Inicio/ Recursos/ ISO 27001

ShellTI · Marcos y Estándares

ISO/IEC 27001:2022
Sistema de Gestión
de Seguridad

El estándar internacional más adoptado para proteger la información. Un SGSI certificable que convierte la seguridad en una ventaja competitiva real y demostrable ante clientes, reguladores y el mercado.

SGSI 93 Controles Anexo A ISO 27002 Ley 21.719 Certificable
Sitio Oficial ISO — iso.org/standard/27001
ISO 27001 Seguridad de la Información

01. Resumen Ejecutivo

¿Qué es ISO/IEC 27001?

ISO/IEC 27001 es el estándar internacional publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) que define los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).

A diferencia de otros marcos de referencia voluntarios, ISO 27001 es un estándar certificable: una organización puede obtener una certificación formal emitida por un organismo acreditado, lo que demuestra ante clientes, reguladores y socios comerciales que su gestión de la seguridad cumple con un estándar reconocido internacionalmente.

La versión vigente, ISO/IEC 27001:2022, fue publicada en octubre de 2022 y actualiza la edición 2013. Los cambios más relevantes incluyen la reestructuración del Anexo A: de 114 a 93 controles distribuidos en 4 temas, y la incorporación de 11 controles completamente nuevos relacionados con inteligencia de amenazas, seguridad en la nube, gestión de configuración y privacidad.

Gestión de seguridad empresarial
// SGSI en acciónEl ciclo PDCA aplicado a la gestión de seguridad: Planificar controles, Hacer la implementación, Verificar su efectividad y Actuar sobre las mejoras detectadas.

// Contexto Global

ISO 27001 es el estándar de seguridad de la información más adoptado del mundo. Según el ISO Survey 2023, más de 70.000 certificaciones vigentes en más de 150 países lo posicionan como el referente universal de madurez en gestión de seguridad, adoptado desde startups fintech hasta gobiernos y multinacionales.

02. Cifras Clave

ISO 27001 en Números

93
Controles en Anexo A (2022)
70K+
Certificaciones activas globales
11
Controles nuevos en v2022
4
Temas del Anexo A
10
Cláusulas de la norma (4–10)
37%
Crecimiento en LATAM (2021–2023)

03. Estructura del Estándar

Cláusulas 4 al 10

ISO 27001 sigue la Estructura de Alto Nivel (HLS) del Anexo SL, diseñada para facilitar la integración con otros sistemas de gestión como ISO 9001 (Calidad) o ISO 22301 (Continuidad). Las cláusulas obligatorias van del 4 al 10:

CláusulaNombreQué exige
4Contexto de la OrganizaciónEntender el contexto interno/externo, partes interesadas y alcance del SGSI
5LiderazgoCompromiso de la alta dirección, política de seguridad, roles y responsabilidades
6PlanificaciónEvaluación y tratamiento de riesgos, Declaración de Aplicabilidad (SoA), objetivos
7SoporteRecursos, competencias, concienciación, comunicación y gestión documental
8OperaciónEjecución del plan de tratamiento de riesgos, control de cambios, proveedores
9Evaluación del DesempeñoMonitoreo, medición, auditoría interna y revisión por la dirección
10MejoraNo conformidades, acciones correctivas y mejora continua del SGSI
Dashboard de gestión de seguridad
// Ciclo PDCA del SGSILa mejora continua es el eje central de ISO 27001: los resultados de auditorías y revisiones alimentan el siguiente ciclo de planificación.

04. Anexo A — Controles

Los 93 Controles en 4 Temas

El Anexo A de ISO 27001:2022 lista los controles de referencia organizados en 4 temas. Cada control se describe en detalle en la norma complementaria ISO 27002:2022. La organización selecciona los controles aplicables y los documenta en la Declaración de Aplicabilidad (SoA).

  • A.5.1
    Políticas de Seguridad

    Definición, aprobación y comunicación de políticas de seguridad de la información a nivel organizacional.

  • A.5.9
    Inventario de Activos

    Identificación y mantenimiento de un inventario de activos de información con propietarios asignados.

  • A.5.24
    Planificación de Respuesta a Incidentes

    Establecimiento de roles, responsabilidades y procedimientos para la gestión de incidentes de seguridad.

  • A.5.29 ★
    Seguridad de la Información durante Disrupciones

    Nuevo en 2022. Planificación para mantener la seguridad durante incidentes operacionales mayores.

  • A.5.36
    Cumplimiento con Políticas

    Verificación regular del cumplimiento de las políticas y procedimientos de seguridad.

