Volver al blog
ISO 27001erroresSGSIChileimplementaciónauditoría

5 errores que hacen fracasar una implementación ISO 27001

Los cinco errores más comunes que llevan al fracaso una implementación ISO 27001 en Chile, con ejemplos reales y cómo corregir cada uno antes de la auditoría.

Equipo FideliNorm
5 errores que hacen fracasar una implementación ISO 27001

ISO 27001 no fracasa porque la norma sea difícil. Fracasa porque las empresas la abordan con el mismo enfoque con que se compra una licencia de software: pagar, instalar, olvidar.

En Chile vemos los mismos cinco errores una y otra vez, en pymes y en empresas grandes. Algunos terminan en auditorías rechazadas, otros en certificados suspendidos al año siguiente y los peores en proyectos que se arrastran 18 meses sin llegar a nada.

Acá te los dejamos con ejemplos concretos y la corrección que sí funciona.

Error 1: comprar la norma y no leerla

El gerente lee dos artículos en LinkedIn, decide que la empresa "necesita ISO 27001" y le pasa la pelota al jefe de TI. El jefe de TI compra la norma en INN, la deja en una carpeta del Drive y arranca a "implementar controles" sin haberla leído entera.

Tres meses después, la empresa tiene un firewall nuevo, MFA en algunos sistemas y cero documentación del sistema de gestión. Cuando llega el consultor, descubre que falta la base completa: contexto de la organización, partes interesadas, alcance, política, objetivos del SGSI.

Pasó hace poco con una distribuidora de la Región Metropolitana de unas 60 personas. Llevaban seis meses comprando herramientas de seguridad y no tenían ni la SoA ni el análisis de riesgos. Tuvieron que partir de cero.

La corrección: ISO 27001 son apenas 28 páginas en su parte normativa. Léela completa antes de comprar nada. Las cláusulas 4 a 10 son las que el auditor revisa, no el Anexo A. Si te saltas el sistema de gestión, el certificado no llega aunque tengas el mejor stack de seguridad del mercado.

Error 2: hacerlo solo para el certificado

Es el error más caro y el más invisible. La empresa decide certificar porque un cliente grande lo pide o porque la competencia ya lo tiene. Contrata consultoría, hace el proyecto en modo "checklist" y consigue el papel.

Doce meses después llega la auditoría de seguimiento. El auditor pide registros de incidentes del último año, métricas del SGSI, evidencia de capacitación reciente, actas de revisión por la dirección. Y no hay nada. Porque desde el día que llegó el certificado, nadie volvió a tocar el sistema.

Resultado: no conformidad mayor. Si no se corrige en 90 días, suspensión del certificado. Y en Chile la suspensión se publica, lo que afecta licitaciones activas y relaciones con clientes corporativos.

La corrección: el certificado es un hito intermedio, no la meta. Antes de arrancar, define quién será el responsable del SGSI con dedicación permanente (no solo durante el proyecto), cuáles serán los 4 o 5 indicadores que reportarán al comité y cuándo será la primera revisión por la dirección post-certificación. Si esas tres preguntas no tienen respuesta, posterga el proyecto.

Error 3: ignorar a la gente de operaciones

ISO 27001 es un proyecto de gestión, no de TI. Pero en la práctica casi siempre lo lidera el área de tecnología, que diseña controles desde el escritorio sin hablar con quienes ejecutan los procesos reales.

El resultado es predecible. Políticas de control de acceso que en producción nadie cumple porque rompen el flujo de trabajo. Procedimientos de manejo de incidentes que el call center jamás ejecutaría porque le bajan el SLA. Reglas de clasificación de información que terminan en un PDF que el área comercial nunca abrió.

Vimos el caso de una empresa de servicios financieros que implementó una política impecable de revisión trimestral de accesos. En el papel todo cuadraba. En la auditoría externa el muestreo mostró que el 70% de las cuentas de proveedores externos seguían activas seis meses después de terminado el contrato. La política existía, la operación nunca la conoció.

