ISO 27001

Cómo implementar un SGSI paso a paso

Por Equipo GRC360 20 de March, 2026 13 min de lectura
Cronograma visual de implementación de un SGSI en 24 semanas con las 6 fases principales

Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) puede parecer una tarea abrumadora, especialmente para empresas que nunca han trabajado con normas ISO. Sin embargo, con un enfoque estructurado y las herramientas adecuadas, incluso una pyme de 15 personas puede tener su SGSI operativo en 4 a 6 meses. En esta guía te llevaremos paso a paso por todo el proceso, desde la planificación inicial hasta la preparación para la auditoría de certificación.

Este artículo complementa nuestra guía introductoria sobre ISO 27001, donde explicamos los conceptos fundamentales de la norma. Aquí nos enfocamos en la ejecución práctica.

Fase 1: Preparación y planificación (Semanas 1-3)

Antes de escribir la primera política, necesitas sentar las bases del proyecto. Esta fase es crucial y a menudo se subestima.

1.1 Obtener compromiso de la alta dirección

El primer paso —y el más importante— es asegurar el apoyo explícito de la gerencia general. ISO 27001 requiere que la alta dirección:

  • Apruebe y comunique la Política de Seguridad de la Información.
  • Asigne un presupuesto realista para la implementación.
  • Designe un responsable del SGSI con autoridad suficiente.
  • Participe en la revisión por la dirección (al menos una vez al año).
Error frecuente: Muchas empresas delegan el SGSI completamente al área de TI. Esto es un error grave: ISO 27001 es un sistema de gestión organizacional que requiere participación de RRHH, legal, operaciones, finanzas y comercial. El responsable del SGSI debe tener acceso directo a la gerencia.

1.2 Definir el alcance del SGSI

El alcance determina los límites del SGSI: qué procesos, ubicaciones, sistemas y activos están incluidos. Debe documentarse formalmente y considerar:

  • Procesos de negocio: ¿Cuáles manejan información sensible?
  • Ubicaciones físicas: Oficinas, data centers, bodegas, puntos de venta.
  • Tecnología: Sistemas, aplicaciones, infraestructura cloud.
  • Partes interesadas: Clientes, proveedores, reguladores, empleados.
  • Interfaces: Puntos de interacción con sistemas o procesos fuera del alcance.

Para una pyme, recomendamos iniciar con un alcance que cubra toda la organización. Es más simple que definir exclusiones complicadas y los auditores valoran la cobertura completa.

1.3 Crear el equipo de implementación

Define roles claros para el proyecto:

RolResponsabilidadesDedicación estimada
Líder del SGSICoordinar la implementación, reportar a la dirección50-70% del tiempo
Comité de SeguridadAprobar políticas, revisar riesgos, tomar decisiones4-8 hrs/mes
Propietarios de activosClasificar activos, evaluar riesgos de su área2-4 hrs/semana
Responsable de TIImplementar controles técnicos, gestionar herramientas30-40% del tiempo
Responsable de RRHHCapacitación, cláusulas contractuales, procesos de personal10-15% del tiempo

Fase 2: Análisis del contexto y riesgos (Semanas 3-7)

2.1 Análisis del contexto organizacional (Cláusula 4)

Documenta los factores internos y externos que afectan a tu SGSI. Herramientas útiles incluyen:

  • Análisis FODA enfocado en seguridad de la información.
  • Análisis PESTEL para factores políticos, económicos, sociales, tecnológicos, ambientales y legales.
  • Mapa de partes interesadas con sus requisitos y expectativas de seguridad.

En el contexto chileno, es crítico incluir como factores externos la Ley 21.663, la Ley 21.719, las directrices del CSIRT de Gobierno y los requisitos sectoriales de la CMF o la Superintendencia de Salud, según tu industria.

2.2 Inventario de activos de información

Identifica y clasifica todos los activos de información de tu organización. Un activo es cualquier elemento que tenga valor para la organización en términos de información:

  • Activos de datos: Bases de datos, archivos, contratos, datos de clientes, propiedad intelectual.
  • Activos de software: Sistemas de gestión, ERPs, CRMs, aplicaciones web.
  • Activos físicos: Servidores, laptops, equipos de red, medios de respaldo.
  • Activos de servicios: Cloud computing, hosting, servicios de red, APIs de terceros.
  • Activos de personas: Conocimiento clave, competencias críticas.

Cada activo debe tener un propietario asignado y una clasificación de confidencialidad (público, interno, confidencial, restringido).

2.3 Evaluación de riesgos (Cláusula 6.1.2)

Este es el corazón del SGSI. Debes definir una metodología de evaluación de riesgos que incluya:

  1. Identificación de amenazas: ¿Qué puede afectar a cada activo? (ransomware, error humano, desastre natural, acceso no autorizado).
  2. Identificación de vulnerabilidades: ¿Qué debilidades existen? (falta de respaldos, contraseñas débiles, ausencia de MFA).
  3. Evaluación de impacto: ¿Qué tan grave sería si el riesgo se materializa? (escala 1-5).
  4. Evaluación de probabilidad: ¿Qué tan probable es que ocurra? (escala 1-5).
  5. Cálculo del nivel de riesgo: Impacto × Probabilidad = Nivel de riesgo.
  6. Criterios de aceptación: Define el umbral sobre el cual un riesgo es inaceptable y requiere tratamiento.
Recurso relacionado: Para profundizar en metodologías de evaluación de riesgos, lee nuestro artículo sobre análisis de riesgos en ciberseguridad, donde cubrimos matrices de riesgo, métodos cualitativos y cuantitativos, y las mejores prácticas para pymes.

