Cada vez más licitaciones públicas y RFPs corporativos en Perú piden — o premian con puntaje extra — que el proveedor esté certificado ISO 27001. Lo que era un "agradable de tener" hace 5 años se está volviendo un requisito comercial en 2026.
Pero la certificación es un proceso largo, técnicamente exigente, y donde muchas empresas se pierden en la implementación. En esta guía te explicamos qué es realmente ISO 27001, cuánto cuesta, qué incluye y cómo implementarla con éxito en una empresa peruana.
¿Qué es ISO 27001?
ISO/IEC 27001 es el estándar internacional de gestión de seguridad de la información publicado por la Organización Internacional de Normalización. Define los requisitos para implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).
En cristiano: es el "playbook" reconocido mundialmente para que una empresa demuestre que tiene controles serios sobre su información — disponibilidad, integridad y confidencialidad.
¿Por qué tu empresa debería certificarse?
1. Acceso a más clientes
- Sector financiero, seguros, salud, gobierno → cada vez más lo exigen como requisito de proveedor
- Multinacionales suelen pedirlo a sus partners locales
- Te permite competir en licitaciones donde antes no entrabas
2. Diferenciación competitiva
En un mercado peruano donde la mayoría de empresas TI dice ser segura pero pocas lo demuestran objetivamente, el certificado es prueba auditada.
3. Cumplimiento regulatorio
Aunque ISO 27001 NO es ley en Perú, te ayuda enormemente a cumplir con:
- Ley de Protección de Datos Personales (Ley 29733)
- Reglamentación de SBS sobre seguridad de información
- Requisitos de Indecopi sobre datos personales
- PCI-DSS (si procesas tarjetas)
4. Reducción de incidentes
Empresas certificadas reportan en promedio 62% menos incidentes de seguridad según data de BSI Group post-implementación.
5. Mejor postura de seguridad medible
Implementar ISO 27001 obliga a:
- Inventariar todos tus activos de información
- Identificar todos tus riesgos
- Medir, mitigar y monitorear
Es la diferencia entre "creemos que estamos seguros" y "sabemos cuáles son nuestros riesgos y los gestionamos".
¿Qué incluye la norma exactamente?
ISO 27001 tiene dos partes principales:
Parte 1: Las 10 cláusulas (lo obligatorio)
Estos son los procesos del SGSI. TODOS son obligatorios:
- Alcance — definir qué cubre el SGSI
- Contexto de la organización — entender stakeholders y entorno
- Liderazgo — compromiso de la alta dirección + política de seguridad
- Planificación — gestión de riesgos
- Soporte — recursos, competencia, comunicación, documentación
- Operación — implementación de controles
- Evaluación de desempeño — auditoría interna + revisión por dirección
- Mejora — gestión de no conformidades + mejora continua
Parte 2: Los 93 controles del Anexo A (lo seleccionable)
Los controles están organizados en 4 grandes temas (en la versión 2022):
| Tema | # controles | Ejemplos |
|---|---|---|
| Controles organizacionales | 37 | Políticas, roles, segregación, gestión de proveedores |
| Controles de personas | 8 | Verificación, training, NDAs, salida de personal |
| Controles físicos | 14 | Acceso a oficinas, seguridad de equipos, controles ambientales |
| Controles tecnológicos | 34 | Antivirus, backup, cifrado, monitoreo, WAF, antispam, MFA |
Importante: NO tienes que implementar los 93. Tienes que justificar cuáles aplican a tu organización (basado en tu análisis de riesgos) y cuáles no. Esto se documenta en la "Declaración de Aplicabilidad" (SoA).
¿Cuánto cuesta ISO 27001 en Perú?
Esta es probablemente la pregunta más concreta. Las cifras varían pero podemos dar rangos realistas:
Para una PyME (20-50 empleados)
- Consultoría: US$ 8,000 – US$ 18,000
- Tecnología nueva necesaria: US$ 5,000 – US$ 15,000
- Auditoría de certificación: US$ 4,000 – US$ 8,000
- Total año 1: US$ 17,000 – US$ 41,000
Para una mediana empresa (50-250 empleados)
- Consultoría: US$ 18,000 – US$ 40,000
- Tecnología: US$ 15,000 – US$ 60,000
- Auditoría: US$ 8,000 – US$ 15,000
- Total año 1: US$ 41,000 – US$ 115,000
Para empresa grande (>250 empleados)
- Total año 1: US$ 80,000 – US$ 300,000+ dependiendo de complejidad
Costo recurrente anual (post certificación):
- Mantenimiento del SGSI: US$ 6,000 – US$ 30,000/año
- Auditoría de seguimiento: US$ 3,000 – US$ 7,000/año
Errores que disparan el costo
- No tener auditor interno calificado → contratar uno externo cuesta 3x
- Implementación apurada → certificar con gaps que generan no conformidades repetidas
- Comprar tecnología innecesaria → "lista de compras" de productos que no aplican a tu riesgo
- Sobre-documentar → la norma NO requiere 200 documentos. Documenta lo justo.
