Google Workspace ya está pagado. Drive guarda archivos perfecto. El problema es que un auditor ISO 27001 no audita carpetas — audita procesos, evidencia trazable y controles operativos. Te lo desglosamos.
Empresas que llegan a auditoría con todo en Drive típicamente recibimos el mismo feedback de auditor: "tienen las políticas, pero no veo cómo se aprueban, quién las revisa periódicamente, ni cómo demuestran que se cumplen en operaciones."
Armar plantillas Docs, matriz Sheets, SoA, procedimientos. Tarifa Chile/LATAM senior.
≈ USD 5.000–9.000. Recolectar evidencia, screenshots, ordenar carpetas, mantener Sheets.
Hallazgos típicos: evidencia obsoleta, falta de aprobaciones formales, controles sin owner.
Costo de oportunidad: clientes B2B esperando ISO/SOC 2 para firmar contratos.
TCO año 1 Drive + consultor: USD 17.000–39.000 · TCO con Vigía: USD 6.300
| Capacidad | Google Drive / Workspace | Vigía |
|---|---|---|
| /// Cobertura ISO 27001:2022 / SOC 2 | ||
| 93 controles Annex A mapeados | Sheet manual | ✓ Pre-mapeados |
| Matriz de riesgos con metodología | Fórmulas Sheets | ✓ Motor de riesgo |
| SoA (Statement of Applicability) | Doc manual | ✓ Generación automática |
| Política seguridad redactada por IA | Doc manual / templates | ✓ 14 secciones |
| Evidencia continua AWS/GCP/Azure | Screenshot manual | ✓ Conectores nativos |
| RACI por control con owner | Sheet aparte | ✓ Integrado |
| /// Trazabilidad y auditoría | ||
| Audit trail inmutable por control | Activity log archivo | ✓ Log por control |
| Versionado inmutable de políticas | Versions, no firmadas | ✓ Versionado + firma |
| Aprobaciones formales con firma | Email externo | ✓ Firma electrónica |
| Permisos por rol y módulo | Solo carpeta/archivo | ✓ RBAC granular |
| Reporte ejecutivo C9.3 firmable | Slide manual | ✓ PDF firmado |
| /// Automatización | ||
| Alertas vencimientos (póliza, contratos, accesos) | Calendario manual | ✓ Notificaciones |
| Onboarding/Offboarding A.6.1–6.5 | Doc checklist | ✓ Workflow trazable |
| Incidentes con post-mortem A.5.27 | Doc libre | ✓ Plantilla + IA |
| Vulnerabilidades técnicas A.8.8 | Sheet | ✓ Registro integrado |
| /// Regulación Chile / LATAM | ||
| Ley 21.719 (RAT, DPIA, brechas 72h) | Plantillas separadas | ✓ Módulo nativo |
| Ley Marco Ciberseguridad (NCh-ISO) | Manual | ✓ Mapeo automático |
| /// Costo total año 1 | ||
| Licencia plataforma | Workspace ya pagado | USD 6.300 (incluye setup) |
| Consultor externo | USD 10.000–25.000 | CISO híbrido incluido |
| Horas internas | USD 5.000–9.000 | USD 1.000–2.000 |
| Retrabajo hallazgos | USD 2.000–5.000 | Garantía 8 semanas |
| TCO año 1 | USD 17.000–39.000 | USD 7.300–8.300 |
Drive funciona bien si:
Vigía + Drive es buen combo: lógica SGSI en Vigía, archivos finales sincronizados a Drive.
Drive sirve para guardar las políticas y evidencias, pero no implementa: matriz de riesgos calculada, mapeo de 93 controles, RACI, métricas de efectividad C9.1, dispatcher de notificaciones ni SoA. Para una auditoría formal acabas pagando USD 10.000-25.000 a un consultor que arme todo a mano con plantillas en Docs y Sheets.
Google Workspace ya está pagado, pero implementar ISO 27001 requiere consultor externo (USD 10.000-25.000), 200-350 horas internas (USD 5.000-9.000) y retrabajo post-auditoría (USD 2.000-5.000). TCO total año 1: USD 17.000-39.000. Vigía cuesta USD 6.300 año 1 con setup incluido.
Google Workspace Enterprise tiene audit log de actividad, pero es a nivel de archivo (quién abrió, editó, compartió) — no a nivel de control ISO 27001 ni de aprobación de política. Un auditor te va a pedir "demuestra que esta política fue aprobada formalmente por el comité y que no se editó después". Drive lo hace difícil.
Sí. La onboarding incluye importación de políticas en Google Docs, matrices en Google Sheets y carpetas de evidencia. La IA estructura los datos en los modelos ISO 27001:2022 automáticamente. Promedio: 2-3 días vs 200-350 horas si lo armas desde cero.
Drive es excelente como repositorio final de políticas firmadas, contratos, actas de directorio y evidencia complementaria. Funciona bien para empresas que no requieren certificación formal o que están en fase inicial pre-Serie A. No alcanza cuando un cliente B2B exige SOC 2 Type II o cuando regulación local (Ley 21.719, Ley Marco) exige trazabilidad.
Sí. Vigía exporta políticas firmadas a carpetas designadas de Drive, sincroniza evidencia desde Sheets/Docs y permite SSO con Google Workspace. El equipo sigue trabajando en Drive cuando quiere; la lógica de SGSI vive en Vigía.
No reemplaces Drive — úsalo para lo que hace bien (repositorio final, colaboración documental). Para auditoría, deja la lógica a Vigía. Sincronizamos automáticamente.
Cifras basadas en proyectos ejecutados con clientes pyme LATAM 2024-2026.