Saltar al contenido
G-CERTI LATAM System Service
ISO/IEC 27001 · Seguridad de la información

Seguridad de la información

Certificación ISO/IEC 27001 para seguridad de la información

El estándar global para proteger activos de información. Crecimiento acelerado por el AI Act y regulaciones de datos.

ISO/IEC 27001:2022Alcance IAS validado
Iniciar certificación Ver el proceso

Alcance acreditado validado. La norma figura en el alcance IAS MSCB-113 vigente publicado. La certificación debe interpretarse según norma, sitios, alcance y vigencia del certificado emitido.

Fuente: IAS MSCB-113 (código de acreditación ante IAS) · Vigente desde 2026-02-17. Última revisión web: 2026-06-06.

¿Qué es ISO/IEC 27001?

ISO/IEC 27001:2022 establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). Define controles para proteger la confidencialidad, integridad y disponibilidad de activos de información, alineado al Anexo A con 93 controles agrupados en 4 temas.

Análisis de riesgos formal y trazable Declaración de aplicabilidad (SoA) vigente 93 controles del Anexo A 2022 (4 temas: organizacionales, personas, físicos, tecnológicos) Gestión de incidentes con métricas Continuidad y resiliencia operativa Auditorías internas + revisión por la dirección

Por qué importa

Qué puede aportar la certificación

Reducción de incidentes de seguridad reportados

Reducción de costo promedio de un breach

Aceptación en cadenas de proveedores enterprise

El detalle

La norma por dentro

Expandí lo que quieras revisar: su estructura, dónde se concentra el valor, qué errores evitar y dónde se aplica.

EstructuraUna estructura que se integra con otras normas

ISO/IEC 27001 comparte una estructura común con el resto de las normas de sistemas de gestión. Para tu organización significa una ventaja concreta: podés combinar varias normas en un solo sistema y certificar de forma más simple y ordenada.

  1. 4Contexto
  2. 5Liderazgo
  3. 6Planificación
  4. 7Apoyo
  5. 8Operación
  6. 9Desempeño
  7. 10Mejora
ValorDónde se concentra el valor de la norma
6.1.2

Evaluación de riesgos de seguridad

Sin metodología formal de evaluación de riesgos, el sistema queda sin justificación de los controles seleccionados.

6.1.3

Tratamiento de riesgos + Declaración de Aplicabilidad

La SoA documenta qué controles aplican y por qué. Es el ancla del sistema y la primera evidencia que solicita el auditor.

8.2

Revisión periódica de accesos privilegiados

Los accesos sin revisión documentada son la NC menor más frecuente. Frecuencia trimestral mínima.

A.5

Controles organizacionales (37 controles)

Políticas, roles, contratos con terceros, clasificación de información. La base estructural del sistema.

A.8

Controles tecnológicos (34 controles)

Cifrado, malware, gestión de vulnerabilidades, registros, código seguro. El núcleo técnico operativo.

RiesgosErrores frecuentes que conviene evitar
mayor

Declaración de aplicabilidad desactualizada vs Anexo A 2022

La evaluación contrasta evidencia objetiva frente a requisitos aplicables; no sustituye consultoría ni implementación.

menor

Registros de revisión de accesos privilegiados ausentes (A.8.2)

La evaluación contrasta evidencia objetiva frente a requisitos aplicables; no sustituye consultoría ni implementación.

mayor

Análisis de riesgos sin link a controles seleccionados (6.1.3)

La evaluación contrasta evidencia objetiva frente a requisitos aplicables; no sustituye consultoría ni implementación.

AplicaciónDónde se aplica

Software y SaaS

Protección de datos de clientes, SaaS multi-tenant, APIs públicas

Fintech

Requisitos regulatorios (BCRA, CNBV, CNV) y procesamiento de pagos

Salud digital

Historias clínicas electrónicas, telemedicina, registros de salud

Cloud y DataCenters

Servicios de infraestructura y plataforma

Servicios profesionales B2B

Consultoría, auditoría, asesoría con datos confidenciales

E-commerce

Procesamiento de tarjetas, datos de clientes, integraciones de pago

Proceso y plazos

Del primer contacto a un certificado vigente

La certificación ISO/IEC 27001 sigue el ciclo de auditoría de tercera parte: dos etapas de auditoría, una decisión independiente y un ciclo de tres años que se sostiene con vigilancia.