¿Cuánto tiempo lleva?
Implementación realista por tamaño:
| Tamaño empresa | Tiempo realista |
|---|---|
| PyME (< 50 empleados) | 8 – 12 meses |
| Mediana (50 – 250) | 10 – 15 meses |
| Grande (> 250) | 15 – 24 meses |
Si te dicen "lo certificamos en 3 meses" — desconfía. O es una empresa con SGSI maduro previo, o se están saltando pasos críticos.
Fases típicas de implementación
Fase 1 — Diagnóstico inicial (1 mes)
- Gap analysis vs ISO 27001
- Identificación de cumplimientos parciales existentes
- Plan de trabajo realista
Fase 2 — Diseño del SGSI (2-3 meses)
- Definir alcance del SGSI
- Política de seguridad de la información
- Metodología de gestión de riesgos
- Estructura organizacional (CISO o equivalente)
Fase 3 — Análisis de riesgos (1-2 meses)
- Inventario de activos
- Identificación de amenazas y vulnerabilidades
- Evaluación de probabilidad e impacto
- Plan de tratamiento
Fase 4 — Implementación de controles (3-6 meses)
- Documentación de procedimientos
- Implementación técnica de controles faltantes
- Capacitación al personal
- Pruebas de los controles
Fase 5 — Operación y mejora (1-2 meses)
- Operar el SGSI ya implementado
- Auditoría interna
- Acciones correctivas
- Revisión por dirección
Fase 6 — Auditoría externa de certificación (1-2 meses)
- Etapa 1: revisión documental
- Etapa 2: auditoría en sitio
- Atención a observaciones
- Emisión del certificado
Errores frecuentes que vemos en Perú
1. Tratar ISO 27001 como un proyecto de TI
Es un proyecto de gestión empresarial que involucra TI. Si lo dejas solo en manos del área de sistemas, falla. Necesita patrocinio de gerencia general / directorio.
2. Hacer documentación por hacerla
Muchas empresas generan políticas y procedimientos que nadie lee ni aplica. La auditoría detecta esto rápido. Mejor: documentación mínima pero operativamente real.
3. Subestimar el cambio cultural
Implementar ISO 27001 cambia hábitos: cómo se contratan personas, cómo se gestionan accesos, cómo se manejan dispositivos. Sin gestión del cambio, los controles se erosionan en 6 meses.
4. Comprar tecnología en lugar de gestionar
"Compré un EDR carísimo, ya estoy seguro". No. El EDR sin proceso de monitoreo + respuesta no aporta. ISO 27001 te obliga a cerrar el ciclo (no solo comprar).
5. Elegir mal al consultor
El mercado peruano tiene de todo. Pregunta:
- ¿Cuántos certificados ISO 27001 ha implementado en empresas similares?
- ¿Quién lleva el proyecto día a día?
- ¿Te dan referencias verificables?
Nuestro rol
En Inforland Perú apoyamos a empresas peruanas en dos dimensiones del proceso:
- Como consultores de implementación del SGSI (cuando tu empresa lo prefiere)
- Como proveedor de los controles tecnológicos del Anexo A: antivirus empresarial, WAF, antispam, backup, monitoreo (RMM), gestión de vulnerabilidades, etc.
Estamos certificados ISO 9001 + ISO 27001 + ISO 37001 lo que significa que sabemos por experiencia propia qué funciona y qué no.
Conclusión
ISO 27001 ya no es solo un "diferenciador opcional" en el mercado peruano. Para empresas que apuntan a clientes corporativos serios, sector público, o multinacionales, está convirtiéndose en requisito comercial.
Implementarla bien lleva 8-15 meses y cuesta entre US$ 17,000 y US$ 115,000+ dependiendo del tamaño. El ROI es claro: acceso a más clientes + menos incidentes + mejor postura defensiva.
Si tu empresa está evaluando certificarse o lleva tiempo dando vueltas con la implementación sin avanzar, conversemos. Una sesión de diagnóstico te puede ahorrar meses.