas Compartidas
Existe un momento muy específico en las auditorías ISO 27001 que los consultores conocemos bien. El auditor pide ver la evidencia de la última revisión del control de accesos. El encargado abre Google Drive. Navega entre carpetas. Abre una subcarpeta. Luego otra. Encuentra tres archivos con nombres similares. No sabe cuál es el vigente.
Ese momento de duda le cuesta no conformidades a docenas de empresas chilenas cada año.
El problema no es Drive ni SharePoint. Son herramientas excelentes para colaborar. El problema es usarlas como sistema de gestión de un SGSI, cuando no fueron diseñadas para eso.
- Por qué Drive y SharePoint parecen suficientes (y no lo son)
- Los 5 fallos críticos que aparecen en auditorías ISO 27001
- Qué necesita realmente un SGSI que Drive no puede dar
- Comparativa: Drive vs SharePoint vs GRC360.cl
- Cómo migrar sin perder tu documentación existente
Por Qué Drive y SharePoint Parecen Suficientes (Al Principio)
Cuando una empresa comienza a implementar ISO 27001, la lógica parece impecable: “Ya tenemos Drive / SharePoint, creamos carpetas por dominio del Anexo A, subimos los documentos y listo.” Y durante los primeros meses, funciona. Los documentos están ahí, el equipo los puede ver, todo parece ordenado.
El problema aparece en el momento crítico: la auditoría. Porque lo que un auditor necesita no es ver documentos. Necesita ver un sistema de gestión vivo: con versiones controladas, flujos de aprobación, evidencias de implementación y trazabilidad de cambios.
Drive guarda archivos. Un SGSI gestiona controles. Son cosas distintas.
Los 5 Fallos Críticos que Aparecen en Auditorías ISO 27001 por Usar Drive o SharePoint
Fallo #1: Sin Control de Versiones Real
ISO 27001 exige que los documentos tengan versión controlada, fecha de aprobación y responsable identificado. Drive tiene “historial de versiones”, pero no es lo mismo que control documental formal. Cuando el auditor pregunta “¿cuál es la versión vigente de su política de seguridad?”, la respuesta no puede ser “la que está en la carpeta principal… creo”.
Fallo #2: Sin Flujo de Aprobación Documentado
Una política de seguridad de la información debe ser formalmente aprobada por la alta dirección. En Drive, eso suele ser un email que alguien envió en algún momento, o peor, una celda que dice “Aprobado” en un Excel. Eso no es evidencia de aprobación formal. Un auditor lo rechazará.
Fallo #3: Acceso No Controlado a Documentación Sensible
La ironía máxima: la política de seguridad de la información de la empresa, disponible para cualquier persona que tenga el link de Drive. Los registros de evaluación de riesgos con información sensible de activos críticos, en una carpeta compartida con “cualquiera con el enlace puede ver”. Un auditor ISO 27001 lo marcará como hallazgo inmediatamente.
Fallo #4: Sin Trazabilidad de Implementación de Controles
Tener el documento de la política de control de accesos en Drive no demuestra que el control esté implementado. ISO 27001 exige evidencia de que los controles se aplican, no solo que existen en papel. ¿Dónde está el registro de revisiones periódicas? ¿El log de quien accedió a qué sistema? ¿El acta de la última revisión por la dirección? En Drive, esa evidencia está dispersa o directamente no existe.
Fallo #5: Sin Gestión de No Conformidades ni Planes de Acción
ISO 27001 exige un proceso formal para registrar no conformidades, análisis de causa raíz y planes de acción con seguimiento. Esto no es una carpeta con archivos — es un flujo de trabajo. Drive no tiene eso. SharePoint puede tenerlo, pero requiere una configuración tan compleja que pocas empresas la hacen correctamente.
¿Qué Necesita Realmente un SGSI que Drive no Puede Dar?
