Blog
Compliance · Argentina 10 Jul 2026 Karen Collante

Cómo elegir empresa para certificar ISO 27001
en Argentina (2026).

Certificar ISO 27001 implica dos contrataciones distintas que suelen confundirse: la consultora que implementa el sistema de gestión y el organismo independiente que lo audita y certifica. Elegir mal a la primera cuesta meses de retrabajo; elegir mal al segundo puede dejar a su organización con un certificado que ningún cliente serio va a aceptar. Esta guía explica quién hace qué, cuáles son los criterios que separan a las mejores empresas de ISO 27001 en Argentina, cuánto cuesta y cuánto tarda el proceso de forma realista en 2026, y qué señales descartan a un proveedor antes de firmar.

Por qué ISO 27001 pasó de diferencial a requisito comercial en Argentina

ISO/IEC 27001:2022 es la norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). No certifica una herramienta ni una configuración técnica: certifica que la organización gestiona sus riesgos de información con un sistema auditable y en mejora continua.

La demanda de la certificación creció de forma abrupta. Según el ISO Survey publicado a través de IAF CertSearch, la cantidad de certificados ISO/IEC 27001 vigentes en el mundo casi se duplicó entre 2023 y 2024, pasando de 48.671 a 96.709. Detrás de ese salto hay un cambio de comportamiento de los compradores: la seguridad de la información dejó de evaluarse con cuestionarios informales y pasó a exigirse con evidencia de terceros.

En Argentina, tres factores empujan esa exigencia. Primero, el sector financiero: las entidades reguladas por el BCRA trasladan requisitos de gestión de riesgo tecnológico a sus proveedores, y las fintech que aspiran a operar con bancos encuentran en ISO 27001 la forma más directa de demostrar madurez. Segundo, la exportación de software y servicios: los clientes del exterior piden certificación como condición de contratación o como parte de su gestión de riesgo de terceros. Tercero, el marco local de protección de datos — la Ley 25.326 y las medidas de seguridad recomendadas por la AAIP — que convierte al SGSI en una manera ordenada de sostener el cumplimiento.

En síntesis: la pregunta ya no es si certificar, sino con quién y en qué plazo.

¿Quién hace qué? Consultora, organismo certificador y plataforma GRC

La diferencia central es esta: la consultora implementadora construye y prepara el SGSI, mientras que el organismo certificador — independiente por definición — lo audita y emite el certificado. Nunca pueden ser la misma empresa. A ese dúo se suma un tercer actor opcional: la plataforma de GRC (Gobierno, Riesgo y Cumplimiento), el software donde viven los riesgos, controles, políticas y evidencias.

Actor Qué hace Entregable Cuándo contratarlo
Consultora implementadora Gap analysis, definición de alcance, análisis de riesgos, diseño de controles, documentación, capacitación y auditoría interna SGSI operativo y listo para auditoría Al inicio del proyecto
Organismo de certificación Auditoría de certificación en dos etapas, auditorías de seguimiento anuales y recertificación Certificado ISO/IEC 27001 acreditado Cuando el SGSI ya operó y generó evidencia
Plataforma GRC Centraliza riesgos, controles, políticas, tareas y evidencias; automatiza seguimiento Repositorio único y trazable del programa Idealmente desde la implementación

En Argentina, el organismo certificador local de referencia es IRAM, y también operan organismos internacionales con presencia regional. Lo que importa no es la nacionalidad del organismo sino su acreditación: debe estar acreditado por un miembro del acuerdo multilateral de IAF (como el Organismo Argentino de Acreditación, UKAS o ANAB) para que el certificado tenga reconocimiento internacional.

Conclusión de la sección: antes de comparar propuestas, confirme qué rol cumple cada proveedor. Buena parte de las malas experiencias nace de esperar de una consultora lo que solo puede dar un certificador, o viceversa.

¿Qué criterios separan a las mejores empresas de ISO 27001?

Los siete criterios siguientes permiten comparar consultoras implementadoras con una vara objetiva. Cada uno es verificable en la etapa de propuesta, antes de firmar.

