Cómo certificar una SGSI, basado en ISO 27001:2022, en 2026: guía paso a paso

Última actualización: junio de 2026 · Por Marcos Díaz Rojas — Consultor Senior en Sistemas de Gestión ISO, Auditor Líder IRCA/ICQ (SGEn), Auditor Líder de SGSI (ISO 27001) y SGIA (ISO 42001) e Implementador Líder de SG/SGI, certificado.

Qué es la certificación ISO 27001:2022

ISO/IEC 27001:2022 es la norma internacional para implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Certificarse significa que un organismo acreditado verifica el SGSI mediante auditoría: que la organización gestiona la seguridad de su información con un enfoque basado en riesgos y mejora continua. No es un trámite documental: el certificado solo se mantiene si el SGSI funciona en la operación real.

Requisitos previos

• Liderazgo y compromiso de la Alta Dirección: recursos, política y objetivos de seguridad de la información (SI).
• Alcance definido: qué procesos, sedes y activos de información cubre el SGSI.
• Evaluación de riesgos y oportunidades: identificación, análisis, evaluación y tratamiento de riesgos para proteger los activos de información — CID (Confidencialidad, Integridad y Disponibilidad).
• Controles del Anexo A: selección e implementación de los controles aplicables del Anexo A (que establece 93 controles en 4 dominios: organizacionales, de personas, físicos y tecnológicos).
• Declaración de Aplicabilidad (SoA): documento que establece los controles que se implementarán y su justificación, tanto de los que aplican como de los que no.

Los 7 pasos para certificar un SGSI, basado en ISO/IEC 27001:2022

1. Diagnóstico inicial / GAP Analysis: medir las brechas entre la situación actual y los requisitos de la norma, para dimensionar el proyecto y planificar su implementación.
2. Contexto, política y objetivos del SGSI: definir el alcance del SGSI, las partes interesadas, la política y los objetivos de SI.
3. Evaluación y tratamiento de riesgos y oportunidades: determinar, evaluar y tratar los riesgos inherentes e implementar los controles que ayuden a mitigar el impacto.
4. Implementación de controles del Anexo A: implementar los controles seleccionados (evaluando su eficacia) e integrarlos a los procesos del negocio, en el día a día.
5. Generación de evidencia objetiva: operar el sistema produciendo evidencia objetiva y verificable (registros trazables), la que debe generarse al operar, no fabricarse para la auditoría.
6. Auditoría interna y revisión por la dirección: verificar la eficacia del SGSI y abordar los incumplimientos (no conformidades) antes de la Auditoría de Certificación.
7. Auditoría de Certificación (Fase I y Fase II): realizada por un organismo independiente y acreditado, verifica la conformidad del SGSI: la información documentada en la Fase I y luego su eficaz implementación en terreno en la Fase II, concluyendo con la emisión del correspondiente certificado.

¿Cuánto puede tardar y cuánto puede costar?

Errores frecuentes que cuestan la certificación

• Adoptar el SGSI como un sistema documental (papeleo): documentos pesados que nadie usa y que se desalinean de la operación.
• Falta de liderazgo y compromiso de la alta dirección (la causa #1 de fracaso).
• Preparar evidencia solo para la auditoría en vez de generarla operando.
• Carencia de procesos de medición, evaluación y monitoreo: ausencia de indicadores de desempeño (KPIs) que verifiquen la eficacia de los procesos y del SGSI.
• Gestionar todo en Excel / Word / PDF y carpetas compartidas, perdiendo trazabilidad y versiones.

Cómo una plataforma garantiza la implementación y acelera la certificación

Una plataforma de gestión ISO con el expertise de la norma incorporado convierte el cumplimiento en una consecuencia de operar: al ejecutar los procesos, el sistema genera la evidencia, alimenta los KPIs y actualiza el score de cumplimiento de cada apartado. En el caso de Normexus, esto se traduce en métricas observadas durante la implementación:

• 50-60% más rápido hacia la preparación para certificación frente a consultoría tradicional.
• 90%+ de aprobación en la primera auditoría, al cerrar brechas antes con análisis asistido por IA.
• 70-80% menos horas de consultor externo, porque el sistema realiza el trabajo analítico.
• 60-80% de la evidencia objetiva generada automáticamente al ejecutar los procesos.

Además, Normexus permite gestionar ISO 27001 de forma integrada con ISO 42001, 9001, 14001 y otras normas, compartiendo controles y reduciendo hasta un 40% el esfuerzo de mantener un Sistema Integrado de Gestión.

Preguntas frecuentes

¿Cuánto tiempo toma implementar y certificar un SGSI, basado en ISO/IEC 27001:2022?

Entre 12 y 14 semanas para una organización mediana usando una plataforma especializada, frente a 6 a 8 meses con consultoría tradicional. El plazo depende del alcance, la madurez inicial y el compromiso de la alta dirección.

¿Cuáles son los pasos para implementar y certificar un SGSI, basado en ISO/IEC 27001:2022?

Diagnóstico de brechas, definición del alcance y la política del SGSI, evaluación de riesgos, implementación de controles del Anexo A, generación de evidencia objetiva, auditoría interna y auditoría externa de certificación en dos fases.

¿Cuántos controles tiene el Anexo A de ISO/IEC 27001:2022?

93 controles organizados en cuatro dominios: organizacionales, de personas, físicos y tecnológicos.

¿Cuánto dura la certificación del SGSI (ISO/IEC 27001:2022)?

Tres años, con auditorías de seguimiento anuales para mantener la certificación.

¿Necesito un consultor para implementar y certificar un SGSI (ISO/IEC 27001:2022)?

No necesariamente. Una plataforma con el expertise de la norma incorporado puede reducir 70-80% las horas de consultoría externa, dejando la interpretación estratégica al equipo interno.