Cómo usar GRC360 para certificarte en ISO 27001 [Tutorial] | GRC360

Certificarse en ISO 27001 puede parecer un desafío enorme, especialmente si es tu primera experiencia con normas ISO. La buena noticia es que con la herramienta adecuada, el proceso se simplifica drásticamente. GRC360 fue diseñado específicamente para guiar a pymes y medianas empresas chilenas en su camino hacia la certificación ISO 27001, reduciendo el tiempo de implementación hasta en un 60%.

En este tutorial te mostramos paso a paso cómo usar GRC360 para implementar tu SGSI, gestionar riesgos, documentar controles y prepararte para la auditoría de certificación. Si aún no conoces los conceptos básicos, te recomendamos leer primero nuestra guía completa de ISO 27001 y nuestro artículo sobre cómo implementar un SGSI paso a paso.

Paso 1: Registro y configuración inicial

1.1 Crear tu cuenta

El primer paso es crear tu cuenta gratuita en GRC360. El plan gratuito incluye acceso completo durante 14 días para que puedas explorar todas las funcionalidades antes de decidir. Al registrarte:

Ingresa los datos de tu empresa: nombre, RUT, industria, número de empleados.
Selecciona la norma ISO 27001:2022 como tu primer marco normativo.
Invita a los miembros clave de tu equipo (el plan gratuito incluye hasta 3 usuarios).

1.2 Configurar la estructura organizacional

GRC360 te permite definir la estructura de tu organización para asignar correctamente responsabilidades. Configura:

Áreas/departamentos: Crea las áreas que participarán en el SGSI (TI, RRHH, Finanzas, Operaciones, Legal).
Roles del SGSI: Asigna los roles de líder del SGSI, propietarios de activos, comité de seguridad y auditor interno.
Ubicaciones: Si tienes múltiples sedes, regístralas para mapear controles físicos.

1.3 Definir el alcance del SGSI

La plataforma incluye un asistente guiado para definir el alcance de tu SGSI. Solo necesitas responder algunas preguntas sobre tu organización y GRC360 genera el documento de alcance con el formato que los auditores esperan. Este documento es uno de los primeros que revisará el auditor de certificación.

Tip: Para pymes, recomendamos definir el alcance como "Todos los procesos de [nombre de la empresa] relacionados con la prestación de [tus servicios principales], ejecutados desde [tus ubicaciones]". Un alcance amplio pero claro es más simple de gestionar que uno con exclusiones complicadas.

Paso 2: Inventario de activos de información

El módulo de activos de GRC360 te permite catalogar toda la información valiosa de tu organización:

2.1 Tipos de activos

La plataforma viene preconfigurada con categorías de activos según ISO 27001:

Información: Bases de datos, documentos, contratos, propiedad intelectual.
Software: Aplicaciones, sistemas operativos, herramientas de desarrollo.
Hardware: Servidores, laptops, equipos de red, dispositivos móviles.
Servicios: Cloud computing, hosting, comunicaciones, servicios de terceros.
Personas: Conocimiento clave, competencias críticas.
Instalaciones: Oficinas, data centers, bodegas.

2.2 Clasificación y propietarios

Para cada activo, debes asignar:

Propietario: La persona responsable de la seguridad del activo (seleccionable desde tu directorio de usuarios).
Clasificación: Público, Interno, Confidencial o Restringido.
Valor: Alto, Medio o Bajo (GRC360 te guía con criterios predefinidos).
Ubicación: Dónde reside el activo física o lógicamente.

Ahorra tiempo: GRC360 incluye un catálogo de activos preconfigurado con los activos más comunes para diferentes industrias. En lugar de empezar desde cero, selecciona los que aplican a tu organización y personalízalos. Esto reduce el tiempo de inventario de semanas a días.

Paso 3: Evaluación de riesgos

El módulo de riesgos de GRC360 implementa una metodología completa de evaluación de riesgos alineada con ISO 27005:

3.1 Identificación de riesgos

Para cada activo, identifica los riesgos asociados. GRC360 te facilita esto con:

Catálogo de amenazas: Lista preconfigurada de amenazas comunes (ransomware, phishing, error humano, desastre natural, acceso no autorizado, etc.).
Catálogo de vulnerabilidades: Vulnerabilidades típicas por tipo de activo.
Asistente de identificación: Combinando activos, amenazas y vulnerabilidades, GRC360 sugiere escenarios de riesgo que puedes aceptar, modificar o descartar.

