Análisis honesto del TCO real: horas internas, consultor externo, retrabajo post-auditoría. Si después de leer esto sigues prefiriendo Excel, perfecto — no te vamos a vender nada.
No porque Excel sea malo. Sino porque ISO 27001:2022 exige 93 controles trazables, 4 procesos de revisión periódica, evidencia versionada y un SGSI vivo. Una hoja de cálculo no sostiene eso por más de 90 días sin colapsar.
CISO virtual o consultora local que arme las políticas y guíe la implementación. Tarifa típica Chile 2026.
≈ USD 5.000–10.000 a tarifa interna. Llenar matrices, recolectar evidencia manual, capturar screenshots, versionar.
Hallazgos comunes: evidencia obsoleta, controles sin owner, RACI inconsistente, falta trazabilidad de aprobaciones.
Costo de oportunidad: contratos con clientes B2B que exigen ISO 27001 se postergan o se pierden por timing.
TCO total año 1 con Excel: USD 12.000–30.000 · TCO con Vigía año 1: USD 6.300 (incluye setup + plataforma)
| Capacidad | Excel / Google Sheets | Vigía |
|---|---|---|
| /// Cobertura ISO 27001:2022 | ||
| 93 controles Annex A mapeados | Plantilla manual | ✓ Pre-mapeados |
| Matriz de riesgos con metodología CVSS/ISO 31000 | Fórmulas frágiles | ✓ Cálculo automático |
| RACI por control | Hoja aparte | ✓ Integrado |
| Evidencia continua AWS/GCP/Azure | No posible | ✓ Conectores nativos |
| Generación de políticas SGSI | Word manual | ✓ IA · 14 secciones |
| SoA (Statement of Applicability) | Tabla manual | ✓ Generación automática |
| /// Trazabilidad y auditoría | ||
| Audit trail (quién cambió qué y cuándo) | Solo "Modificado por" | ✓ Log inmutable |
| Control de versiones de políticas | Archivo aparte | ✓ Versionado nativo |
| Aprobaciones formales con firma | Email externo | ✓ Firma electrónica integrada |
| Permisos por rol y módulo | Solo lectura/escritura | ✓ RBAC granular |
| Reporte ejecutivo para directorio | Manual PowerPoint | ✓ Dashboard + PDF |
| /// Automatización | ||
| Alertas de vencimientos (póliza, contratos, accesos) | Recordatorio manual | ✓ Notificaciones |
| Recolección automática de evidencia | Screenshots manuales | ✓ Conectores |
| Onboarding/Offboarding ISO A.6.1–6.5 | Checklist Word | ✓ Workflow trazable |
| Incidentes con post-mortem A.5.27 | Word libre | ✓ Plantilla + IA |
| Vulnerabilidades técnicas A.8.8 | Excel suelto | ✓ Registro integrado |
| /// Regulación Chile | ||
| Ley 21.719 (RAT, DPIA, brechas 72h) | Plantillas separadas | ✓ Módulo Privacidad nativo |
| Ley Marco Ciberseguridad (NCh-ISO) | Manual | ✓ Mapeo automático |
| /// Costo total año 1 | ||
| Licencia / plataforma | USD 0 | USD 6.300 (incluye setup) |
| Consultor externo | USD 5.000–15.000 | CISO híbrido incluido |
| Horas internas (≈ USD 25/hr) | USD 5.000–10.000 | USD 1.000–2.000 |
| Retrabajo / hallazgos auditor | USD 2.000–5.000 | Garantía 8 semanas o reembolso |
| TCO año 1 | USD 12.000–30.000 | USD 7.300–8.300 |
Si estás en alguno de estos casos, ahorra plata y sigue con Excel:
Si nada de eso aplica, leer la siguiente sección.
Técnicamente sí, pero el auditor exige evidencia trazable. Excel no genera audit trail automático, no versiona controles, no captura screenshots de AWS/GCP. Implica retrabajo manual continuo y riesgo alto de hallazgos durante la auditoría externa.
Entre 6 y 12 meses para una empresa de 30-150 personas, con 200-400 horas de trabajo interno del CISO o equipo TI. Vigía reduce esto a 4-8 semanas porque automatiza recolección de evidencia, mapeo de controles A.5-A.8 y generación de políticas.
Sumando consultor externo (USD 5.000-15.000), horas internas (USD 5.000-10.000) y retrabajo post-auditoría (USD 2.000-5.000), el TCO real está entre USD 12.000 y USD 30.000 el primer año. Vigía cuesta USD 6.300 año 1 (incluye setup) y USD 4.800/año después.
Pérdida de versiones, falta de control de acceso por usuario, errores de fórmula no detectados, evidencias desactualizadas frente a la realidad técnica, imposibilidad de demostrar revisión periódica, sin alertas de vencimientos (póliza, contratos, accesos), sin trazabilidad de aprobaciones.
Para una matriz de riesgos inicial muy pequeña (menos de 20 riesgos), para una empresa con menos de 10 personas que no necesita certificación formal, o como herramienta complementaria de análisis ad-hoc. No es viable para auditoría ISO 27001 formal ni para escalar más allá de los 12 meses.
Sí. La onboarding incluye migración asistida de risk register, matriz RACI, listado de activos y políticas redactadas en Word/Excel. La IA estructura los datos en los modelos ISO 27001:2022 (A.5-A.8) automáticamente y deja todo listo para auditoría.
Si tu objetivo es certificarte y mantener la certificación año tras año sin reinventar el SGSI cada vez, una plataforma especializada sale más barata, más rápida y con menos riesgo. Y si igual quieres ver el detalle antes de decidir, te lo mostramos en 30 minutos.
Cifras basadas en proyectos ejecutados en Chile y LATAM 2024-2026. Si tu caso particular dice otra cosa, escríbenos a nemecio@buhosecai.io — lo revisamos contigo.