¿Cuánto cuesta implementar y certificar la ISO 27001?

Respuesta directa

Implementar y certificar la ISO 27001 cuesta entre R$ 80 mil y R$ 600 mil, según el tamaño de la organización. Las empresas pequeñas (hasta 50 colaboradores) quedan en el rango de R$ 80 mil a R$ 180 mil; las medianas (50-500 colaboradores), entre R$ 180 mil y R$ 350 mil; y las grandes organizaciones, por encima de R$ 350 mil. El ciclo completo —del gap assessment a la emisión del certificado— lleva típicamente de 6 a 12 meses.

En resumen

  • El costo total se compone de cuatro grandes bloques: consultoría de implementación, herramientas y controles técnicos, horas internas del equipo y auditoría de certificación por un organismo acreditado.
  • La ISO 27001:2022 revisó el Anexo A a 93 controles (eran 114 en la edición de 2013), organizados en cuatro temas: organizacionales, de personas, físicos y tecnológicos.
  • El gap assessment es la etapa inicial más crítica: las organizaciones sin un SGSI (Sistema de Gestión de Seguridad de la Información) estructurado tienden a tener proyectos un 40-60% más largos y caros.
  • El mantenimiento anual y la recertificación cada tres años representan un costo recurrente relevante — en general, del 20% al 35% de la inversión inicial.
  • Las horas internas de los colaboradores (líder del proyecto, TI, jurídico, RR. HH.) suelen subestimarse y pueden representar del 30% al 50% del esfuerzo total medido en horas-hombre.
  • Elegir un organismo de certificación acreditado por el INMETRO (en Brasil) o por miembros del IAF es requisito para que el certificado sea reconocido internacionalmente.

Qué compone el costo de la ISO 27001

La certificación ISO 27001 no es un producto de estantería: es el resultado de un proyecto de gestión que involucra diagnóstico, implementación de controles, documentación, capacitación y auditoría independiente. Ignorar cualquiera de esas capas es la principal razón por la que las organizaciones llegan a la auditoría de certificación sin preparación y necesitan posponer el proceso.

Los costos se distribuyen en cuatro grandes bloques: (1) consultoría especializada de implementación, que guía a la organización desde el gap assessment hasta la auditoría; (2) herramientas y controles técnicos, como plataformas de GRC, soluciones de monitoreo, cifrado, backup y gestión de vulnerabilidades; (3) horas internas, el tiempo que los colaboradores de las áreas de TI, jurídico, RR. HH. y liderazgo dedican al proyecto; y (4) la propia auditoría de certificación, dividida en Estágio 1 (análisis documental) y Estágio 2 (auditoría in situ), ejecutada por un organismo acreditado.

Además del ciclo inicial, la norma exige auditorías de vigilancia anuales y una recertificación completa al cabo de tres años, costos que deben entrar en la planificación financiera desde el inicio del proyecto.

Tabla de ítems de costo por tamaño de empresa

La tabla a continuación presenta los rangos de mercado practicados en Brasil en 2024-2025. Los valores son estimaciones de referencia con base en benchmarks públicos, proyectos nacionales y cotizaciones típicas de organismos certificadores. Cada proyecto tiene sus particularidades: alcance del SGSI, número de localidades, complejidad regulatoria y madurez previa de la organización.

| Ítem de costo | Empresa pequeña (≤50 col.) | Empresa mediana (51-500 col.) | Empresa grande (>500 col.) | |---|---|---|---| | Gap assessment | R$ 8.000–18.000 | R$ 18.000–40.000 | R$ 40.000–90.000 | | Consultoría de implementación | R$ 30.000–80.000 | R$ 80.000–180.000 | R$ 180.000–400.000 | | Herramientas y controles técnicos | R$ 10.000–30.000/año | R$ 30.000–80.000/año | R$ 80.000–200.000/año | | Horas internas (estimación costo de oportunidad) | R$ 15.000–40.000 | R$ 40.000–90.000 | R$ 90.000–250.000 | | Auditoría de certificación (Estágios 1 y 2) | R$ 15.000–30.000 | R$ 30.000–60.000 | R$ 60.000–120.000 | | Mantenimiento anual (vigilancia + recertificación) | R$ 12.000–25.000/año | R$ 25.000–55.000/año | R$ 55.000–130.000/año | | **Total estimado (ciclo inicial)** | **R$ 80.000–180.000** | **R$ 180.000–350.000** | **R$ 350.000–600.000+** |

Valores en reales (BRL). Las herramientas open-source y el reaprovechamiento de controles ya existentes pueden reducir significativamente los costos de tecnología. Las organizaciones con certificaciones anteriores (SOC 2, PCI DSS, ISO 9001) tienden a tener menor esfuerzo de implementación.

Gestión de Amenazas · Gratis

Descubre exactamente dónde está tu empresa en relación con los 93 controles de la ISO 27001:2022: haz ahora un diagnóstico gratuito con los especialistas de Decripte.

Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.

Qué encarece el proyecto de certificación

Varios factores elevan el costo y el plazo más allá de los rangos típicos. El principal es la ausencia de madurez previa en gestión de seguridad: las organizaciones sin políticas documentadas, sin inventario de activos y sin procesos de gestión de riesgos parten prácticamente de cero, lo que amplía el alcance de la consultoría y las horas internas.

Múltiples localidades o unidades de negocio aumentan el alcance de la auditoría de certificación: cada localización adicional implica días de auditoría adicionales cobrados por el organismo certificador. Lo mismo vale para los entornos de nube híbrida o multicloud: los controles deben mapearse y evidenciarse en cada proveedor.

Los sectores con obligaciones regulatorias superpuestas (financiero con BACEN, salud con LGPD y CFM, defensa) exigen atención especial al mapeo de requisitos legales —ítem obligatorio de la ISO 27001—, lo que extiende el trabajo jurídico y de compliance. La rotación de personal durante el proyecto es otro factor silencioso: cambiar al líder del SGSI a mitad de camino puede atrasar la certificación en meses.

Por fin, los organismos certificadores internacionales con presencia global (BSI, Bureau Veritas, DNV, SGS, TÜV) suelen cobrar más que las certificadoras nacionales, pero ofrecen un reconocimiento más amplio en cadenas de suministro globales.

La ISO 27001:2022 y el Anexo A revisado

La edición vigente de la norma es la ISO/IEC 27001:2022, publicada en octubre de 2022 y adaptada por la ABNT como ABNT NBR ISO/IEC 27001:2023. Las organizaciones certificadas en la versión 2013 tienen plazo hasta octubre de 2025 para migrar; los proyectos iniciados hoy deben necesariamente seguir la versión 2022.

El principal cambio está en el Anexo A: los controles se reorganizaron de 14 cláusulas y 114 controles a 4 temas y 93 controles. Los cuatro temas son: controles organizacionales (37), controles de personas (8), controles físicos (14) y controles tecnológicos (34). Once controles son completamente nuevos en la edición 2022, incluyendo inteligencia de amenazas, seguridad en servicios de nube, continuidad de TIC, monitoreo de actividades físicas y gestión de configuración.

La estructura de alto nivel (Annex SL / Harmonized Structure) se mantuvo, lo que facilita la integración con otras normas ISO de gestión, como la ISO 9001 y la ISO 22301. A efectos de presupuesto, la migración de 2013 a 2022 generalmente representa el 20-40% del esfuerzo del proyecto original, según el grado de actualización de los controles existentes.

Gestión de Amenazas · Gratis

Sin tarjeta, sin compromiso — entiende tu riesgo real antes de invertir.

Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.

Plazo típico y fases del proyecto

El ciclo completo de implementación y certificación lleva típicamente de 6 a 12 meses para empresas pequeñas y medianas con apoyo de consultoría dedicada. Las grandes organizaciones o los entornos de alta complejidad pueden llevar de 12 a 18 meses. Los intentos de comprimir el plazo por debajo de 6 meses suelen resultar en no conformidades identificadas en la auditoría de Estágio 2.

El plazo está fuertemente influenciado por el ritmo de aprobación interna de políticas, por la disponibilidad de los gerentes de área para entrevistas y por la velocidad de implementación de los controles técnicos. Tener un líder de proyecto dedicado —aunque sea parcialmente— es el factor individual con mayor impacto positivo en el plazo.

La auditoría de Estágio 1 puede conducirse de forma remota en muchos casos, lo que reduce los costos de desplazamiento. El Estágio 2 normalmente exige la presencia del auditor en las instalaciones, salvo excepciones acordadas con el organismo certificador.

Cómo reducir costos sin comprometer la certificación

La primera palanca de ahorro es el gap assessment bien hecho: conocer exactamente dónde está la organización en relación con los 93 controles del Anexo A permite priorizar esfuerzos y evitar trabajo innecesario. Las organizaciones que se saltan esa etapa para ahorrar invariablemente descubren lagunas críticas demasiado tarde, en el peor momento.

La segunda palanca es el reaprovechamiento de controles existentes. Las empresas con políticas de RR. HH. estructuradas, gestión de proveedores documentada y procesos de backup ya en operación tienen parte del trabajo hecha. Un buen consultor mapea esas evidencias antes de proponer nuevos documentos.

La tercera palanca es la elección criteriosa de herramientas. Las plataformas de GRC open-source (como Eramba o ISMS.online en nivel de entrada) pueden sustituir soluciones Enterprise caras cuando el alcance es limitado. Para los controles técnicos, las herramientas ya contratadas —como las suites de Microsoft 365 con funciones de DLP y protección de identidad— frecuentemente cubren decenas de controles del Anexo A sin costo adicional.

Por fin, negociar el alcance del SGSI antes de empezar es fundamental. La norma permite delimitar el alcance a la unidad de negocio, al producto o al proceso que necesita certificarse; no es obligatorio certificar toda la organización. Un alcance menor reduce el costo de auditoría y la complejidad de implementación, y puede expandirse en ciclos subsecuentes.

Términos clave

SGSI
Sistema de Gestión de Seguridad de la Información. Conjunto de políticas, procesos, procedimientos, controles y recursos que una organización establece para proteger su información. La ISO 27001 especifica los requisitos para implementar, mantener y mejorar continuamente un SGSI.
Gap Assessment
Diagnóstico inicial que compara el estado actual de la organización con los requisitos de la ISO 27001. Identifica las lagunas (gaps) entre lo que existe y lo que es necesario, generando un plan de trabajo priorizado. Es el punto de partida de cualquier proyecto de certificación.
Organismo de Certificación Acreditado
Entidad independiente autorizada a auditar y emitir certificados ISO 27001. En Brasil, los organismos son acreditados por el INMETRO (miembro del IAF — International Accreditation Forum). Los certificados emitidos por organismos no acreditados no tienen reconocimiento internacional.
Anexo A
Parte normativa de la ISO 27001 que lista los controles de seguridad de la información que la organización debe considerar al tratar riesgos. En la versión 2022, contiene 93 controles organizados en cuatro temas: organizacionales, de personas, físicos y tecnológicos.

Cómo decidir y contratar bien

  1. Define el alcance del SGSI. Determina qué unidades de negocio, procesos, localidades y sistemas estarán dentro del SGSI. Un alcance bien definido evita la expansión descontrolada del proyecto y reduce el costo de la auditoría de certificación.
  2. Realiza el gap assessment. Contrata a un consultor especializado o utiliza un cuestionario basado en los 93 controles del Anexo A de la ISO 27001:2022 para mapear el estado actual de la organización. El resultado es una lista priorizada de lagunas y un plan de proyecto con una estimación de esfuerzo y costo.
  3. Implementa los controles y la documentación. Ejecuta el plan de trabajo: desarrolla las políticas, los procedimientos y los planes exigidos por la norma; implementa controles técnicos; conduce capacitaciones de concienciación; y establece procesos de gestión de riesgos, gestión de activos y respuesta a incidentes.
  4. Conduce auditorías internas. Realiza al menos un ciclo completo de auditoría interna antes de la auditoría de certificación. El objetivo es identificar no conformidades y oportunidades de mejora con tiempo suficiente para corregirlas. La norma exige evidencias de auditorías internas conducidas por personal competente e imparcial.
  5. Elige el organismo certificador y agenda la auditoría de Estágio 1. Solicita propuestas de al menos dos organismos acreditados por el INMETRO (o miembros del IAF para reconocimiento internacional). El Estágio 1 es una revisión documental: el auditor verifica si la documentación del SGSI está completa y si la organización está lista para el Estágio 2.
  6. Pasa por la auditoría de Estágio 2 (certificación). El auditor visita las instalaciones (o conduce sesiones remotas para parte del alcance) y verifica si los controles documentados están efectivamente implementados y operando. Las no conformidades mayores impiden la certificación; las no conformidades menores deben tratarse dentro de un plazo acordado.
  7. Mantén el ciclo de mejora continua. Tras la emisión del certificado, el SGSI necesita mantenerse y mejorarse continuamente. Las auditorías de vigilancia anuales verifican que el sistema esté operando. Al cabo de tres años, es necesaria una auditoría de recertificación completa para renovar el certificado. Planifica esos costos en el presupuesto anual de seguridad.

Preguntas frecuentes

¿Cuánto tiempo lleva conseguir la certificación ISO 27001?

Para empresas pequeñas y medianas con apoyo de consultoría, el plazo típico es de 6 a 12 meses a partir del inicio del proyecto. Las grandes organizaciones o los entornos de alta complejidad pueden llevar de 12 a 18 meses. El principal factor de atraso es la demora en la aprobación interna de políticas y en la implementación de los controles técnicos.

¿Es obligatorio contratar consultoría externa para certificar la ISO 27001?

No es obligatorio, pero es fuertemente recomendado para la mayoría de las organizaciones. La consultoría externa aporta experiencia en proyectos anteriores, conocimiento de las exigencias de los auditores y una aceleración significativa del proceso. Las organizaciones con un equipo interno muy experimentado en SGSI pueden conducir el proyecto internamente, pero aun así deben contratar auditores externos para las auditorías internas y de certificación.

¿El certificado ISO 27001 tiene plazo de validez?

Sí. El certificado ISO 27001 es válido por tres años, sujeto a auditorías de vigilancia anuales. Si las auditorías de vigilancia identifican no conformidades no resueltas o si la organización deja deteriorar el SGSI, el certificado puede ser suspendido o retirado antes del plazo de tres años.

¿Cuál es la diferencia entre la ISO 27001:2013 y la ISO 27001:2022?

La principal diferencia está en el Anexo A: la versión 2022 reduce los controles de 114 a 93, los reorganiza en cuatro temas (organizacionales, de personas, físicos y tecnológicos) y agrega 11 controles nuevos relacionados con temas como inteligencia de amenazas, seguridad en la nube y continuidad de TIC. La estructura de los requisitos principales (cláusulas 4 a 10) también fue actualizada a la Harmonized Structure más reciente. Los certificados emitidos bajo la versión 2013 necesitan migrar a la versión 2022 hasta octubre de 2025.

¿Puedo certificar solo una parte de la empresa y no toda la organización?

Sí. La ISO 27001 permite que la organización defina el alcance del SGSI de forma bastante flexible: puede ser un producto, un servicio, una unidad de negocio o un conjunto de procesos. El certificado emitido dejará claro el alcance certificado. Esta es una estrategia legítima y común para reducir costos y complejidad, especialmente en organizaciones grandes que quieren certificar primero el área más crítica.

¿Cuál es la diferencia entre ISO 27001 y SOC 2?

La ISO 27001 es una norma internacional (ISO/IEC) que resulta en un certificado emitido por un organismo acreditado, con amplio reconocimiento global, especialmente en Europa y Asia. El SOC 2 es un framework de auditoría desarrollado por el AICPA, muy exigido por empresas estadounidenses y del mercado SaaS B2B. Ambos tienen una superposición significativa de controles, y muchas organizaciones buscan los dos. Para el mercado brasileño y europeo, la ISO 27001 tiende a ser más valorada.

Referencias

Cómo lo resuelve Decripte

Del diagnóstico gratuito al servicio gestionado — elige el punto de entrada correcto.

Descubre exactamente dónde está tu empresa en relación con los 93 controles de la ISO 27001:2022: haz ahora un diagnóstico gratuito con los especialistas de Decripte.

Empieza gratis con la Gestión de Amenazas y descubre qué ya está expuesto. Evoluciona a los planes gestionados cuando tenga sentido — sin montar un equipo interno.