M365 ya está pagado y el equipo lo sabe usar. Pero entre eso y tener un SGSI auditable hay USD 15.000-30.000 de custom dev. Te lo desglosamos sin filtros.
SharePoint es excelente para almacenar políticas firmadas, contratos y actas. Pero no implementa la lógica de evaluación de controles, metodología de riesgos, RACI por control ni dispatcher de notificaciones cross-módulo que exige una auditoría ISO 27001:2022 seria.
300-500 hrs para custom workflows, listas con calculados ISO, SPFx forms, Power Automate orquestación.
Listas de controles, matriz riesgos, dashboard ejecutivo, dispatcher notificaciones — todo a medida.
Cambios M365, breaking changes Power Automate, ajustes ISO 27001:2022 actualizaciones, soporte.
Nadie más entiende el custom que armaron. Cambiar consultor implica re-pagar el setup.
TCO año 1 SharePoint + custom: USD 18.000–35.000 · TCO con Vigía: USD 6.300 (incluye setup + plataforma)
| Capacidad | SharePoint / M365 | Vigía |
|---|---|---|
| /// Cobertura ISO 27001:2022 | ||
| 93 controles Annex A pre-mapeados | Custom dev | ✓ Out-of-the-box |
| Matriz de riesgos con metodología | Lista custom + Power Automate | ✓ Cálculo automático |
| SoA (Statement of Applicability) | PowerPoint manual | ✓ Generación nativa |
| Política de seguridad generada por IA | Word manual | ✓ 14 secciones |
| Evidencia continua AWS/GCP/Azure | Logic Apps custom | ✓ Conectores nativos |
| RACI por control con owner | Lista manual | ✓ Integrado |
| /// Workflow y trazabilidad | ||
| Audit trail inmutable por acción | Versions, no inmutable | ✓ Log inmutable |
| Aprobaciones formales firmadas | Approvals app | ✓ Firma electrónica |
| Dispatcher notificaciones cross-módulo | Power Automate flows | ✓ Bus de eventos nativo |
| Escalamiento de incidencias por nivel | Custom flow | ✓ SUPERVISOR→EXECUTIVE |
| Reporte ejecutivo C9.3 firmable | PowerPoint manual | ✓ PDF con firma |
| /// Limitaciones técnicas conocidas | ||
| Listas > 5.000 ítems (threshold) | Vistas degradan | ✓ Sin límite |
| Cálculo de riesgo residual dinámico | Fórmulas limitadas | ✓ Motor de riesgo |
| Search efectivo de evidencia | Search slow > 100K docs | ✓ Indexado por control |
| Multi-framework simultáneo | Una lista por framework | ✓ ISO+SOC 2+Ley 21.719 |
| /// Regulación Chile | ||
| Ley 21.719 (RAT, DPIA, brechas 72h) | Custom | ✓ Módulo nativo |
| Ley Marco Ciberseguridad (NCh-ISO) | Custom | ✓ Mapeo automático |
| /// Costo total año 1 | ||
| Licencia plataforma | M365 ya pagado | USD 6.300 (incluye setup) |
| Consultor / custom dev | USD 15.000–30.000 | CISO híbrido incluido |
| Horas internas | USD 5.000–8.000 | USD 1.000–2.000 |
| Mantenimiento año 2+ | USD 8.000–15.000 | USD 4.800/año |
| TCO año 1 | USD 20.000–38.000 | USD 7.300–8.300 |
Estos casos son legítimos y SharePoint los hace bien:
Vigía además puede sincronizar con SharePoint — política firmada en Vigía aparece publicada en tu biblioteca M365.
SharePoint puede almacenar las políticas y evidencias, pero no implementa la lógica de un SGSI (mapeo de 93 controles A.5-A.8, metodología de riesgos, RACI por control, alertas de revisión). Para lograrlo necesitas custom development con Power Automate y SPFx, lo que cuesta USD 15.000-30.000 en consultoría adicional.
Aunque la licencia M365 ya está pagada, montar el SGSI sobre SharePoint requiere 300-500 horas de consultor SharePoint (USD 60-120/hr) más 200+ horas internas de TI. TCO año 1: USD 18.000-35.000. Año 2 con reauditoría: USD 8.000-15.000 adicionales por mantenimiento del custom dev.
SharePoint Lists permite columnas calculadas básicas, pero no soporta cálculo dinámico de riesgo residual con tratamientos vinculados, ni workflows de aprobación multinivel. Listas con más de 5.000 ítems empiezan a fallar en filtros y vistas (threshold de SharePoint), lo que es común en empresas con 50+ riesgos × revisiones trimestrales.
Sí. Vigía exporta políticas firmadas a SharePoint vía conector M365 y puede sincronizar evidencia desde bibliotecas existentes. El equipo sigue trabajando documentos en Word/Excel cuando quiere, pero la lógica de SGSI vive en Vigía.
Si tu única necesidad es repositorio documental con permisos y versionado de archivos finales (políticas, contratos, actas), SharePoint es excelente. No alcanza cuando necesitas: lógica de evaluación de controles, audit trail por acción, métricas de efectividad C9.1, dispatcher de notificaciones cross-módulo o reporte ejecutivo C9.3 firmable.
Power Automate es un orquestador de flujos, no un SGSI. Puede automatizar tareas individuales (notificar vencimiento), pero no entrega el modelo de datos ISO 27001, los conectores cloud nativos, la generación IA de políticas, ni la matriz de riesgos con metodología auditable. Empresas que intentan armar todo el SGSI en Power Automate suelen abandonarlo en 6-9 meses.
Lo mejor: mantén SharePoint para documentos y deja la lógica de compliance a Vigía. Conectamos ambos para que tu equipo siga trabajando como siempre.
Cifras basadas en proyectos LATAM 2024-2026 con clientes que migraron de SharePoint custom a Vigía.