  1. 01

    Solicitud y revisión

    La organización presenta su solicitud; se revisan alcance, sitios y viabilidad técnica antes de emitir la propuesta.

  2. 02

    Auditoría etapa 1

    Revisión de preparación: documentación, contexto y madurez del sistema frente a los requisitos de la norma.

  3. 03

    Auditoría etapa 2

    Evaluación in situ sobre evidencia objetiva: se verifica la implementación y la eficacia del sistema de gestión.

  4. 04

    Decisión y emisión

    Una instancia técnica independiente del equipo auditor revisa los hallazgos y decide. Con decisión favorable se emite el certificado, con alcance y vigencia definidos.

  5. 05

    Vigilancia anual y recertificación

    Auditorías de vigilancia anuales sostienen la validez del certificado; el ciclo cierra con la recertificación a los tres años.

Conocé el proceso completo Solicitá una cotización a medida Leé la guía de costos de ISO/IEC 27001

Preguntas frecuentes

¿Qué cambió en la versión 2022 vs 2013?

Restructura del Anexo A: de 114 controles en 14 dominios a 93 controles en 4 temas (organizacionales, personas, físicos, tecnológicos). 11 controles nuevos: threat intelligence, gestión de identidades, código seguro, etc. La transición fue obligatoria hasta octubre 2025.

¿Cuánto tiempo lleva implementar ISO 27001 desde cero?

Entre 6 y 12 meses para una empresa mediana sin gestión previa. Si ya hay frameworks complementarios (NIST, CIS), 4–6 meses. G-CERTI audita y certifica; la implementación corresponde al cliente o a un consultor externo.

¿ISO 27001 cubre GDPR o LGPD?

27001 establece la base del SGSI. Para cumplimiento explícito de privacidad de datos personales se usa la extensión ISO/IEC 27701 (PIMS). G-CERTI emite certificación dual cuando corresponde.

¿Es obligatoria para fintechs en LATAM?

No es obligatoria por ley, pero es requisito en licitaciones bancarias y de partners enterprise. CNBV (México), BCRA (Argentina) y CNV exigen marcos equivalentes.

¿Qué pasa si tengo nube en AWS/Azure/GCP?

El alcance de tu certificación cubre los procesos y controles bajo tu responsabilidad. AWS/Azure/GCP tienen sus propias certificaciones (modelo de responsabilidad compartida). Documentá claramente el límite del alcance.

¿Puedo certificar solo una parte de la organización?

Sí. El alcance acreditado es claro y se delimita por: ubicaciones, procesos, productos, servicios y equipos. La SoA refleja exactamente lo certificado.

Se integra con

Un solo sistema de gestión puede sostener varias normas

Estas normas suelen combinarse con ISO/IEC 27001 dentro de un mismo sistema de gestión, sobre procesos y estructura compartidos.

ISO 22301Continuidad del negocioISO/IEC 20000-1Gestión de servicios de TIISO/IEC 42001Gestión de la inteligencia artificial

Elegí con criterio:ISO/IEC 27001 vs ISO/IEC 27701ISO/IEC 27001 vs NIST CSFISO/IEC 27001 vs SOC 2

Formación relacionada

Diplomatura en ISO/IEC 27001

Desarrollá competencias profesionales sobre la norma. Es formación académica de personas, independiente del proceso de certificación de organizaciones y sin garantía de certificación.

Ver formación

Verificación pública

Comprobá un certificado ISO/IEC 27001

Si recibiste un certificado, verificá su autenticidad, vigencia, estado y alcance disponible antes de aceptarlo como evidencia.

Verificar un certificado

Iniciá la certificación ISO/IEC 27001

La solicitud no garantiza emisión de certificado. La decisión depende de auditoría, revisión técnica y alcance aplicable.

Iniciar certificación Solicitar cotización Ver alcance
+54 9 11 2299-2087