  1. Certificaciones del equipo consultor. Los consultores asignados — no solo los socios de la firma — deben acreditar credenciales como ISO 27001 Lead Implementer o Lead Auditor emitidas por organismos reconocidos (PECB, IRCA), idealmente complementadas con CISM o CISSP. Pida los nombres y credenciales de quienes van a trabajar en su proyecto.
  2. Experiencia sectorial documentada. Un SGSI para una fintech regulada por el BCRA no se parece a uno para una empresa de software que exporta a Europa. La consultora debe demostrar proyectos en su sector, con referencias contactables.
  3. Metodología con fases y entregables definidos. El camino estándar es: gap analysis, definición de alcance, análisis de riesgos, implementación de controles del Anexo A, capacitación, auditoría interna y acompañamiento en la certificación. Si la propuesta no explicita fases y entregables por fase, no hay forma de controlar el avance.
  4. Personalización real. Las plantillas aceleran, pero un SGSI copiado de otra organización falla en la auditoría y — peor — no gestiona los riesgos propios. Pregunte cómo se adapta la documentación a sus procesos y pida un ejemplo anonimizado.
  5. Transferencia de conocimiento. El SGSI lo opera su equipo, no la consultora. Las mejores propuestas incluyen capacitación de los responsables internos y dejan capacidad instalada, no dependencia.
  6. Soporte post-certificación. El certificado dura 3 años con auditorías de seguimiento anuales. Evalúe si el proveedor ofrece mantenimiento del SGSI, auditorías internas recurrentes y actualización ante cambios de la norma o del negocio.
  7. Independencia respecto del certificador. La consultora puede recomendar organismos de certificación, pero no puede ser el mismo actor ni tener incentivos cruzados. La elección final del certificador debe quedar en manos de su organización.

Un octavo criterio transversal: capacidad técnica propia. Varios controles del Anexo A requieren evidencia técnica — gestión de vulnerabilidades, pruebas de seguridad, monitoreo — y una consultora que solo produce documentos va a tercerizarla o a omitirla. Los equipos que combinan GRC con práctica ofensiva, como ejercicios de seguridad ofensiva y Red Team, cierran ese ciclo con evidencia propia.

Costos y plazos realistas en Argentina en 2026

El costo total de certificar tiene dos componentes que se contratan por separado: los honorarios de consultoría de implementación y el arancel del organismo de certificación, que se cotiza en días-auditor según el tamaño de la organización y el alcance declarado. A eso puede sumarse el licenciamiento de una plataforma GRC y los costos internos de horas de los responsables de procesos, que suelen subestimarse.

Los factores que más mueven el precio de la consultoría son cinco: el alcance del SGSI (procesos, sedes y sistemas incluidos), la madurez inicial de los controles, la cantidad de personal alcanzado, la necesidad de servicios técnicos complementarios (pruebas de penetración, hardening, monitoreo) y la modalidad de acompañamiento (proyecto cerrado versus soporte continuo).

Sobre plazos, en nuestra experiencia con organizaciones de Argentina y la región:

Tipo de organización Plazo típico hasta la auditoría de certificación Factor crítico
Chica, alcance acotado (un producto o unidad) 4 a 6 meses Disponibilidad del referente interno
Mediana, varios procesos 6 a 9 meses Madurez previa de controles
Grande o multi-sede 9 a 14 meses Coordinación entre áreas y sedes

Desconfíe de promesas de certificación en semanas: la auditoría requiere evidencia de que el SGSI operó — registros, revisiones, mediciones, auditoría interna — y esa evidencia solo se genera con tiempo de funcionamiento real.

Señales de alerta: cuándo descartar un proveedor

Estas seis señales, en nuestra experiencia, anticipan proyectos fallidos o certificados sin valor:

¿Cómo verificar que un certificado ISO 27001 es válido?

La verificación lleva minutos y debería ser práctica estándar en cualquier due diligence de proveedores. Los tres pasos son: 1) buscar el certificado en IAF CertSearch, la base global de certificados acreditados; 2) confirmar que el organismo emisor está acreditado por un miembro del acuerdo multilateral de IAF; y 3) leer el alcance (scope) del certificado, porque un certificado válido puede cubrir solo una unidad de negocio o un datacenter y no el servicio que usted está contratando.

Este mismo control aplica en espejo: cuando su organización certifique, sus clientes van a verificar lo mismo. Elegir un organismo acreditado no es un detalle administrativo, es lo que hace que el certificado valga.

¿Y si su empresa también opera en Chile, México o Colombia?

