Software vs Excel: cómo gestionar ISO 27001 sin perder el control
Cuándo Excel basta para tu SGSI y cuándo necesitas software dedicado. Comparación honesta y los criterios reales para gestionar ISO 27001 sin perder trazabilidad.
Casi toda empresa que parte con ISO 27001 lo hace en Excel. Es lo que hay a mano, todo el mundo lo entiende y a primera vista alcanza para cubrir lo que pide la norma.
El problema no aparece el día uno. Aparece en el mes 14, cuando llega la auditoría de seguimiento y el responsable del SGSI tiene que reconstruir un año de evidencias, demostrar trazabilidad de cambios en la SoA y mostrar que las no conformidades se cerraron a tiempo. Ahí, las planillas dejan de servir.
Acá te dejamos cuándo Excel es suficiente, cuándo deja de serlo y qué tiene que tener un software de SGSI para que la operación no se transforme en un dolor de cabeza permanente.
Lo que Excel hace bien
Vamos a ser justos. Excel y Word son herramientas válidas para arrancar. Tienen tres ventajas reales:
Costo cero adicional, todo el equipo ya las usa. Curva de aprendizaje nula, no hay que capacitar a nadie. Y suficiente flexibilidad para diseñar la primera versión de la matriz de riesgos, la SoA o el inventario de activos sin amarres de un proveedor.
Si tu empresa tiene menos de 15 personas, una sola persona gestiona todo el SGSI y vas recién en el primer ciclo de certificación, perfectamente puedes implementar con planillas y carpetas. No es heroico, es práctico.
Dónde Excel empieza a romperse
El quiebre llega rápido, normalmente entre el mes 6 y el 12 después de certificar. Aparecen cuatro problemas que las planillas no resuelven bien:
Versiones: la SoA tiene cinco copias en tres carpetas, dos personas las editaron en paralelo y nadie sabe cuál es la oficial. Cuando llega el auditor a pedir la versión vigente al 31 de marzo, no hay forma de demostrarlo con certeza.
Colaboración real: el responsable de TI necesita actualizar el inventario de activos, el de RRHH tiene que dejar evidencia de capacitaciones, el de Legal carga las cláusulas de proveedores. En planillas compartidas eso se transforma en bloqueos, conflictos y archivos duplicados.
Trazabilidad de cambios: ISO 27001 exige saber quién cambió qué, cuándo y por qué. Excel registra el "última modificación", pero no quién aprobó la nueva versión, qué versión anterior reemplazó, ni si los lectores autorizados volvieron a leer y firmar el documento.
Evidencias dispersas: las pruebas de que un control funciona (logs, capturas, actas, correos, certificados de capacitación) terminan en correos, en el Drive de alguien o en pendrives. Cuando llega la auditoría, juntar todo toma semanas.
Esos cuatro problemas no son teóricos. Son la principal causa de no conformidades en auditorías de seguimiento en Chile.
Cuándo Excel deja de tener sentido
Hay cinco señales bastante claras. Si tu empresa cumple dos o más, llegó el momento de pasar a una plataforma:
- Más de una persona edita los documentos del SGSI en simultáneo.
- Tienes operaciones en más de una sede o equipo distribuido remoto.
- El alcance del SGSI cubre más de un proceso de negocio o más de 50 activos de información.
- Ya tuviste una observación o no conformidad por trazabilidad documental en una auditoría.
- Combinas ISO 27001 con otra norma como ISO 9001, ISO 50001 o cumplimiento bajo Ley 21.719.
Las empresas que cumplen tres de estas cinco y siguen en Excel pierden, según lo que vemos en el mercado, entre 200 y 400 horas al año del responsable del SGSI solo en tareas de búsqueda, consolidación y armado de evidencias para auditorías. Esas horas valen mucho más que cualquier licencia de software.