La corrección: cada control que vayas a implementar tiene que validarse con el equipo que lo ejecutará en el día a día. Reuniones cortas, una por área crítica, antes de redactar el procedimiento. Si quien tiene que cumplir la regla no la entiende o la considera impracticable, la regla no va a vivir.

Error 4: documentar todo en carpetas que nadie abre

Este error tiene firma chilena. La empresa termina con una estructura de Google Drive o SharePoint con 80 carpetas, 200 documentos PDF, planillas de Excel con la SoA, otra planilla con el análisis de riesgos y un Word con la política de seguridad. Todo "perfecto" para la auditoría inicial.

Seis meses después nadie sabe cuál es la última versión del procedimiento de gestión de incidentes. La SoA tiene tres versiones distintas en tres carpetas. El registro de activos no se actualiza desde marzo. Las evidencias de capacitación están en un correo perdido.

Cuando vuelve el auditor para el seguimiento, no hay manera de demostrar trazabilidad. Porque ese tipo de organización documental no escala. Funciona el primer día y después se degrada sola.

La corrección: elige desde el principio una herramienta con control de versiones, registro de aprobaciones, fechas de revisión y trazabilidad de cambios. Puede ser un módulo de gestión documental decente, una plataforma SGSI o un sistema de calidad si ya tienes ISO 9001. Lo que no puede ser es un Drive compartido. La gestión documental por carpetas es la principal causa de no conformidades en auditorías de seguimiento en Chile.

Error 5: no medir nunca

La cláusula 9.1 de ISO 27001 exige seguimiento, medición, análisis y evaluación. En la práctica, la mayoría de las empresas certificadas en Chile reportan métricas el día de la auditoría y se olvidan el resto del año.

Un SGSI sin métricas es una carpeta muerta. No te avisa si los controles están funcionando, no detecta deterioro, no permite mejorar nada. Y para el auditor, la ausencia de métricas reales es una señal clara de que el sistema no está vivo.

Las cinco métricas mínimas que toda empresa chilena debería tener corriendo desde el mes uno post-certificación:

  • Número de incidentes de seguridad reportados por mes y tiempo medio de detección.
  • Porcentaje del personal capacitado y aprobado en concientización en los últimos 12 meses.
  • Porcentaje de parches críticos aplicados dentro de SLA.
  • Resultados de simulacros de phishing (tasa de clic).
  • Porcentaje de revisiones de acceso ejecutadas en plazo.

Con esas cinco, presentadas trimestralmente al comité, el sistema se mantiene vivo. Sin ellas, no.

La corrección: define los indicadores antes del mes 9 del proyecto, no después de certificar. Cada uno tiene que tener un dueño nombrado, una frecuencia y un canal de reporte. Si el indicador no entra en la agenda mensual de algún gerente, no va a sobrevivir.

El patrón común detrás de los cinco errores

Si miras los cinco con perspectiva, todos comparten la misma raíz: tratar ISO 27001 como un proyecto puntual con principio y fin, en lugar de un sistema de gestión que tiene que vivir años.

Las empresas chilenas que evitan estos errores hacen tres cosas distintas desde el día uno. Asignan un responsable del SGSI con dedicación permanente, no solo durante el proyecto. Eligen herramientas que sostienen el sistema en el tiempo, no plantillas que se degradan. Y comprometen a la dirección con métricas trimestrales, no con un acto de firma del certificado.

En FideliNorm armamos una plataforma chilena pensada exactamente para sostener un SGSI vivo, con SoA, evidencias, no conformidades, auditorías y roles integrados. Si estás partiendo o si ya certificaste y sientes que el sistema se está degradando, conversemos y revisemos juntos cómo evitar que tu implementación caiga en cualquiera de estos cinco errores.

Newsletter FideliNorm

Cumplimiento normativo en tu correo, una vez al mes.

Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.

Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →