Descripción General
¿Qué es el ISO 27001 Gap Assessment?
El ISO 27001 Gap Assessment es una evaluación estructurada que compara el estado actual de la seguridad de la información en tu organización contra los requisitos de la norma ISO/IEC 27001:2022 — el estándar internacional de gestión de seguridad de la información. El resultado es un mapa detallado de las brechas existentes: qué controles faltan, cuáles están parcialmente implementados y cuáles ya cumplen con la norma, junto con una hoja de ruta para cerrar esas brechas y avanzar hacia la certificación.
La versión 2022 de la norma introdujo cambios significativos respecto a la versión 2013: nueva estructura de controles, énfasis en gestión de amenazas de inteligencia, seguridad en la nube y continuidad del negocio digital. Organizaciones que trabajaron con la versión anterior necesitan un análisis diferencial específico para la actualización.
¿Por qué certificarse en ISO 27001?
La certificación ISO 27001 es cada vez más exigida como requisito en licitaciones públicas (OSCE), contratos con empresas multinacionales, auditorías de la SBS para proveedores tecnológicos del sector financiero y procesos de due diligence en fusiones y adquisiciones. Más allá del requisito externo, implementar un SGSI bajo ISO 27001 reduce materialmente el riesgo de incidentes, mejora la eficiencia operativa en seguridad y demuestra al mercado un nivel de madurez diferenciador.
¿Quién lo necesita?
- Organizaciones que quieren certificarse en ISO 27001 y necesitan saber cuánto les falta
- Empresas que ya tienen ISO 27001:2013 y deben migrar a la versión 2022
- Proveedores de servicios tecnológicos cuyos clientes exigen certificación
- Empresas en proceso de licitación pública que requieren acreditar SGSI
- Organizaciones del sector financiero supervisadas por la SBS que deben demostrar madurez en seguridad
- Empresas que han sufrido incidentes y necesitan una evaluación objetiva de su postura de seguridad
- Directorios que requieren una evaluación independiente del nivel de seguridad de la organización
¿Qué evalúa el Gap Assessment?
Cláusulas 4 a 10 de la norma — Evaluación del contexto organizacional, liderazgo y compromiso de la dirección, planificación de riesgos, soporte, operación, evaluación del desempeño y mejora continua del SGSI.
Anexo A — 93 controles ISO 27001:2022 — Evaluación del estado de implementación de cada uno de los 93 controles del Anexo A, agrupados en 4 dominios: controles organizacionales, controles de personas, controles físicos y controles tecnológicos.
Nuevos controles de la versión 2022 — Evaluación específica de los 11 controles nuevos introducidos en la versión 2022, incluyendo inteligencia de amenazas, seguridad en la nube, continuidad de las TIC, monitoreo de seguridad web y gestión de configuración.
Gestión de riesgos — Revisión de la metodología de evaluación y tratamiento de riesgos, el registro de riesgos activo y la alineación con el apetito de riesgo definido por la dirección.
Documentación obligatoria — Verificación de la existencia y adecuación de los documentos y registros obligatorios que exige la norma: política de seguridad, declaración de aplicabilidad, plan de tratamiento de riesgos, objetivos de seguridad y procedimientos operativos clave.