  • A.6.1
    Verificación de Antecedentes

    Investigación de antecedentes de candidatos antes del empleo, proporcional al riesgo del rol.

  • A.6.2
    Términos y Condiciones de Empleo

    Los contratos deben especificar las responsabilidades del empleado en materia de seguridad.

  • A.6.3
    Concienciación y Formación

    Programa continuo de formación en seguridad adaptado al rol de cada persona.

  • A.6.6
    Acuerdos de Confidencialidad

    Acuerdos de no divulgación formalizados con empleados, contratistas y terceros con acceso a información sensible.

  • A.6.8 ★
    Reporte de Eventos de Seguridad

    Nuevo en 2022. Mecanismos para que el personal reporte incidentes y vulnerabilidades de forma rápida y anónima.

  • A.7.1
    Perímetros de Seguridad Física

    Definición de zonas seguras para proteger instalaciones y activos de información sensibles.

  • A.7.3
    Seguridad de Oficinas y Áreas

    Diseño e implementación de seguridad física en oficinas, salas y zonas de procesamiento.

  • A.7.8
    Ubicación y Protección de Equipos

    Protección de equipos contra amenazas físicas y ambientales: temperatura, humedad, acceso no autorizado.

  • A.7.10
    Medios de Almacenamiento

    Gestión del ciclo de vida de medios de almacenamiento, incluyendo eliminación segura y reutilización.

  • A.7.14
    Eliminación Segura

    Verificación de la eliminación o sobreescritura segura de datos antes de reasignar o desechar equipos.

  • A.8.2
    Derechos de Acceso Privilegiado

    Gestión estricta de cuentas con privilegios elevados: MFA obligatorio, revisión periódica y rotación de credenciales.

  • A.8.8
    Gestión de Vulnerabilidades Técnicas

    Identificación y remediación oportuna de vulnerabilidades en sistemas, aplicaciones e infraestructura.

  • A.8.12 ★
    Prevención de Fuga de Datos (DLP)

    Nuevo en 2022. Controles para prevenir la divulgación no autorizada de información sensible.

  • A.8.23 ★
    Filtrado Web

    Nuevo en 2022. Gestión del acceso a sitios web externos para reducir exposición a malware y phishing.

  • A.8.32 ★
    Gestión de Cambios

    Nuevo en 2022. Proceso formal para gestionar cambios en sistemas de información, minimizando riesgos de seguridad.

// ★ 11 Controles Nuevos en la Versión 2022

Inteligencia de Amenazas (A.5.7), Seguridad de la Información en la Nube (A.5.23), Continuidad de las TIC (A.5.30), Seguridad Física y Monitoreo (A.7.4), Configuración Segura (A.8.9), Eliminación de Información (A.8.10), Enmascaramiento de Datos (A.8.11), DLP (A.8.12), Monitoreo de Actividades (A.8.16), Filtrado Web (A.8.23) y Codificación Segura (A.8.28).

Seguridad de servidores
// Controles Tecnológicos34 controles técnicos que cubren desde acceso hasta cifrado y respaldo.
Seguridad física de oficina
// Controles Físicos y de Personas22 controles que van del perímetro físico a la formación continua del equipo.

05. Beneficios

Por Qué Implementar ISO 27001

🏆 Ventaja Competitiva

Requisito frecuente en licitaciones de banca, salud, gobierno y multinacionales. La certificación abre contratos que sin ella son inaccesibles.

⚖️ Cumplimiento Normativo

Base técnica para la Ley 21.719, CMF, SII y regulaciones sectoriales. Demuestra diligencia proactiva y reduce exposición a sanciones.

🛡️ Reducción de Riesgos

Identifica y trata sistemáticamente los riesgos antes de materializarse. Según IBM, el costo promedio de una brecha global es USD 4,45M.

🤝 Confianza del Cliente

Señal verificable de madurez en seguridad. Clientes empresariales y corporativos exigen cada vez más evidencia de controles formales.

📐 Marco Estructurado

Lenguaje y framework común para toda la organización: del directorio a los equipos técnicos, alineando objetivos de negocio y seguridad.

🔄 Mejora Continua

El ciclo PDCA garantiza que el SGSI evolucione con el panorama de amenazas, cambios regulatorios y crecimiento del negocio.

06. Hoja de Ruta

Camino hacia la Certificación

La implementación típica dura entre 6 y 18 meses según la madurez inicial y tamaño de la organización. ShellTI acompaña cada etapa con metodología probada en empresas chilenas.

