ISO 27001 es el estándar internacional de seguridad de la información más reconocido del mundo. Para empresas peruanas — especialmente las que trabajan con el Estado, sector financiero o clientes internacionales — la certificación es cada vez más un requisito, no una opción.
¿Qué es ISO 27001?
ISO 27001 establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI): un framework para proteger la confidencialidad, integridad y disponibilidad de la información de tu empresa de forma sistemática y auditable.
Los 14 Dominios de Controles (Anexo A)
| # |
Dominio |
Controles |
Ejemplos |
| A.5 |
Políticas de seguridad |
2 |
Política de seguridad, revisión periódica |
| A.6 |
Organización |
7 |
Roles, responsabilidades, teletrabajo |
| A.7 |
Seguridad de RRHH |
6 |
Screening, capacitación, cese |
| A.8 |
Gestión de activos |
10 |
Inventario, clasificación, manejo de medios |
| A.9 |
Control de acceso |
14 |
Política de acceso, gestión de usuarios |
| A.10 |
Criptografía |
2 |
Cifrado, gestión de llaves |
| A.11 |
Seguridad física |
15 |
Áreas seguras, equipos |
| A.12 |
Seguridad de operaciones |
14 |
Malware, backup, logging |
| A.13 |
Seguridad de comunicaciones |
7 |
Redes, transferencia de información |
| A.14 |
Adquisición y desarrollo |
13 |
Requisitos, desarrollo seguro |
| A.15 |
Relación con proveedores |
5 |
Acuerdos, monitoreo |
| A.16 |
Gestión de incidentes |
7 |
Reporte, respuesta, lecciones |
| A.17 |
Continuidad de negocio |
4 |
Planificación, pruebas |
| A.18 |
Cumplimiento |
8 |
Legal, auditorías |
Hoja de Ruta de Implementación
flowchart LR
A[Mes 1-2<br/>Gap Analysis<br/>+ Alcance SGSI] --> B[Mes 3-4<br/>Evaluación de<br/>Riesgos]
B --> C[Mes 5-7<br/>Implementar<br/>Controles]
C --> D[Mes 8-9<br/>Documentación<br/>+ Capacitación]
D --> E[Mes 10<br/>Auditoría<br/>Interna]
E --> F[Mes 11-12<br/>Auditoría de<br/>Certificación]
Detalle por Fase
| Fase |
Duración |
Actividades Clave |
Entregables |
| Gap Analysis |
4-6 semanas |
Evaluar controles actuales vs. ISO 27001 |
Informe de brechas, plan de acción |
| Evaluación de Riesgos |
4-6 semanas |
Identificar activos, amenazas, vulnerabilidades |
Registro de riesgos, plan de tratamiento |
| Implementación |
8-12 semanas |
Implementar controles técnicos y organizacionales |
Controles operativos |
| Documentación |
4-6 semanas |
Políticas, procedimientos, registros |
SGSI documentado |
| Auditoría Interna |
2-3 semanas |
Verificar conformidad, identificar NC |
Informe de auditoría interna |
| Certificación |
3-4 semanas |
Auditoría Stage 1 (docs) + Stage 2 (implementación) |
Certificado ISO 27001 |
Documentación Requerida
| Documento |
Obligatorio |
Descripción |
| Alcance del SGSI |
Sí |
Qué áreas, procesos y ubicaciones cubre |
| Política de seguridad |
Sí |
Compromiso de la dirección |
| Evaluación de riesgos |
Sí |
Metodología + registro de riesgos |
| Plan de tratamiento de riesgos |
Sí |
Cómo se mitiga cada riesgo |
| Declaración de aplicabilidad (SoA) |
Sí |
Qué controles del Anexo A aplican y por qué |
| Objetivos de seguridad |
Sí |
Metas medibles |
| Procedimientos operativos |
Según controles |
Backup, acceso, incidentes, etc. |
| Registros de capacitación |
Sí |
Evidencia de competencia |
| Resultados de auditoría |
Sí |
Informes de auditoría interna |
| Revisión por la dirección |
Sí |
Acta de revisión periódica |
Costos en Perú
| Concepto |
PYME (50 empleados) |
Mediana (200 empleados) |
| Consultoría de implementación |
S/ 40,000 - S/ 80,000 |
S/ 80,000 - S/ 200,000 |
| Herramientas (SIEM, DLP, etc.) |
S/ 20,000 - S/ 50,000/año |
S/ 50,000 - S/ 200,000/año |
| Auditoría de certificación |
S/ 15,000 - S/ 30,000 |
S/ 25,000 - S/ 60,000 |
| Mantenimiento anual |
S/ 15,000 - S/ 30,000 |
S/ 30,000 - S/ 80,000 |
| Total primer año |
S/ 90,000 - S/ 190,000 |
S/ 185,000 - S/ 540,000 |
ROI de la Certificación
| Beneficio |
Valor |
| Requisito para contratos (gobierno, banca, internacional) |
Acceso a mercados cerrados sin certificación |
| Reducción de incidentes (-60-80%) |
S/ 50,000 - S/ 500,000/año evitados |
| Reducción de primas de seguro (-10-20%) |
S/ 10,000 - S/ 50,000/año |
| Ventaja competitiva |
Diferenciador en licitaciones y ventas |
| Cumplimiento normativo (SBS, Ley 29733) |
Evitar multas |
Errores Comunes
| Error |
Consecuencia |
Solución |
| Implementar solo para certificarse |
Controles en papel, no en práctica |
Integrar seguridad en operaciones reales |
| No involucrar a la dirección |
SGSI sin presupuesto ni autoridad |
Sponsor ejecutivo desde el inicio |
| Documentar de más |
Burocracia insostenible |
Solo lo que ISO requiere + lo que usas |
| Ignorar la gestión del cambio |
Empleados sabotean controles |
Capacitación + comunicación constante |
| No hacer auditoría interna real |
Sorpresas en certificación |
Auditoría interna rigurosa y honesta |
En AyP Digital, implementamos soluciones tecnológicas para empresas peruanas. Contáctanos al +51 942 867 653 o escribe a ventas@aypdigital.com.