Fase 3: Tratamiento de riesgos y controles (Semanas 7-12)

3.1 Plan de tratamiento de riesgos

Para cada riesgo inaceptable, define una estrategia:

  • Mitigar: Implementar controles que reduzcan la probabilidad o el impacto.
  • Transferir: Trasladar el riesgo a un tercero (seguros, outsourcing).
  • Evitar: Eliminar la actividad que genera el riesgo.
  • Aceptar: Asumir conscientemente el riesgo residual (documentando la decisión).

3.2 Declaración de Aplicabilidad (SoA)

La SoA es uno de los documentos más importantes del SGSI. Debe listar los 93 controles del Anexo A e indicar para cada uno si está incluido o excluido, con la justificación correspondiente. Consulta nuestra guía del Anexo A para entender cada control en detalle.

Elemento de la SoADescripción
Número de controlIdentificador del Anexo A (ej: A.5.1)
Nombre del controlTítulo oficial del control
AplicabilidadSí / No
JustificaciónPor qué aplica o no aplica
Estado de implementaciónImplementado / Parcial / No implementado / Planificado
Método de implementaciónDescripción de cómo se implementa el control

Fase 4: Documentación obligatoria (Semanas 10-16)

ISO 27001 requiere un conjunto mínimo de documentos. A continuación la lista completa de documentación obligatoria:

Documentos obligatorios

  1. Alcance del SGSI (4.3)
  2. Política de seguridad de la información (5.2)
  3. Proceso de evaluación de riesgos (6.1.2)
  4. Proceso de tratamiento de riesgos (6.1.3)
  5. Declaración de Aplicabilidad — SoA (6.1.3d)
  6. Objetivos de seguridad de la información (6.2)
  7. Evidencia de competencia del personal (7.2)
  8. Resultados de la evaluación de riesgos (8.2)
  9. Resultados del tratamiento de riesgos (8.3)
  10. Evidencia de monitoreo y medición (9.1)
  11. Programa y resultados de auditoría interna (9.2)
  12. Resultados de revisión por la dirección (9.3)
  13. No conformidades y acciones correctivas (10.1)
Simplifica con tecnología: En lugar de gestionar decenas de documentos Word con control de versiones manual, una plataforma GRC centraliza toda la documentación con aprobaciones digitales, historial de versiones y acceso controlado. Conoce cómo GRC360 te ayuda a gestionar toda esta documentación.

Fase 5: Implementación de controles (Semanas 12-20)

Con el plan de tratamiento definido, implementa los controles seleccionados. Organízalos por prioridad:

Prioridad Alta — Quick Wins (semanas 12-14)

  • Activar MFA en todos los sistemas críticos.
  • Implementar política de contraseñas robustas.
  • Configurar respaldos automáticos y verificar su restauración.
  • Instalar y configurar antimalware en todos los endpoints.
  • Revisar y restringir permisos de acceso (principio de mínimo privilegio).

Prioridad Media — Procesos (semanas 14-18)

  • Establecer el procedimiento de gestión de incidentes.
  • Crear el programa de concienciación y capacitación.
  • Documentar procedimientos de onboarding y offboarding.
  • Definir el proceso de gestión de cambios.
  • Implementar clasificación de activos en la práctica.

Prioridad Baja — Optimización (semanas 18-20)

  • Configurar monitoreo de actividades y SIEM (si aplica).
  • Implementar DLP para datos sensibles.
  • Realizar pruebas de penetración o análisis de vulnerabilidades.
  • Optimizar la gestión de proveedores con evaluaciones de seguridad.

Fase 6: Auditoría interna y preparación (Semanas 20-24)

6.1 Auditoría interna

La auditoría interna es un requisito de la norma (cláusula 9.2) y tu mejor oportunidad para detectar y corregir problemas antes de la certificación. Debe ser realizada por alguien independiente del proceso auditado (puede ser un empleado de otra área o un consultor externo).

El programa de auditoría debe cubrir:

  • Todas las cláusulas de la norma (4 a 10).
  • Todos los controles declarados como aplicables en la SoA.
  • La efectividad real de los controles implementados.

6.2 Revisión por la dirección

Antes de solicitar la certificación, realiza una revisión por la dirección formal que incluya:

  • Estado de las acciones de revisiones anteriores.
  • Cambios en el contexto interno y externo.
  • Resultados de la evaluación de riesgos actualizada.
  • Resultados de la auditoría interna.
  • Oportunidades de mejora continua.

6.3 Cierre de no conformidades

Toda no conformidad detectada en la auditoría interna debe tener un análisis de causa raíz y una acción correctiva documentada. Los auditores de certificación revisarán que las acciones correctivas sean efectivas y oportunas.

Cronograma resumen para una pyme

FaseSemanasEntregables clave
Preparación y planificación1-3Alcance, equipo, política de seguridad
Análisis de contexto y riesgos3-7Inventario de activos, evaluación de riesgos
Tratamiento de riesgos7-12Plan de tratamiento, SoA
Documentación10-16Políticas, procedimientos, registros
Implementación de controles12-20Controles técnicos y operacionales
Auditoría interna y preparación20-24Informe de auditoría, cierre de NC

Implementa tu SGSI en la mitad del tiempo

GRC360 te entrega plantillas prediseñadas para toda la documentación obligatoria, un módulo de gestión de riesgos visual y seguimiento automático de controles. Regístrate y comienza hoy.

Crear Cuenta Gratis

Próximos pasos

Implementar un SGSI es un proceso iterativo que mejora con cada ciclo. No busques la perfección desde el primer día: el objetivo es establecer una base sólida que puedas mejorar continuamente. Lo más importante es comenzar. Revisa nuestra guía de ISO 27001 si necesitas refrescar los conceptos base, y cuando estés listo para la herramienta, explora cómo GRC360 puede acelerar tu proceso.

SGSI Certificación Controles Auditoría Pymes
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis