Cronograma de implementación ISO 27001: plazos por etapa
Por Equipo GRC360
24 de March, 2026
11 min de lectura
Una pregunta frecuente al iniciar un proyecto de ISO 27001 es cuánto tiempo tomará. La respuesta honesta es que depende del tamaño del alcance, el estado inicial de madurez de la seguridad y la disponibilidad del equipo. Sin embargo, la mayoría de las implementaciones para empresas pequeñas y medianas toma entre 6 y 14 meses.
Factores que determinan la duración
| Factor | Acelera | Retrasa |
|---|---|---|
| Tamaño del alcance | Alcance pequeño y bien delimitado | Múltiples sedes, muchos sistemas |
| Madurez inicial | Controles de seguridad previos | Partir desde cero |
| Disponibilidad del equipo | Dedicación exclusiva al proyecto | Equipo con muchas responsabilidades paralelas |
| Apoyo de la dirección | Decisiones rápidas, recursos aprobados | Burocracia interna, prioridades cambiantes |
| Herramientas | Plataforma integrada de gestión | Implementación manual en Excel/Word |
Cronograma típico: empresa pequeña (6–9 meses)
Mes 1–2: Diagnóstico y planificación
- Análisis de brechas (gap analysis) respecto a ISO 27001:2022
- Definición del alcance del SGSI
- Constitución del equipo del proyecto
- Aprobación del presupuesto y plan de proyecto
- Inventario inicial de activos de información
Entregable clave del mes 1: Informe de gap analysis que muestra el estado actual vs. los requisitos de ISO 27001, con una estimación realista del trabajo necesario. Este documento define el alcance del proyecto y debe ser aprobado por la dirección antes de continuar.
Mes 2–4: Diseño del SGSI
- Análisis de partes interesadas y contexto organizacional (cláusula 4)
- Redacción de la política de seguridad y aprobación por la dirección
- Diseño de la metodología de evaluación de riesgos
- Primera evaluación de riesgos completa
- Definición del plan de tratamiento de riesgos
- Primera versión de la Declaración de Aplicabilidad (SoA)
- Definición de roles y responsabilidades
Mes 3–6: Implementación de controles
- Implementación de controles técnicos prioritarios (según evaluación de riesgos)
- Redacción de políticas específicas (uso aceptable, clasificación, control de acceso, etc.)
- Implementación del proceso de gestión de incidentes
- Implementación del proceso de gestión de continuidad básica
- Programa de capacitación y concienciación
- Implementación de métricas y monitoreo
Mes 5–7: Operación y evidencias
- Operación de todos los controles implementados
- Generación de evidencias de funcionamiento (registros, logs, informes)
- Simulacros de respuesta a incidentes
- Primer ciclo de métricas del SGSI
Mes 6–8: Auditoría interna y revisión por la dirección
- Planificación y ejecución de la auditoría interna
- Tratamiento de no conformidades detectadas en la auditoría interna
- Revisión por la dirección (cláusula 9.3)
- Actualización de la SoA y planes de tratamiento
Mes 8–9: Auditoría de certificación
- Solicitud de cotización a organismos de certificación
- Preparación y pre-auditoría interna
- Auditoría Etapa 1 (revisión documental): 1–2 días
- Cierre de observaciones de la Etapa 1 (2–4 semanas)
- Auditoría Etapa 2 (auditoría in situ): 2–5 días
- Cierre de no conformidades detectadas
- Emisión del certificado
Cronograma ampliado: empresa mediana (10–14 meses)
Para empresas con más de 50 empleados, múltiples departamentos en el alcance o infraestructura tecnológica compleja, todas las fases requieren más tiempo:
- La evaluación de riesgos puede tomar 2–3 meses sola
- La implementación de controles técnicos puede requerir proyectos paralelos (gestión de vulnerabilidades, implementación de SIEM, gestión de identidades)
- La coordinación entre departamentos agrega tiempo a cada etapa
- La auditoría de certificación toma más días de auditoría
Hitos clave del proyecto
| Hito | Criterio de éxito |
|---|---|
| Alcance aprobado | Documento de alcance firmado por la dirección |
| Evaluación de riesgos completa | Todos los activos del alcance evaluados; plan de tratamiento aprobado |
| SoA completa | Los 93 controles del Anexo A con estado y justificación |
| Auditoría interna completada | Informe de auditoría emitido; no conformidades en tratamiento |
| Revisión por la dirección | Acta de revisión firmada con decisiones documentadas |
| Certificación obtenida | Certificado ISO 27001 emitido por organismo acreditado |
Por qué los proyectos se retrasan
Los factores más comunes de retraso en implementaciones ISO 27001 en Chile son:
- La evaluación de riesgos se extiende porque el equipo no tiene metodología clara
- La dirección no prioriza el proyecto cuando surgen otras urgencias operacionales
- La documentación de políticas se dilata porque nadie tiene tiempo de redactarlas
- Los controles técnicos requieren más trabajo de lo estimado (especialmente gestión de vulnerabilidades y control de acceso)
- La auditoría interna detecta brechas significativas que requieren trabajo adicional
Consejo práctico: Reserva al menos 4 semanas entre la auditoría interna y la solicitud de auditoría de certificación. La auditoría interna frecuentemente revela trabajo pendiente que necesita tiempo para completarse correctamente.
Acelera tu implementación con GRC360
GRC360 incluye una hoja de ruta de implementación integrada que guía a tu equipo a través de cada fase, con plantillas prediseñadas y seguimiento automático del avance.
Crear Cuenta GratisProfundiza en el proyecto con nuestra guía sobre costos de certificación, errores comunes y auditoría interna.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis