Errores Comunes en la Implementación de ISO 27001

Después de observar decenas de implementaciones de ISO 27001 en empresas chilenas, ciertos patrones de error se repiten con frecuencia. Conocerlos antes de comenzar puede ahorrarte meses de trabajo y costos innecesarios. Aquí están los 10 errores más comunes y cómo evitarlos.

Error 1: Tratar ISO 27001 como un proyecto de TI

Este es probablemente el error más costoso. ISO 27001 es un estándar de gestión que abarca toda la organización. Cuando la implementación queda exclusivamente en manos del área de TI, se obtiene un SGSI técnicamente bien implementado pero organizacionalmente incompleto.

La norma exige liderazgo de la alta dirección (cláusula 5.1), gestión de recursos humanos (controles A.6), gestión de proveedores (A.5.19–A.5.22) y procesos de toda la organización. Los auditores verificarán que existe compromiso real de la dirección, no solo actividades técnicas.

Señal de alerta: Si el proyecto de ISO 27001 no tiene un patrocinador ejecutivo (CEO, CTO o equivalente) con autoridad para tomar decisiones y asignar recursos, hay un alto riesgo de fracaso o de obtener una certificación vacía.

Error 2: Alcance demasiado amplio en la primera certificación

La presión por "certificar toda la empresa" lleva a muchas organizaciones a definir un alcance que no pueden gestionar. Un SGSI con alcance excesivo es difícil de implementar, costoso de mantener y frágil ante las auditorías.

La recomendación: empieza con el alcance mínimo que tenga sentido comercial (por ejemplo, el área que maneja datos de clientes críticos o que necesita certificación para un contrato específico) y amplía en certificaciones posteriores.

Error 3: Sobredocumentación

ISO 27001:2022 redujo significativamente los requisitos de documentación obligatoria respecto a la versión 2013. Sin embargo, muchas organizaciones siguen generando decenas de documentos porque "así se hacía antes" o porque el consultor usa plantillas genéricas.

El resultado: documentos que nadie lee, políticas que nadie sigue y una brecha enorme entre la documentación y la realidad operacional. Los auditores detectan esto rápidamente cuando preguntan a los empleados sobre las políticas y estos no las conocen.

Documentación mínima obligatoria

La norma solo exige explícitamente: alcance del SGSI, política de seguridad, evaluación de riesgos, plan de tratamiento de riesgos, Declaración de Aplicabilidad, objetivos de seguridad, evidencias de competencia, resultados de monitoreo, auditorías internas, revisiones por la dirección y no conformidades.

Error 4: Copiar plantillas sin adaptar

Las plantillas genéricas de políticas son un punto de partida, no el producto final. Una política de seguridad que menciona "la organización" sin nombrarla, que cita controles irrelevantes para el negocio o que no menciona las obligaciones regulatorias específicas del sector es una señal roja para los auditores.

Error 5: Hacer la evaluación de riesgos solo una vez

La evaluación de riesgos no es un documento que se crea al inicio del proyecto y se archiva. La cláusula 8.2 exige evaluaciones periódicas y cuando ocurran cambios significativos. Un SGSI con una sola evaluación de riesgos desactualizada no superará una auditoría de seguimiento.

Error 6: Controles sin evidencia de funcionamiento

Documentar un control y aplicarlo son cosas distintas. Los auditores no se limitan a revisar que existe una política de backup; verifican si hay registros de las copias realizadas, pruebas de restauración y alertas ante fallos. Muchas organizaciones tienen controles "sobre el papel" que en la práctica no funcionan.

Regla práctica: Para cada control, pregúntate: si un auditor externo me pide evidencia de que este control funciona, ¿qué puedo mostrarle? Si no hay respuesta clara, el control no está realmente implementado.

Error 7: Ignorar la gestión de proveedores

Los controles A.5.19 a A.5.22 exigen gestionar la seguridad en las relaciones con proveedores y socios. Sin embargo, muchas organizaciones implementan controles internos exhaustivos y luego comparten datos sensibles con proveedores sin evaluación de seguridad, sin cláusulas contractuales de seguridad y sin monitoreo.

Error 8: No capacitar a los empleados

La cláusula 7.2 y el control A.6.3 exigen competencia y concienciación del personal. Sin embargo, la capacitación suele ser el primer elemento que se recorta cuando el proyecto se retrasa. El resultado es un SGSI técnicamente bien implementado con empleados que abren adjuntos de phishing y comparten contraseñas.

Error 9: Auditoría interna realizada por el mismo equipo implementador

La auditoría interna debe ser objetiva e imparcial. Cuando la realiza el mismo equipo que implementó el SGSI, hay un conflicto de interés que lleva a subestimar las brechas reales. La norma no exige que los auditores internos sean externos, pero sí que sean independientes del área auditada.

Error 10: Descuidar el SGSI después de la certificación

La certificación no es el destino, es el comienzo. Muchas organizaciones relajan su enfoque después de obtener el certificado y descuidan la mejora continua. Las auditorías de seguimiento (Año 1 y Año 2) y la recertificación (Año 3) verificarán que el SGSI sigue operando y mejorando.

Las no conformidades en auditorías de seguimiento suelen estar relacionadas con: revisiones por la dirección incompletas, objetivos de seguridad no medidos, métricas no recopiladas y acciones correctivas no completadas.

Cómo evitar estos errores: checklist

Error	Prevención
Solo TI	Nombrar un patrocinador ejecutivo y un comité multidisciplinario
Alcance excesivo	Definir el alcance mínimo viable para la certificación inicial
Sobredocumentación	Documentar solo lo exigido por la norma más lo necesario operacionalmente
Plantillas copiadas	Revisar y adaptar cada documento al contexto real de la organización
Riesgos estáticos	Programar revisiones de riesgo semestral o anual
Sin evidencia	Implementar registros y logs desde el inicio, no antes de la auditoría
Sin gestión de proveedores	Incluir cláusulas de seguridad en contratos y evaluar proveedores críticos
Sin capacitación	Incluir capacitación en el cronograma con presupuesto asignado
Auditoría sesgada	Usar auditores internos independientes del área auditada o contratar externos
Post-certificación	Mantener el ritmo de revisiones, métricas y mejora continua

Evita estos errores con GRC360

GRC360 estructura la implementación con guías paso a paso, plantillas adaptables y seguimiento de evidencias que previenen los errores más comunes. Empieza gratis hoy.

Crear Cuenta Gratis

Complementa con las guías sobre cronograma de implementación, costos de certificación y auditoría interna.