Qué es ISO 27001:2022: Guía Completa para Empresas Chilenas que Empiezan desde Cero
Cada vez más empresas chilenas escuchan “ISO 27001” en reuniones de directorio, en contratos con clientes grandes, en licitaciones del sector público o en conversaciones con su equipo de TI. Y muchas veces la pregunta que nadie se atreve a hacer en voz alta es la más importante: “¿Pero qué es exactamente ISO 27001?”
Este artículo responde esa pregunta de forma completa, sin tecnicismos innecesarios y con el contexto específico del mercado chileno.
- Qué es ISO 27001 en lenguaje simple
- Qué es un SGSI y por qué importa
- Qué cambió en la versión 2022 respecto a 2013
- Los 93 controles del Anexo A: qué son y cómo funcionan
- A qué empresas le conviene certificarse
- Cómo es el proceso de certificación en Chile
- Por dónde empezar
Qué es ISO 27001 en Lenguaje Simple
ISO 27001 es una norma internacional que define cómo gestionar la seguridad de la información en una organización. La publica ISO — la Organización Internacional de Normalización — y su versión vigente es la de 2022.
No es un software, ni un checklist, ni una auditoría puntual. Es un sistema de gestión — un conjunto estructurado de políticas, procesos, controles y responsabilidades — diseñado para proteger la confidencialidad, integridad y disponibilidad de la información de tu organización.
Cuando una empresa tiene ISO 27001 certificada, significa que un organismo acreditado e independiente verificó que su sistema de gestión de seguridad cumple con todos los requisitos de la norma. Es una demostración objetiva de madurez en ciberseguridad.
Qué es un SGSI y Por Qué Importa
SGSI = Sistema de Gestión de Seguridad de la Información. Es el nombre técnico de lo que ISO 27001 te pide implementar.
Un SGSI no es una cosa — es un conjunto de cosas que funcionan juntas:
- 📋 Políticas: las reglas de seguridad de la información de tu organización
- 🔍 Evaluación de riesgos: identificar qué amenazas existen y qué activos podrían verse afectados
- 🛡️ Controles: las medidas técnicas y organizacionales que implementas para gestionar esos riesgos
- 📁 Evidencias: documentación que demuestra que los controles están implementados y funcionando
- 🔄 Mejora continua: procesos para identificar debilidades y mejorar sistemáticamente
La palabra clave es “sistema” — no es un proyecto con fecha de fin. Es un ciclo continuo de planificación, implementación, revisión y mejora.
Qué Cambió en ISO 27001:2022 Respecto a la Versión 2013
La versión 2022 actualiza la norma para reflejar el panorama tecnológico actual. Los cambios más importantes:
- Número de controles: de 114 controles en 2013 a 93 controles en 2022 (algunos se fusionaron, 11 son completamente nuevos)
- 11 controles nuevos que no existían en 2013, enfocados en cloud, inteligencia de amenazas, seguridad de configuración, gestión de servicios web y monitoreo de datos
- Nueva estructura del Anexo A: 4 temas (organizacional, personas, físico, tecnológico) en lugar de 14 dominios
- Atributos de controles: cada control tiene 5 atributos que facilitan su categorización y mapeo a otros frameworks
Si ya tienes ISO 27001:2013, debes migrar a la versión 2022. Los organismos certificadores establecen plazos de transición — consulta con tu certificador.
Los 93 Controles del Anexo A: Qué Son
El Anexo A de ISO 27001:2022 contiene 93 controles organizados en 4 grupos:
| Grupo | Nº controles | Ejemplos de controles |
|---|---|---|
| A.5 Controles organizacionales | 37 | Política de SI, gestión de incidentes, continuidad, proveedores |
| A.6 Controles de personas | 8 | Selección de personal, concienciación, teletrabajo |
| A.7 Controles físicos | 14 | Control de acceso físico, equipos, escritorio limpio |
| A.8 Controles tecnológicos | 34 | Gestión de accesos, criptografía, logs, seguridad cloud, SIEM |
No todos los 93 controles son obligatorios para todas las empresas. La organización decide qué controles aplica según su evaluación de riesgos, y documenta esa decisión en la Declaración de Aplicabilidad (SoA).
¿A Qué Empresas Le Conviene Certificarse en ISO 27001?
La certificación agrega valor especialmente cuando:
- ✅ Tienes o quieres clientes corporativos o institucionales que exigen estándares de seguridad
- ✅ Participas o quieres participar en licitaciones públicas (muchas las exigen)
- ✅ Manejas datos sensibles de clientes — financieros, médicos, personales
- ✅ Operas en sectores regulados — financiero, salud, telecomunicaciones
- ✅ Tienes proveedores o socios internacionales que lo requieren
- ✅ Quieres diferenciarte de competidores que no tienen certificación
Cómo Es el Proceso de Certificación en Chile
- Diagnóstico inicial (Gap Analysis): evaluar el estado actual vs requisitos de la norma
- Diseño e implementación del SGSI: 6–12 meses dependiendo del tamaño y punto de partida
- Auditoría interna: revisión interna del sistema antes de la certificación
- Revisión por la dirección: presentación formal a la alta gerencia
- Auditoría de certificación Fase 1: el organismo certifcador revisa la documentación
- Auditoría de certificación Fase 2: el organismo verifica la implementación en terreno
- Certificación: emisión del certificado con validez de 3 años (con auditorías de seguimiento anuales)
Organismos certificadores activos en Chile: Bureau Veritas, SGS, TÜV Rheinland, BSI Group, LRQA.
Por Dónde Empezar: El Diagnóstico Gratuito
El primer paso siempre es entender dónde estás. Antes de contratar consultoría o empezar a escribir políticas, necesitas saber cuáles son tus brechas actuales respecto a los 93 controles ISO 27001.
Haz tu diagnóstico ISO 27001 gratis en GRC360.cl
En menos de 30 minutos sabrás exactamente en qué estado está tu empresa respecto a los 93 controles de ISO 27001:2022. Sin costo, sin consultor.
→ Diagnóstico gratuito en GRC360.clSin tarjeta · Sin instalación · En español · Hecho en Chile
Preguntas Frecuentes
¿ISO 27001 es solo para empresas de tecnología?
No. ISO 27001 aplica a cualquier organización que maneje información — manufactura, retail, educación, salud, servicios financieros, gobierno. El caso de PF Alimentos, primera empresa de alimentos en Latinoamérica en certificarse ISO 27001, es ejemplo de eso.
¿Una PYME puede implementar ISO 27001 sin un departamento de TI grande?
Sí. El SGSI se adapta al tamaño y contexto de la organización. Una PYME de 20 personas tendrá un SGSI más simple que una corporación de 5.000, pero los principios son los mismos.
¿ISO 27001 y ciberseguridad son lo mismo?
No exactamente. ISO 27001 cubre la gestión de la seguridad de la información — que incluye ciberseguridad (amenazas digitales) pero también seguridad física, gestión de personas y continuidad del negocio. Es un marco más amplio que solo ciberseguridad técnica.
📤 ¿Alguien en tu empresa quiere entender ISO 27001? Este es el artículo para compartir:
LinkedIn WhatsAppEquipo TUCADIS SpA — tucadis.cl