3.2 Evaluación con matriz de riesgos

GRC360 utiliza una matriz de riesgos 5×5 donde evalúas la probabilidad y el impacto de cada riesgo. La plataforma calcula automáticamente el nivel de riesgo y lo clasifica según tus criterios de aceptación. Los riesgos se visualizan en un mapa de calor interactivo que facilita la comunicación con la dirección. Puedes profundizar en la metodología con nuestra guía de los controles del Anexo A.

3.3 Tratamiento de riesgos

Para cada riesgo inaceptable, GRC360 te permite definir la estrategia de tratamiento (mitigar, transferir, evitar, aceptar) y asignar controles del Anexo A de ISO 27001 que mitiguen el riesgo. La plataforma recalcula automáticamente el riesgo residual después de aplicar los controles.

Paso 4: Declaración de Aplicabilidad (SoA)

La SoA es uno de los documentos más importantes del SGSI y GRC360 la genera de forma semiautomática:

Los 93 controles del Anexo A vienen precargados con descripción y guía de implementación.
Los controles asignados en el tratamiento de riesgos se marcan automáticamente como aplicables.
Solo necesitas revisar los controles restantes y documentar la justificación de inclusión o exclusión.
Para cada control aplicable, documenta el método de implementación y el estado actual.

El resultado es un documento SoA completo que puedes exportar en PDF o Excel, listo para presentar al auditor de certificación.

Paso 5: Documentación del SGSI

GRC360 incluye un módulo de gestión documental con todas las capacidades que ISO 27001 requiere:

5.1 Plantillas prediseñadas

La plataforma incluye plantillas editables para toda la documentación obligatoria de ISO 27001:

Política de seguridad de la información.
Procedimiento de evaluación de riesgos.
Procedimiento de gestión de incidentes.
Política de control de acceso.
Política de uso aceptable.
Procedimiento de gestión de cambios.
Plan de continuidad del negocio.
Y más de 20 plantillas adicionales.

5.2 Control de versiones y aprobaciones

Cada documento tiene un flujo de aprobación configurable:

El autor crea o edita el documento.
El revisor recibe una notificación y revisa el contenido.
El aprobador (generalmente el líder del SGSI o la dirección) aprueba o rechaza.
El documento aprobado se publica automáticamente con un nuevo número de versión.
Los usuarios reciben notificación de la nueva versión y deben confirmar lectura.

Este flujo genera exactamente la evidencia de control documental que los auditores buscan: historial de versiones, trazabilidad de aprobaciones y confirmación de comunicación.

Error común: Muchas empresas crean documentación excesivamente formal y extensa que nadie lee ni aplica. GRC360 promueve documentación concisa y práctica. Las plantillas están diseñadas para ser útiles, no para llenar páginas. Los auditores valoran documentación que refleja la realidad de la organización, no manuales genéricos copiados de internet.

Paso 6: Implementación de controles

El módulo de controles de GRC360 te permite hacer seguimiento de la implementación:

Panel de progreso: Visualiza el porcentaje de controles implementados por categoría (organizacionales, personas, físicos, tecnológicos).
Asignación de responsables: Cada control tiene un responsable que recibe recordatorios automáticos.
Evidencia: Adjunta evidencia de implementación directamente al control (capturas de pantalla, configuraciones, actas de reuniones).
Estado: Marca cada control como No iniciado, En progreso, Implementado o No aplicable.

GRC360 te sugiere un orden de implementación priorizado según tu análisis de riesgos, para que trabajes primero en lo que más impacto tiene.

Paso 7: Auditoría interna

Antes de solicitar la certificación, debes realizar una auditoría interna. GRC360 incluye un módulo de auditoría que:

Genera el programa de auditoría con el plan de las cláusulas y controles a auditar.
Permite registrar hallazgos clasificados como no conformidad mayor, no conformidad menor u observación.
Para cada hallazgo, se documenta la evidencia, el análisis de causa raíz y la acción correctiva.
Las acciones correctivas se asignan a responsables con plazos y seguimiento automático.
Genera el informe de auditoría interna en formato exportable.

Paso 8: Revisión por la dirección

GRC360 prepara automáticamente la información necesaria para la revisión por la dirección, incluyendo:

Resumen del estado del SGSI (controles implementados, riesgos residuales).
Resultados de la auditoría interna.
Estado de las acciones correctivas.
Métricas e indicadores de seguridad.
Cambios en el contexto organizacional.
Oportunidades de mejora.

La plataforma genera un acta de revisión por la dirección que documenta las decisiones tomadas y los compromisos asumidos. Este es otro documento clave que el auditor de certificación revisará.

Paso 9: Preparación para la auditoría de certificación

Cuando hayas completado los pasos anteriores, GRC360 incluye un checklist de preparación para auditoría que verifica:

Toda la documentación obligatoria está completa y aprobada.
La evaluación de riesgos está actualizada.
La SoA está completa con justificaciones.
La auditoría interna se realizó y las NC se cerraron.
La revisión por la dirección se realizó en los últimos 12 meses.
Hay evidencia de operación del SGSI (registros, métricas, incidentes gestionados).

Dato clave: Las empresas que usan GRC360 para preparar su certificación reportan una tasa de éxito del 94% en la primera auditoría, versus un 70% de promedio para empresas que se preparan manualmente. La diferencia está en la trazabilidad de la evidencia y la consistencia de la documentación.

Dashboard de compliance en tiempo real

Una de las funcionalidades más valoradas de GRC360 es su dashboard de compliance que muestra en tiempo real:

Porcentaje de cumplimiento global: ¿Cuánto de ISO 27001 tienes implementado?
Cumplimiento por cláusula: Visualización detallada de cada cláusula (4 a 10).
Cumplimiento por categoría del Anexo A: Progreso en controles organizacionales, personas, físicos y tecnológicos.
Mapa de calor de riesgos: Visualización del estado actual de tus riesgos.
Tareas pendientes: Controles por implementar, documentos por aprobar, acciones correctivas abiertas.
Línea de tiempo: Progreso de la implementación a lo largo del tiempo.

Este dashboard es ideal para reportar el estado del SGSI a la dirección y para prepararte para la revisión por la dirección.

Integración con el ecosistema GRC

GRC360 no se limita a ISO 27001. La plataforma permite gestionar múltiples marcos normativos de forma integrada:

ISO 27001 + Ley 21.663: Mapeo automático de controles ISO con requisitos de la ley de ciberseguridad.
ISO 27001 + Ley 21.719: Integración de controles de seguridad con requisitos de protección de datos.
ISO 27001 + ISO 42001: Gestión integrada de seguridad de la información e IA responsable.
Biblioteca de controles compartida: Un control implementado una vez cuenta para todos los marcos donde aplica.

Comienza tu certificación ISO 27001 hoy

Regístrate gratis en GRC360 y accede a todas las herramientas que necesitas: plantillas, gestión de riesgos, controles del Anexo A, auditoría interna y más.

Crear Cuenta Gratis

Conclusión

La certificación ISO 27001 es un proyecto desafiante pero absolutamente alcanzable con la herramienta correcta. GRC360 transforma lo que tradicionalmente es un proceso artesanal de 12+ meses en un proceso guiado de 4-6 meses que tu propio equipo puede ejecutar. La clave es dar el primer paso: crea tu cuenta, configura tu organización y comienza con el inventario de activos. El resto se construye pieza a pieza con la guía de la plataforma.

Revisa también nuestra guía completa de ISO 27001, el detalle de los controles del Anexo A y la guía de implementación del SGSI para complementar tu aprendizaje.

¿Tienes preguntas sobre la certificación?

Nuestro equipo de soporte está disponible para ayudarte en cada paso del camino. Regístrate y accede a la comunidad de GRC360 donde otros profesionales comparten sus experiencias de implementación.