01
Semanas 1–3

Análisis de Brechas (Gap Analysis)

Evaluación del estado actual de los controles versus los requisitos del estándar. Genera el mapa de trabajo priorizado por riesgo e impacto al negocio.

02
Semanas 3–6

Definición de Alcance y Contexto

Delimitación del SGSI: qué activos, procesos y unidades quedan dentro del alcance. Análisis de contexto interno/externo y partes interesadas (Cláusula 4).

03
Semanas 6–16

Evaluación y Tratamiento de Riesgos

Identificación de activos de información, valoración de amenazas y vulnerabilidades, cálculo de riesgo residual y elaboración del Plan de Tratamiento de Riesgos (PTR) y la Declaración de Aplicabilidad (SoA).

04
Semanas 10–28

Implementación de Controles y Políticas

Desarrollo de políticas, procedimientos y controles técnicos. Capacitación del personal (Cláusula 7.2–7.3) y despliegue de herramientas de monitoreo, acceso y cifrado.

05
Semanas 26–34

Auditoría Interna y Revisión por la Dirección

Verificación formal de la efectividad del SGSI (Cláusula 9.2). La alta dirección revisa resultados, indicadores y aprueba planes de mejora antes de la auditoría externa.

06
Semanas 34–40

Auditoría de Certificación

Proceso en dos etapas con organismo certificador acreditado: Etapa 1 (revisión documental) y Etapa 2 (auditoría de implementación en sitio). Obtención del certificado con vigencia de 3 años.

07. Integración Normativa

ISO 27001 y la Ley 21.719

ISO 27001 no reemplaza a la Ley 21.719, pero es el marco técnico más completo para cumplirla. El Art. 14 quater establece el deber de seguridad y el principio de responsabilidad proactiva (accountability): un SGSI certificado ISO 27001 es la evidencia más robusta de diligencia ante la autoridad de control.

ISO 27001 aporta

  • Marco de gestión certificable y auditable
  • 93 controles técnicos y organizacionales
  • Gestión formal de riesgos (Cláusula 6.1)
  • Plan de respuesta a incidentes (A.5.24–5.26)
  • Gestión de proveedores (A.5.19–5.21)
  • Controles de acceso y cifrado (A.8.2–8.5)
  • Auditorías internas periódicas (Cláusula 9.2)

Ley 21.719 exige

  • Registro de Actividades de Tratamiento (RAT)
  • Consentimiento explícito e informado
  • Notificación de brechas en 72 horas (Art. 26)
  • Contratos con encargados del tratamiento
  • Evaluación de Impacto (DPIA/EIPD)
  • Derechos ARCOP habilitados (acceso, rectificación...)
  • Delegado de Protección de Datos (DPO) si aplica

// Mapeo Directo

Los controles A.5.24–A.5.26 de ISO 27001 habilitan el cumplimiento del plazo de 72 horas del Art. 26. Los controles A.5.19–A.5.21 cubren los contratos con encargados del Art. 17–18. El control A.8.11 (enmascaramiento de datos) y A.8.12 (DLP) son directamente aplicables al deber de minimización del Art. 14.

08. Proceso de Certificación

Preguntas Frecuentes sobre Certificación

// ¿Cuánto cuesta certificarse en Chile?

El costo total varía entre USD 15.000 y USD 60.000 según el tamaño de la organización, incluyendo consultoría de implementación, herramientas, capacitación y la tarifa del organismo certificador (BSI, Bureau Veritas, SGS, AENOR, ICONTEC).

// ¿Cuánto tiempo tarda la certificación?

Para organizaciones sin SGSI previo: 9–18 meses. Para organizaciones con controles existentes y buena documentación: 6–9 meses. ShellTI realiza un gap analysis inicial para establecer el cronograma más realista según tu contexto.

// ¿La certificación tiene vencimiento?

Sí. El certificado ISO 27001 tiene una vigencia de 3 años, con auditorías de seguimiento anuales (Años 1 y 2) y una auditoría de recertificación en el Año 3. Las auditorías anuales verifican que el SGSI se mantiene operativo y mejorando.

// ¿Qué organismos certifican en Chile?

Los más reconocidos con presencia activa en Chile son: BSI Group, Bureau Veritas, SGS, AENOR e ICONTEC. Todos deben estar acreditados por un organismo miembro del IAF (International Accreditation Forum) para que la certificación sea reconocida internacionalmente.

Auditoría y certificación ISO
// Auditoría de CertificaciónEl proceso de certificación incluye revisión documental (Etapa 1) y auditoría de implementación en sitio (Etapa 2), realizada por auditores acreditados del organismo certificador.
ShellTI · Quiz de Aprendizaje

Comprueba tu Conocimiento

15 preguntas sobre ISO/IEC 27001:2022

0 / 15
Pregunta 1 de 15
¿Cuántos controles contiene el Anexo A de ISO/IEC 27001:2022?
A
114 controles distribuidos en 14 dominios
B
93 controles distribuidos en 4 temas
C
18 controles con salvaguardas específicas
D
100 controles en 5 categorías
Correcto: B. ISO 27001:2022 redujo de 114 a 93 controles, reorganizados en 4 temas: Organizacionales (37), Personas (8), Físicos (14) y Tecnológicos (34).
Pregunta 2 de 15
¿Qué es la Declaración de Aplicabilidad (SoA) en el contexto de ISO 27001?
A
Un informe de la auditoría de certificación
B
El contrato con el organismo certificador
C
Documento que lista los controles del Anexo A aplicables, justificando inclusiones y exclusiones
D
La política de seguridad de la información
Correcto: C. La SoA (Statement of Applicability) es un documento obligatorio de la Cláusula 6.1.3 que justifica cada control del Anexo A: si aplica o no, y por qué. Es uno de los documentos más revisados en auditoría.
Pregunta 3 de 15
¿Cuántos controles NUEVOS se incorporaron en la versión ISO 27001:2022 respecto a la edición 2013?
A
5 controles nuevos
B
11 controles nuevos
C
21 controles nuevos
D
No hubo controles nuevos, solo reorganización
Correcto: B. Se incorporaron 11 controles nuevos enfocados en áreas emergentes: inteligencia de amenazas, seguridad en la nube, continuidad TIC, DLP, enmascaramiento de datos, monitoreo de actividades, filtrado web y codificación segura, entre otros.
Pregunta 4 de 15
¿Qué ciclo de gestión es el eje central de un SGSI bajo ISO 27001?
A
OODA (Observar, Orientar, Decidir, Actuar)
B
PDCA (Planificar, Hacer, Verificar, Actuar)
C
ISMS (Identificar, Mitigar, Supervisar, Sostener)
D
AGILE (Analizar, Gestionar, Implementar, Lograr, Evaluar)
Correcto: B. El ciclo PDCA (Plan-Do-Check-Act) es el motor de mejora continua del SGSI. Cada cláusula de ISO 27001 (4 al 10) se mapea a una fase del ciclo, garantizando que la seguridad mejore con cada iteración.
Pregunta 5 de 15
¿Desde qué cláusula comienzan los requisitos obligatorios de ISO 27001?
A
Cláusula 1
B
Cláusula 3
C
Cláusula 4
D
Cláusula 6
Correcto: C. Las cláusulas 1 a 3 son introductorias (objeto, referencias normativas y términos). Los requisitos obligatorios comienzan en la Cláusula 4 (Contexto) y se extienden hasta la Cláusula 10 (Mejora).
Pregunta 6 de 15
¿Qué documento describe en detalle la implementación y guía de cada control del Anexo A?
A
ISO 27000 — Vocabulario
B
ISO 27002:2022 — Controles de Seguridad
C
ISO 27005 — Gestión de Riesgos
D
ISO 27701 — Privacidad
Correcto: B. ISO 27002:2022 es la guía de implementación complementaria que describe en detalle el propósito, guía de implementación y evidencias para cada uno de los 93 controles del Anexo A de ISO 27001.
Pregunta 7 de 15
¿Cuánto tiempo es válido un certificado ISO 27001 antes de necesitar renovación?
A
1 año
B
2 años
C
3 años con auditorías de seguimiento anuales
D
5 años
Correcto: C. El certificado ISO 27001 tiene vigencia de 3 años. Durante ese período se realizan auditorías de seguimiento (surveillance audits) en el Año 1 y Año 2, y una auditoría completa de recertificación en el Año 3.
Pregunta 8 de 15
¿Cuál de estos NO es un tema del Anexo A en ISO 27001:2022?
A
Controles Organizacionales
B
Controles de Personas
C
Controles de Procesos
D
Controles Tecnológicos
Correcto: C. Los 4 temas del Anexo A de ISO 27001:2022 son: Organizacionales (A.5), Personas (A.6), Físicos (A.7) y Tecnológicos (A.8). "Controles de Procesos" no existe como categoría en el estándar.
Pregunta 9 de 15
