Evaluación del estado actual vs. los 93 controles del Anexo A de ISO 27001:2022. Identificamos brechas, priorizamos por riesgo y definimos el camino a la certificación.
- Evaluación de 93 controles
- Mapa de brechas
- Plan de acción priorizado
Implementación de SGSI desde gap analysis hasta certificación.
Un acompañamiento integral desde el diagnóstico inicial hasta la auditoría de certificación con un organismo acreditado.
Evaluación del estado actual vs. los 93 controles del Anexo A de ISO 27001:2022. Identificamos brechas, priorizamos por riesgo y definimos el camino a la certificación.
Definimos el alcance, políticas, procedimientos y la Declaración de Aplicabilidad (SOA) con los 93 controles del Anexo A, indicando cuáles aplican y por qué.
Identificación, valoración y tratamiento de riesgos de seguridad de la información bajo metodología alineada a ISO 27005. Plan de tratamiento documentado y aprobado.
Aplicamos los 93 controles del Anexo A priorizados por riesgo y adaptados a tu organización: controles organizativos, de personal, físicos y tecnológicos.
Simulacro completo de auditoría antes de la certificación oficial. Identificamos no-conformidades, las corregimos y dejamos la evidencia lista para el organismo certificador.
Presencia y soporte durante las dos etapas de la auditoría de certificación con el organismo acreditado. Respondemos hallazgos, coordinamos evidencias y gestionamos no-conformidades.
La intención comercial suele aparecer cuando el proyecto ya tiene urgencia. Por eso combinamos workshops ejecutivos, trabajo documental y seguimiento técnico para mover el SGSI sin frenar la operación.
Partimos con entrevistas de alcance, revisión documental y sesiones presenciales o híbridas con gerencia, TI y responsables de proceso. Eso reduce retrabajo y acelera la definición del SGSI.
Documentación, matrices de riesgo, SOA y seguimiento semanal pueden hacerse en remoto. Reservamos las sesiones presenciales para decisiones clave, auditoría interna y preparación de evidencias.
No nos quedamos en la consultoría. Llegamos hasta la auditoría interna, acompañamiento con el organismo certificador y cierre de no conformidades para consolidar la certificación.
Si tu SGSI también debe cubrir datos personales de clientes, trabajadores o proveedores, revisa nuestra guía de cumplimiento de la Ley 21.719 para empresas chilenas o nuestro servicio de privacidad y protección de datos personales.
Documento clave · Requisito de la norma
Declaración de Aplicabilidad (SoA): el documento que más escudriña el auditor
La Statement of Applicability —o Declaración de Aplicabilidad— es el documento que lista los 93 controles del Anexo A de ISO 27001:2022 y justifica, para cada uno, si aplica o no a tu organización y por qué. No basta con marcarlos: el auditor certificador va a exigir que la decisión de exclusión esté respaldada en el análisis de riesgos y que cada control aplicable tenga evidencia de implementación vinculada. En la práctica, la SoA es el eje sobre el que gira toda la auditoría de Etapa 2 —es el primer documento que el auditor pide y el que más tiempo consume en la revisión. Yourdevs construye la SoA junto al equipo del cliente desde la Fase 2, alineada con la matriz de riesgos y con las exclusiones debidamente argumentadas, para que el día de la auditoría no haya sorpresas.
Cinco fases estructuradas que llevan a tu organización desde el diagnóstico inicial hasta el certificado ISO 27001:2022 con un organismo acreditado.
Medición del nivel de madurez de tu organización frente a los requisitos de ISO 27001:2022 y sus 93 controles. Identificamos qué existe, qué falta y cuál es la brecha real a cubrir. Entregamos un informe con el mapa de brechas y el plan de acción priorizado.
2 – 4 semanasDefinición del alcance del Sistema de Gestión de Seguridad de la Información, políticas maestras, procedimientos de gestión de riesgos y la Declaración de Aplicabilidad (SOA). Toda la documentación requerida por la norma queda estructurada y aprobada.
4 – 8 semanasImplementación de los controles técnicos y organizativos priorizados en el plan de tratamiento de riesgos. Incluye controles del Anexo A (A.5 a A.8), capacitación al personal involucrado y recolección de evidencias.
8 – 20 semanasSimulacro completo de auditoría bajo los requisitos de la cláusula 9.2 de la norma. Identificamos no-conformidades menores y mayores, ejecutamos las acciones correctivas y generamos el registro que evidencia el ciclo de mejora continua del SGSI.
2 – 4 semanasAuditoría de Etapa 1 (revisión documental) y Etapa 2 (auditoría en campo) con el organismo certificador acreditado elegido. Nuestro equipo acompaña presencialmente ambas etapas, coordina las evidencias y gestiona cualquier no-conformidad que surja.
Coordinado con organismo acreditadoISO 27001 está construida sobre el ciclo de mejora continua PDCA (Plan-Do-Check-Act): Planificar el SGSI y el tratamiento de riesgos, Hacer (implementar controles y operar los procesos definidos), Verificar mediante auditorías internas, métricas e indicadores, y Actuar con acciones correctivas que cierran la brecha y elevan el nivel de madurez. La certificación no es el punto final del ciclo —es la primera verificación externa de que el ciclo funciona. Por eso acompañamos también el mantenimiento post-certificación: las auditorías de seguimiento anuales son el momento en que el auditor comprueba que el PDCA está vivo y documentado.
Alcance, política de seguridad, análisis de riesgos, plan de tratamiento y SoA.
Implementar los 93 controles priorizados y operar los procesos del SGSI.
Auditoría interna, métricas de seguridad, revisión por la dirección.
