Ya tienes varias cotizaciones sobre la mesa. Tal vez dos o tres casas certificadoras ISO 27001 en México te han enviado propuestas y los precios varían más de lo que esperabas. ¿Cómo saber cuál elegir? El certificado ISO 27001 es el mismo sin importar quién lo emita, pero la experiencia de certificarte y lo que obtienes en el proceso puede ser radicalmente diferente. En esta guía te damos los criterios concretos para evaluar a tu futura certificadora y las preguntas que deberías hacer antes de firmar.
Puntos clave
- La acreditación es innegociable: sin ella, tu certificado no tiene reconocimiento internacional
- Experiencia en tu sector es más valiosa que el nombre o tamaño de la certificadora
- El modelo de trabajo importa: pregunta si solo auditan o también te acompañan en la implementación
- Los tiempos varían mucho: de 4 meses a más de 12, según la certificadora y su modelo
- Haz 10 preguntas clave antes de decidir (las listamos abajo)
¿Qué es una casa certificadora y qué hace exactamente?
Una casa certificadora (el término técnico es "organismo de certificación" u OC) es una entidad independiente que evalúa si tu Sistema de Gestión de Seguridad de la Información cumple con ISO 27001. Si pasas la auditoría, te emite un certificado con validez internacional.
Es importante distinguir entre tres actores que participan en el ecosistema de certificación:
- Consultoras: Te ayudan a implementar el sistema de gestión. No emiten certificados.
- Organismos de certificación: Auditan tu sistema y emiten el certificado si cumples.
- Organismos de acreditación: Supervisan a las certificadoras para garantizar que hacen su trabajo correctamente.
Tradicionalmente, tú contratabas primero a una consultora, luego a una certificadora. Eran dos procesos separados. Hoy existen modelos donde el organismo de certificación te acompaña desde la implementación hasta la emisión del certificado, en un solo paquete.
Por qué la acreditación es el primer filtro
Antes de evaluar precios, tiempos o experiencia, verifica una sola cosa: ¿la certificadora está acreditada?
La acreditación es la garantía de que el organismo de certificación opera bajo estándares internacionales (ISO/IEC 17021-1 e ISO/IEC 27006 para ISO 27001). Sin acreditación, tu certificado es un papel sin valor real.
Cómo verificar la acreditación
- Pide el número de acreditación: Toda certificadora acreditada tiene un número asignado por su organismo de acreditación.
- Verifica en el sitio del organismo de acreditación: Consulta el directorio público de organismos acreditados en el sitio de tu organismo de acreditación nacional o en el directorio del IAF.
- Confirma el alcance: No basta con estar acreditado. La acreditación debe incluir específicamente ISO 27001 (ISO/IEC 27001:2022).
- Reconocimiento IAF: Asegúrate de que la acreditación tenga reconocimiento del International Accreditation Forum. Esto garantiza que tu certificado sea válido en cualquier país.
| Característica | Certificadora acreditada | Certificadora no acreditada |
|---|---|---|
| Reconocimiento internacional | Sí, a través de IAF MLA | No |
| Supervisión externa | Auditorías periódicas del organismo de acreditación | Ninguna |
| Auditores calificados | Requisitos de competencia verificados | Sin verificación externa |
| Validez para clientes corporativos | Aceptado universalmente | Puede ser rechazado |
| Validez para licitaciones | Cumple requisitos legales | Puede no cumplir |
7 criterios para evaluar una certificadora ISO 27001
Una vez que confirmas la acreditación, estos son los criterios que deberían guiar tu decisión:
1. Experiencia en tu sector
No es lo mismo auditar una empresa manufacturera que una empresa de tecnología. Los riesgos de seguridad de la información son completamente diferentes. Pregunta cuántas empresas de tu giro han certificado. Una certificadora con experiencia en SaaS, fintech o empresas de tecnología entenderá mejor tu contexto y hará la auditoría más eficiente.
2. Modelo de trabajo
Este es el diferenciador más grande entre certificadoras. Algunas solo auditan: tú llegas con tu SGSI listo y ellos lo evalúan. Otras te acompañan desde la implementación. El modelo que elijas impacta directamente en costos, tiempos y probabilidad de éxito en la primera auditoría.
3. Perfil de los auditores
Los auditores son quienes realmente hacen la diferencia. Un auditor con experiencia en tecnología hará preguntas relevantes y entenderá tus controles técnicos. Un auditor generalista puede perderse en detalles irrelevantes y pasar por alto lo importante. Pregunta si puedes conocer el perfil del auditor asignado antes de la auditoría.
4. Tiempos de respuesta
¿Cuánto tardan en programar tu auditoría una vez que estás listo? Algunas certificadoras grandes tienen calendarios saturados y pueden hacerte esperar 2-3 meses. Eso retrasa todo tu proyecto. Pregunta cuál es su disponibilidad típica y si pueden ajustarse a tus fechas.
5. Transparencia en costos
La cotización debe incluir todo: días de auditoría, viáticos (si aplica), costos de emisión del certificado, auditorías de seguimiento y recertificación. Las sorpresas financieras a medio proceso son señal de una certificadora poco profesional. Revisa la comparativa de costos ISO 27001 para tener un marco de referencia.
6. Soporte post-certificación
La certificación no termina cuando recibes el certificado. Durante los siguientes 3 años tendrás auditorías de seguimiento, y tu equipo puede tener dudas sobre mantenimiento del SGSI. Una buena certificadora ofrece canales de comunicación claros y soporte continuo.
7. Reputación y referencias
Pide referencias de empresas similares a la tuya que hayan certificado con ellos. Habla directamente con los responsables del proyecto en esas empresas. Pregunta sobre la experiencia real: ¿fue fluido el proceso? ¿Los auditores fueron profesionales? ¿Hubo problemas inesperados?
Tipos de certificadoras en el mercado mexicano
En México operan diferentes tipos de organismos de certificación ISO 27001. Conocerlos te ayuda a entender qué esperar de cada uno:
| Tipo | Ventajas | Desventajas | Ideal para |
|---|---|---|---|
| Multinacionales grandes | Marca reconocida, presencia global | Procesos rígidos, tiempos largos, costos altos | Corporativos que necesitan una marca global en el certificado |
| Certificadoras nacionales tradicionales | Conocimiento del mercado mexicano, precios competitivos | Solo auditan, no acompañan implementación | Empresas que ya tienen su SGSI implementado |
| Certificadoras con modelo integrado | Implementación + certificación, tiempos cortos, costo total menor | Menos opciones disponibles | Empresas que van de cero a certificado |
10 preguntas que debes hacer antes de contratar
Lleva esta lista a tu próxima reunión con cualquier casa certificadora ISO 27001. Las respuestas te dirán mucho más que el precio:
- ¿Cuál es su número de acreditación y por quién están acreditados? Verifica que incluya ISO 27001.
- ¿Cuántas empresas de tecnología/mi sector han certificado en ISO 27001? La experiencia sectorial es clave.
- ¿Quién será mi auditor y cuál es su experiencia? Pide CV o perfil profesional.
- ¿Cuál es el tiempo estimado desde el inicio hasta la emisión del certificado? Compara con el benchmark de 4-6 meses (integrado) vs. 8-12 meses (tradicional).
- ¿La cotización incluye todo o hay costos adicionales? Pregunta específicamente por viáticos, emisión del certificado y seguimientos.
- ¿Qué pasa si la auditoría detecta no conformidades mayores? Entiende el proceso de seguimiento y costos asociados.
- ¿Me ayudan con la implementación o solo con la auditoría? Si necesitas acompañamiento, esto es decisivo.
- ¿Cómo son las auditorías de seguimiento de los años 2 y 3? Entiende el compromiso a largo plazo.
- ¿Puedo ver ejemplos de informes de auditoría? La calidad del informe refleja la calidad de la auditoría.
- ¿Qué canal de comunicación tendré durante el proceso? Pregunta si hay un punto de contacto dedicado o si es un call center genérico.
El modelo ONCE: implementación y certificación en un paquete
En ONCE México somos un organismo de certificación acreditado con un modelo que rompe con lo tradicional. En lugar de que contrates una consultora para implementar y luego nos busques para auditar, te acompañamos desde el diagnóstico inicial hasta la emisión del certificado.
Esto no significa que hagamos la implementación por ti. Significa que nuestro equipo técnico te orienta en cada paso, asegurándose de que lo que construyes cumple con lo que la auditoría va a evaluar. No hay desconexión entre lo que implementas y lo que se audita.
¿Por qué funciona mejor para empresas de tecnología?
- Auditores con experiencia en TI: Nuestro equipo entiende infraestructura cloud, desarrollo de software, DevOps y los riesgos específicos del sector.
- Tiempos reales: 4-6 meses de cero a certificado, no 12 meses con tiempos muertos.
- Un solo interlocutor: No coordinas entre consultora y certificadora. Todo está integrado.
- Costo total menor: Al eliminar al intermediario, la inversión total baja entre 30% y 40% vs. el modelo tradicional.
- Presencia en CDMX, Estado de México y Querétaro: Auditorías presenciales sin viáticos excesivos.
Con más de 38 empresas certificadas, hemos trabajado con startups SaaS, fintechs, empresas de desarrollo de software y compañías de servicios de TI que necesitaban ISO 27001 para cerrar contratos con clientes corporativos o expandirse internacionalmente.
Errores comunes al elegir certificadora
Estos son los errores que vemos repetirse entre empresas que eligen su primera certificadora ISO 27001:
- Elegir solo por precio: La certificadora más barata puede costarte más si la auditoría es deficiente y tu certificado es cuestionado por clientes.
- No verificar la acreditación: Suena básico, pero hay empresas que descubren tarde que su certificado no tiene reconocimiento internacional.
- Ignorar la experiencia sectorial: Un auditor que nunca ha visto un entorno cloud va a hacer preguntas irrelevantes y pasar por alto riesgos reales.
- No preguntar por los auditores: Firmas un contrato con la certificadora, pero quien hace la auditoría es un profesional específico. Su perfil importa.
- Subestimar el soporte post-certificación: Los 3 años del ciclo de certificación requieren seguimiento. Una certificadora que desaparece después de emitir el certificado te deja solo.
- Confundir certificadora con consultora: Si necesitas ayuda con la implementación, asegúrate de que tu proveedor pueda ofrecerla. Contratar una certificadora que solo audita cuando no tienes SGSI es tirar el dinero.
¿Ya tienes certificado y quieres cambiar de certificadora?
Si tu empresa ya está certificada en ISO 27001 pero no estás satisfecho con tu certificadora actual, puedes transferir la certificación. El proceso es más sencillo de lo que piensas:
- Contacta a la nueva certificadora: Explica que quieres transferir tu certificación existente.
- Comparte documentación: Proporciona tu certificado actual, el último informe de auditoría y evidencia de que tu SGSI está activo.
- Auditoría de transferencia: La nueva certificadora realiza una evaluación para validar que tu sistema cumple.
- Emisión del nuevo certificado: Si todo está en orden, recibes un nuevo certificado que mantiene la continuidad del ciclo.
La transferencia es particularmente útil cuando sientes que tu certificadora actual no aporta valor, los tiempos de respuesta son malos o los auditores no entienden tu negocio. No estás atado a un proveedor para siempre.
Preguntas frecuentes
¿Qué es una casa certificadora ISO 27001?
Es un organismo de certificación independiente y acreditado que evalúa si tu Sistema de Gestión de Seguridad de la Información cumple con los requisitos de ISO 27001. Tras aprobar la auditoría, emite un certificado con validez internacional reconocido por el IAF.
¿Cómo verifico que una certificadora está acreditada?
Solicita el número de acreditación y verifícalo directamente en el sitio del organismo de acreditación correspondiente o en el directorio del IAF. Confirma que el alcance de la acreditación incluye específicamente ISO/IEC 27001:2022.
¿Una certificadora puede ayudarme a implementar ISO 27001?
Algunos organismos como ONCE México ofrecen un modelo integrado donde te acompañan desde la implementación hasta la certificación en un solo paquete. Esto reduce tiempos, costos y el riesgo de desconexión entre lo que implementas y lo que se audita.
¿Todas las certificadoras ISO 27001 son iguales?
No. Aunque el certificado cumple con la misma norma, las certificadoras varían significativamente en experiencia sectorial, modelo de trabajo, tiempos de respuesta, calidad de auditores y costos. Evalúa estos factores más allá del precio.
¿Puedo cambiar de certificadora sin perder mi certificación?
Sí. Puedes transferir tu certificación a otro organismo acreditado. La nueva certificadora realizará una auditoría de transferencia para validar que tu SGSI cumple. No necesitas empezar de cero ni perder la continuidad del ciclo de certificación.
¿Buscas una certificadora ISO 27001 que entienda tu negocio?
En ONCE México somos un organismo de certificación acreditado con experiencia en empresas de tecnología. Te llevamos de cero a certificado en 4-6 meses. Solicita tu diagnóstico gratuito.