¿Qué cláusula de ISO 27001 exige la realización de auditorías internas del SGSI?
A
Cláusula 6 — Planificación
B
Cláusula 7 — Soporte
C
Cláusula 9 — Evaluación del Desempeño
D
Cláusula 10 — Mejora
Correcto: C. La Cláusula 9.2 exige auditorías internas periódicas para determinar si el SGSI es conforme a los requisitos y se implementa y mantiene eficazmente. Los resultados deben comunicarse a la dirección.
Pregunta 10 de 15
¿Qué relación tiene ISO 27001 con la Ley 21.719 de Chile?
A
ISO 27001 reemplaza a la Ley 21.719
B
Son marcos independientes sin ninguna relación
C
ISO 27001 es el marco técnico más completo para satisfacer el deber de seguridad y accountability de la Ley 21.719
D
La Ley 21.719 obliga a todas las empresas a certificarse en ISO 27001
Correcto: C. ISO 27001 no reemplaza ni es exigido por la Ley 21.719, pero su SGSI documenta y demuestra el cumplimiento del deber de seguridad (Art. 14 quater) y la responsabilidad proactiva (accountability) de forma sistemática y auditable.
Pregunta 11 de 15
¿Cuál es el control A.8.12 incorporado como novedad en ISO 27001:2022?
A
Gestión de Vulnerabilidades
B
Prevención de Fuga de Datos (DLP)
C
Control de Acceso Privilegiado
D
Copias de Seguridad
Correcto: B. El control A.8.12 — Prevención de Fuga de Datos (DLP) es uno de los 11 nuevos en ISO 27001:2022. Exige implementar medidas para prevenir la divulgación no autorizada de información sensible por personas, sistemas o servicios.
Pregunta 12 de 15
¿Qué es la "Estructura de Alto Nivel" (HLS) en el contexto de ISO 27001?
A
El nivel de seguridad más alto dentro del SGSI
B
La estructura común del Anexo SL que facilita integrar ISO 27001 con otras normas ISO como ISO 9001 o ISO 22301
C
El nombre del comité técnico de ISO que redacta la norma
D
Una clasificación de activos de información por criticidad
Correcto: B. La HLS (High Level Structure) del Anexo SL es una estructura común para todas las normas de sistemas de gestión ISO. Gracias a ella, ISO 27001 comparte las cláusulas 4–10 con ISO 9001 (Calidad) e ISO 22301 (Continuidad), facilitando los SGSI integrados.
Pregunta 13 de 15
¿Cuántos controles tiene el tema "Controles de Personas" en el Anexo A de ISO 27001:2022?
A
5 controles
B
8 controles
C
14 controles
D
37 controles
Correcto: B. El tema A.6 — Personas contiene 8 controles, que van desde la verificación de antecedentes (A.6.1) hasta el teletrabajo seguro (A.6.7) y el reporte de eventos de seguridad (A.6.8, nuevo en 2022).
Pregunta 14 de 15
¿Qué documento exige la Cláusula 5 de ISO 27001 que la alta dirección apruebe y comunique?
A
El Plan de Tratamiento de Riesgos
B
La Declaración de Aplicabilidad (SoA)
C
La Política de Seguridad de la Información
D
El Inventario de Activos
Correcto: C. La Cláusula 5.2 exige que la alta dirección establezca, apruebe y comunique a toda la organización una Política de Seguridad de la Información que sea apropiada al propósito, incluya objetivos y esté disponible como información documentada.
Pregunta 15 de 15
Una empresa obtiene la certificación ISO 27001. ¿Qué significa esto respecto a sus riesgos de seguridad?
A
Que la empresa es 100% invulnerable a ciberataques
B
Que ha implementado un sistema formal para identificar, tratar y gestionar sus riesgos de seguridad de manera continua
C
Que no necesita realizar más auditorías de seguridad
D
Que todos sus datos están cifrados automáticamente
Correcto: B. ISO 27001 no garantiza cero incidentes, sino que demuestra que la organización tiene un SGSI formal, sistemático y auditado para gestionar sus riesgos de seguridad. La seguridad perfecta no existe; la gestión responsable de los riesgos sí es alcanzable.
Preguntas correctas de 15
Agendar Asesoría →

¿Listo para implementar ISO 27001 en tu organización?

ShellTI acompaña a empresas chilenas desde el gap analysis hasta la certificación, con enfoque en Ley 21.719 y madurez real en seguridad.

Agendar Evaluación →