- 🔄 Control de versiones formal con historial de aprobaciones
- ✍️ Flujos de aprobación con firma digital o confirmación registrada
- 🔐 Control de acceso granular por rol y área
- 📊 Dashboard de estado de controles en tiempo real
- 🚨 Gestión de no conformidades con seguimiento automático
- 📋 Generación automática de evidencias para auditoría
- 🔗 Vinculación controles ↔ riesgos ↔ activos
- 📈 Reportes ejecutivos para revisión por la dirección
Comparativa: Google Drive vs SharePoint vs GRC360.cl para ISO 27001
| Capacidad ISO 27001 | Google Drive | SharePoint | GRC360.cl |
|---|---|---|---|
| Control de versiones formal | ⚠️ Básico | ⚠️ Configurable | ✅ Nativo |
| Flujo de aprobación documentado | ❌ | ⚠️ Requiere desarrollo | ✅ Incluido |
| Dashboard de controles ISO 27001 | ❌ | ❌ | ✅ Tiempo real |
| Gestión de no conformidades | ❌ | ⚠️ Parcial | ✅ Con seguimiento |
| Matriz de riesgos integrada | ❌ | ❌ | ✅ Vinculada a controles |
| Reportes para auditoría automáticos | ❌ | ❌ | ✅ 1 clic |
| Alineación Ley Marco Chile | ❌ | ❌ | ✅ Preconfigurado |
| Costo mensual (PYME chilena) | $0–$10 USD | $6–$22 USD/usuario | Plan gratuito / UF 2+ |
| ¿Apto para auditoría ISO? | ❌ No recomendado | ⚠️ Solo con mucha configuración | ✅ Diseñado para eso |
¿Qué Pasa con SharePoint? ¿No Es Suficiente?
SharePoint es más potente que Drive para gestión documental, y con la configuración correcta puede cubrir varios requisitos de ISO 27001. El problema: esa “configuración correcta” requiere conocimientos técnicos avanzados, tiempo considerable y a menudo un consultor especializado en SharePoint. Para la mayoría de las PYMEs chilenas, el esfuerzo es desproporcionado comparado con usar una plataforma GRC diseñada específicamente para ISO.
Y aun bien configurado, SharePoint sigue sin tener gestión de riesgos integrada, evaluación de controles del Anexo A ni reportes automáticos para auditoría. Sigue siendo gestión documental, no gestión de SGSI.
Cómo Migrar de Drive/SharePoint a GRC360 sin Perder tu Trabajo
Lo primero que nos preguntan: “¿Y todo lo que tenemos en Drive se pierde?” No. La migración es gradual y GRC360.cl permite importar documentación existente.
- Inventario de documentos actuales: clasifica qué tienes (políticas, procedimientos, registros, evidencias)
- Carga de políticas vigentes: súbelas a GRC360 y asígnales versión, fecha y responsable
- Mapeo a controles del Anexo A: vincula cada documento a los controles ISO 27001 que soporta
- Activación de flujos de aprobación: configura quién aprueba cada tipo de documento
- Drive como archivo: mantén Drive como repositorio de archivos históricos — GRC360 gestiona el SGSI activo
¿Tienes tu SGSI disperso en carpetas de Drive?
Haz el diagnóstico gratuito en GRC360.cl y descubre exactamente qué brechas tienes antes de tu próxima auditoría ISO 27001.
→ Diagnóstico gratis en GRC360.clSin tarjeta · En español · Hecho en Chile
Preguntas Frecuentes
¿Puedo seguir usando Drive para guardar archivos y usar GRC360 para gestionar el SGSI?
Absolutamente. Es el modelo que recomendamos: Drive o SharePoint para almacenamiento de archivos de trabajo, GRC360 para la gestión del sistema de seguridad. Son complementarios, no excluyentes.
¿Un auditor ISO 27001 acepta Drive como evidencia documental?
Depende del contexto. Drive puede ser aceptado como repositorio si el proceso de control de versiones y aprobaciones está formalizado de otra manera. El problema es que pocas empresas lo hacen correctamente, y en auditoría eso genera no conformidades.
¿SharePoint con flujos de Power Automate es equivalente a una plataforma GRC?
Puede acercarse, pero requiere un esfuerzo técnico significativo y todavía le faltan funcionalidades clave como gestión de riesgos integrada y reportes automáticos de cumplimiento. Además, el mantenimiento de esos flujos es continuo.
📤 ¿Conoces a alguien que gestiona su ISO 27001 con carpetas de Drive? Comparte este artículo — puede ahorrarles una no conformidad.
LinkedIn WhatsAppEquipo TUCADIS SpA — Consultora chilena especializada en ISO 27001, ISO 42001 y ciberseguridad. tucadis.cl · contacto@tucadis.cl