Acciones correctivas, mejora continua y preparación para la próxima auditoría.
Tres razones concretas por las que la certificación tiene un impacto directo en tu negocio en Chile hoy.
La Ley Marco de Ciberseguridad de Chile obliga a operadores de servicios esenciales e infraestructura crítica a implementar controles de seguridad auditables. ISO 27001 cubre la gran mayoría de esos controles y facilita demostrar cumplimiento ante la ANCI.
El Estado chileno y las grandes corporaciones priorizan —y en muchos contratos exigen— proveedores con certificación ISO 27001. Tenerla puede ser el factor diferenciador que te haga ganar o perder una licitación.
ISO 27001 es una señal objetiva y verificable de que la seguridad de la información es un compromiso de tu empresa, no un parche reactivo. Genera confianza en clientes, socios e inversionistas y reduce el riesgo de incidentes costosos.
Yourdevs es el consultor que implementa y prepara tu SGSI. El certificado lo emite un organismo certificador acreditado e independiente —una entidad distinta de nosotros que audita que tu sistema cumple la norma y, si aprueba, emite el certificado con validez internacional. En Chile operan principalmente cuatro organismos reconocidos:
Presencia local en Santiago. Uno de los más solicitados para licitaciones públicas y sectores regulados.
British Standards Institution. Alta reputación en tecnología y servicios financieros.
Reconocido en industria y energía. Opera con equipos auditores en Latinoamérica.
Referente alemán con cobertura regional. Muy valorado en manufactura y tecnología.
Coordinación
Cómo coordina Yourdevs con el organismo
Una vez que el SGSI está listo para auditar, te ayudamos a seleccionar el organismo según tu sector, presupuesto y plazos, solicitamos la cotización de su servicio y coordinamos las fechas de auditoría. Durante la Etapa 1 (revisión documental) y la Etapa 2 (auditoría en campo), nuestro equipo acompaña presencialmente para responder hallazgos, proveer evidencias y gestionar cualquier no-conformidad que surja. La tarifa del organismo certificador se paga directamente a ellos y se cotiza por separado de nuestra consultoría.
El costo depende del tamaño de la organización, el alcance definido y la madurez inicial. Estos son rangos reales de mercado para consultoría de implementación —no incluyen la tarifa del organismo certificador, que se cotiza por separado.
Alcance departamental o de un servicio. Aplica cuando el SGSI cubre un área acotada con un equipo de 10 a 30 personas. Incluye gap analysis, diseño del SGSI, SoA, gestión de riesgos, implementación de controles y auditoría interna. Plazo típico: 6 a 8 meses.
Múltiples procesos o alcance corporativo. Para organizaciones con varios departamentos, múltiples sedes o terceros involucrados. El rango varía según activos críticos, madurez inicial y velocidad de aprobación interna. Plazo típico: 9 a 14 meses.
Nota importante: estos rangos corresponden solo a la consultoría de implementación de Yourdevs. La tarifa del organismo certificador (Bureau Veritas, BSI, Lloyd's Register, TÜV Rheinland, etc.) se negocia directamente con ellos y varía según el alcance y la cantidad de días de auditoría. Para proyectos fuera de estos rangos —empresas con más de 200 personas, alcances multisede o sectores con requisitos especiales— el gap analysis inicial nos permite cotizar con precisión antes de comprometerte con cualquier inversión.
Las dudas más comunes antes de arrancar el proyecto de certificación.
El costo depende del tamaño de la organización, el alcance definido y la madurez inicial. Incluye la consultoría de implementación (gap analysis, diseño del SGSI, controles, auditoría interna) más la tarifa del organismo certificador acreditado. En Yourdevs hacemos un gap analysis inicial gratuito para darte una estimación ajustada a tu realidad antes de comprometerte con cualquier inversión.
Desde octubre de 2025 —y con plena vigencia en 2026— las certificaciones ISO 27001:2013 ya no son válidas para nuevas organizaciones. Toda implementación nueva debe hacerse bajo la versión 2022, que incorpora 11 nuevos controles en el Anexo A y reorganiza la estructura en cuatro categorías. Trabajamos exclusivamente con ISO 27001:2022.
Sí. La certificación ISO 27001 tiene una vigencia de 3 años, con auditorías de seguimiento anuales (Etapas de Supervisión) en el año 1 y año 2, y una auditoría de recertificación en el año 3. Acompañamos también el mantenimiento post-certificación para que mantengas la vigencia sin sobresaltos.
El alcance del SGSI (y por tanto de la certificación) se define al inicio del proyecto. Puede cubrir toda la organización o limitarse a un área, proceso o servicio específico. Definir un alcance acotado y bien justificado es una práctica habitual que reduce el tiempo y costo de implementación sin sacrificar credibilidad ante clientes.
ISO 27001 no equivale automáticamente al cumplimiento de la Ley 21.663 (Ley Marco de Ciberseguridad de Chile), pero existe un alto alineamiento. Muchos de los controles exigidos a operadores de servicios esenciales e infraestructura crítica están cubiertos por los 93 controles del Anexo A de la norma. Nuestra consultoría mapea explícitamente los requerimientos de la ley con los controles ISO 27001 para maximizar el doble beneficio.
Sí. Atendemos proyectos ISO 27001 en Santiago y en otras regiones de Chile. Podemos trabajar con sesiones presenciales para levantamiento, workshops y auditoría interna, complementadas con seguimiento remoto para acelerar la implementación del SGSI sin detener la operación.
Muchas organizaciones desconocen la brecha real hasta que es tarde. Solicita tu diagnóstico gratuito y ten claridad esta semana.
La certificación ISO 27001 se potencia con estos servicios.