Qué tiene que tener un software de ISO 27001
No todas las plataformas valen lo mismo. Acá están las funciones que de verdad mueven la aguja, en orden de importancia:
Declaración de Aplicabilidad (SoA) viva, no un PDF estático. La SoA tiene que estar conectada con cada control: estado de implementación, evidencias asociadas, responsable, justificación de exclusión cuando aplique. Si actualizar un control implica editar tres documentos distintos, la herramienta no sirve.
Repositorio de evidencias vinculado a controles y a procesos. Cada evidencia debe estar etiquetada al control del Anexo A que respalda, con fecha y dueño. Cuando el auditor pide "muéstrame cómo evidencias el control A.5.15", la respuesta tiene que estar a un clic.
Gestión de no conformidades y acciones correctivas con fechas, responsables y estados. Sin esto, el ciclo PDCA se rompe y las observaciones se acumulan sin cerrar.
Programa de auditorías internas y externas con calendario, hallazgos, plan de acción y seguimiento. La cláusula 9.2 lo exige y es de las primeras cosas que pide el auditor.
Roles y permisos diferenciados: ejecutor, revisor, aprobador, lector. Sin RBAC real no hay forma de demostrar separación de funciones, que es un control crítico del Anexo A.
Trazabilidad y auditoría: log de quién hizo qué y cuándo, con sello de tiempo. Esto es lo que hace que la auditoría externa pase rápido en vez de transformarse en una semana de búsqueda.
Notificaciones y recordatorios: revisiones documentales que vencen, capacitaciones pendientes, controles sin evidencia reciente. Si la herramienta no avisa proactivamente, el sistema se degrada solo.
Si una plataforma no cubre las primeras cuatro funciones, no es un software de SGSI. Es un gestor documental con etiqueta de marketing.
Qué considerar al elegir en Chile
Tres criterios que en el mercado local marcan la diferencia entre una herramienta que se usa y una licencia que se abandona:
Que entienda el contexto chileno. Que la plataforma soporte el cruce con Ley 21.719 y Ley 21.663, no solo el estándar internacional. Las empresas chilenas que certifican ISO 27001 muchas veces lo hacen también porque necesitan demostrar cumplimiento legal local, y duplicar el trabajo en dos sistemas distintos es ineficiente.
Que esté pensado para PYME y empresa mediana. Las plataformas internacionales para corporaciones suelen ser caras, complejas y exigen tiempo de implementación que una pyme no tiene. Una herramienta calibrada al tamaño chileno típico ahorra meses de configuración.
Que el soporte hable tu idioma y tu zona horaria. Suena obvio, pero un soporte que responde en 48 horas desde Europa o Estados Unidos es prácticamente inútil cuando estás a 5 días de la auditoría.
La opción que armamos en FideliNorm
Construimos FideliNorm pensando exactamente en este vacío: una plataforma chilena para gestionar ISO 27001, ISO 50001 y cumplimiento bajo la Ley 21.719 sin tener que armar Frankenstein con planillas y herramientas internacionales caras.
Cubre la SoA conectada a controles, gestión documental con versiones y aprobaciones formales, evidencias vinculadas a cada control, no conformidades, auditorías internas, programa de capacitaciones con tests de comprensión y trazabilidad completa de cambios. Roles diferenciados, soporte en español, alojamiento en infraestructura confiable y precio pensado para el mercado chileno.
No funcionamos para todas las empresas. Si tienes 8 personas, todavía Excel te alcanza. Pero si ya estás cruzando los umbrales que vimos arriba o si tu equipo del SGSI está perdiendo días enteros buscando evidencias, vale la pena conversar.
¿Quieres ver cómo funciona FideliNorm con un caso parecido al tuyo? Pídenos una demo y revisamos juntos si es la herramienta correcta para tu SGSI.
Cumplimiento normativo en tu correo, una vez al mes.
Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.
Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.
¿Necesitas certificar ISO 50001 en tu empresa?
En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.
Solicitar una consulta →