ISO 27001 funciona como base común, pero el driver regulatorio cambia por país y conviene tenerlo presente al definir el alcance del SGSI:

País Driver regulatorio principal Implicancia para el SGSI
Argentina Ley 25.326 / AAIP; BCRA para el sector financiero Controles de protección de datos y gestión de terceros
Chile Ley Marco de Ciberseguridad 21.663 y la ANCI Obligaciones reforzadas para servicios esenciales y OIV
México LFPDPPP; CNBV en banca; demanda de clientes de EE.UU. por nearshoring Frecuente combinación ISO 27001 + SOC 2
Colombia Ley 1581; Circular Externa 007 de la SuperFinanciera Exigencias de ciberseguridad en el sector financiero y BPO

Si el negocio es regional, diseñar el SGSI desde el inicio con alcance multi-país evita duplicar análisis de riesgos y documentación más adelante.

Preguntas frecuentes

¿Cuánto cuesta certificar ISO 27001 en Argentina?

No existe un precio único porque la certificación implica dos contratos separados: la consultoría de implementación y la auditoría de certificación. La consultoría varía según el alcance del SGSI, la madurez inicial de los controles, la cantidad de sedes y procesos incluidos y si se requieren servicios técnicos complementarios como pruebas de penetración. La auditoría de certificación se cotiza en días-auditor, que dependen del tamaño de la organización y del alcance declarado. Cualquier propuesta con precio cerrado emitida antes de definir el alcance debe tomarse como una señal de alerta.

¿Cuánto tarda una certificación ISO 27001?

En nuestra experiencia con organizaciones de Argentina y la región, una empresa chica con alcance acotado suele necesitar entre 4 y 6 meses desde el gap analysis hasta la auditoría de certificación; una empresa mediana, entre 6 y 9 meses; y una organización grande o multi-sede, entre 9 y 14 meses. El factor que más acelera el proyecto no es el tamaño del equipo consultor sino la madurez previa de los controles y la disponibilidad interna de los responsables de procesos.

¿Puede la misma empresa implementar y certificar ISO 27001?

No. La auditoría de certificación debe ser realizada por un organismo de certificación independiente y acreditado. Si la misma empresa que implementó el SGSI emitiera el certificado, existiría un conflicto de interés directo y el certificado carecería de valor frente a clientes, auditores de terceros y reguladores. Los organismos acreditados están obligados a mantener esa independencia como condición de su acreditación.

¿Qué es un gap analysis y por qué conviene empezar por ahí?

El gap analysis (análisis de brechas) compara el estado actual de los controles de la organización contra los requisitos de ISO/IEC 27001:2022 y los controles del Anexo A. El resultado es un mapa de qué existe, qué falta y qué debe corregirse, con prioridades. Empezar por ahí permite dimensionar el proyecto con datos reales: sin gap analysis, cualquier estimación de plazo o costo es una suposición. Varias consultoras lo ofrecen sin costo como primer paso del proyecto.

¿Conviene ISO 27001 o SOC 2?

Depende de quién exige la evidencia. ISO 27001 es una certificación internacional del sistema de gestión, ampliamente reconocida en Europa, Asia y América Latina. SOC 2 es una atestación sobre controles definida por AICPA, dominante cuando los clientes son empresas de Estados Unidos. La diferencia central es que ISO 27001 certifica el sistema de gestión completo, mientras que SOC 2 atesta la operación de controles en un período. Muchas empresas que exportan servicios terminan necesitando ambas, y conviene implementarlas sobre una misma base de controles para no duplicar esfuerzo.

¿Cada cuánto se renueva el certificado ISO 27001?

El certificado tiene una vigencia de 3 años, con auditorías de seguimiento anuales realizadas por el organismo certificador. Al finalizar el ciclo se realiza una auditoría de recertificación. Esto significa que el SGSI debe operar de forma continua: si la organización trató la certificación como un proyecto de una sola vez, los hallazgos de la primera auditoría de seguimiento suelen evidenciarlo.

Conclusión

Tres decisiones concentran el éxito del proyecto. Primero, separe roles: consultora implementadora y organismo certificador son actores distintos e independientes, y cualquier oferta que los mezcle se descarta. Segundo, compare consultoras con criterios verificables — credenciales del equipo asignado, experiencia en su sector, metodología con entregables, soporte post-certificación — y no con promesas de plazo. Tercero, empiece con un gap analysis: es la única forma de convertir "queremos certificar" en un plan con alcance, costo y fecha defendibles ante la dirección. Con esas tres decisiones tomadas, la certificación deja de ser una apuesta y pasa a ser un proyecto gestionable. El detalle de cómo encaramos ese acompañamiento está en nuestra página de servicios de GRC e implementación de ISO 27001.