ISMS Copilot
Marcos de trabajo compatibles

ISO 27001: Gestión de la Seguridad de la Información

ISO 27001 es el estándar internacional para los Sistemas de Gestión de Seguridad de la Información (SGSI). Proporciona un enfoque sistemático para gestionar la información sensible, abarcando personas, procesos y tecnología. La certificación ISO 27001 demuestra a clientes, reguladores y socios que su organización ha implementado controles exhaustivos para proteger la confidencialidad, integridad y disponibilidad de los datos.

ISO 27001 es reconocida mundialmente y se aplica a cualquier organización, independientemente de su tamaño o sector. A menudo es requerida por clientes corporativos, contratos gubernamentales y sectores regulados.

¿Quién necesita ISO 27001?

ISO 27001 es relevante para organizaciones de todos los sectores:

  • Empresas tecnológicas: proveedores de SaaS, infraestructura en la nube, proveedores de software, proveedores de servicios gestionados

  • Servicios financieros: bancos, procesadores de pagos, plataformas fintech, compañías de seguros

  • Sector salud: sistemas de registros médicos electrónicos, plataformas de telemedicina, fabricantes de dispositivos médicos

  • Servicios profesionales: consultoras, bufetes de abogados, firmas de contabilidad que manejan datos confidenciales de clientes

  • Contratistas gubernamentales: organizaciones que pujan por contratos del sector público que requieren certificación de seguridad de la información

  • Socios de la cadena de suministro: proveedores que dan soporte a clientes corporativos o infraestructuras críticas

Aunque no es legalmente obligatorio en la mayoría de las jurisdicciones, ISO 27001 es un requisito de facto para hacer negocios con clientes preocupados por la seguridad, especialmente en Europa.

Estructura de ISO 27001

La norma se divide en dos partes:

Cláusulas principales (4-10): Requisitos para establecer, implementar, mantener y mejorar un SGSI

  • Cláusula 4: Contexto de la organización (alcance, partes interesadas, requisitos legales)

  • Cláusula 5: Liderazgo (compromiso de la alta dirección, roles, política)

  • Cláusula 6: Planificación (evaluación de riesgos, tratamiento de riesgos, objetivos)

  • Cláusula 7: Soporte (recursos, competencia, concienciación, comunicación, documentación)

  • Cláusula 8: Operación (implementación de planes de tratamiento de riesgos y controles)

  • Cláusula 9: Evaluación del desempeño (seguimiento, auditoría interna, revisión por la dirección)

  • Cláusula 10: Mejora (gestión de no conformidades, acciones correctivas, mejora continua)

Anexo A: 93 controles de seguridad organizados en 4 temas y 14 categorías

Las organizaciones seleccionan los controles aplicables del Anexo A basándose en su evaluación de riesgos y documentan las justificaciones de las exclusiones en una Declaración de Aplicabilidad (SoA).

Temas de Control del Anexo A

Los 93 controles (versión ISO 27001:2022) se agrupan en:

Controles organizativos (37 controles):

  • Políticas, roles y responsabilidades, segregación de funciones

  • Gestión de activos, uso aceptable, devolución de activos

  • Seguridad de los recursos humanos (verificación de antecedentes, formación en seguridad, proceso disciplinario)

  • Relaciones con proveedores (evaluaciones de seguridad de proveedores, contratos, seguimiento)

  • Cumplimiento (requisitos legales, privacidad, propiedad intelectual, auditorías)

Controles de personas (8 controles):

  • Selección, términos de empleo, formación en concienciación sobre seguridad

  • Proceso disciplinario, responsabilidades tras la finalización del contrato

  • Teletrabajo y seguridad de dispositivos móviles

Controles físicos (14 controles):

  • Perímetros de seguridad física, controles de entrada, aseguramiento de oficinas e instalaciones

  • Seguridad de los equipos (ubicación, protección, mantenimiento, eliminación)

  • Políticas de mesa limpia y pantalla limpia

Controles tecnológicos (34 controles):

  • Control de acceso (registro de usuarios, gestión de contraseñas, revisión de derechos de acceso)

  • Criptografía (políticas de cifrado, gestión de claves)

  • Seguridad de red (segmentación, detección de intrusos, reglas de firewall)

  • Seguridad del sistema (robustecimiento/hardening, gestión de parches, registro, monitorización)

  • Seguridad de las aplicaciones (desarrollo seguro, pruebas, gestión de cambios)

  • Copia de seguridad, continuidad de negocio, recuperación ante desastres

  • Gestión de incidentes (detección, respuesta, forense, lecciones aprendidas)

No todos los controles se aplican a todas las organizaciones. Una startup de SaaS podría excluir controles de perímetro físico si utiliza centros de datos coubicados, pero debe justificar la exclusión.

La revisión de 2022 de ISO 27001 redujo los controles de 114 a 93 y los reorganizó en 4 temas. Si se certificó con la versión de 2013, deberá realizar la transición a la estructura de 2022 antes de octubre de 2025.

Evaluación y Tratamiento de Riesgos

ISO 27001 requiere un proceso estructurado de gestión de riesgos:

  1. Identificar activos: Datos, sistemas, personal, instalaciones, reputación

  2. Identificar amenazas y vulnerabilidades: Ciberataques, amenazas internas, desastres naturales, errores humanos, fallos de terceros

  3. Evaluar probabilidad e impacto: Cuantificar o calificar los niveles de riesgo

  4. Determinar el apetito de riesgo: Definir qué nivel de riesgo es aceptable

  5. Seleccionar el tratamiento del riesgo: Mitigar (aplicar controles), aceptar (documentar justificación), transferir (seguros, externalización) o evitar (suspender actividades riesgosas)

  6. Documentar en el Plan de Tratamiento de Riesgos: Listar controles seleccionados, responsabilidades, cronogramas, recursos

La evaluación de riesgos determina qué controles del Anexo A se implementan. Los riesgos de alta prioridad requieren controles más fuertes; los de baja prioridad pueden aceptarse o abordarse con medidas más leves.

Declaración de Aplicabilidad (SoA)

El SoA es un documento crítico que vincula su evaluación de riesgos con los controles del Anexo A:

  • Listar los 93 controles del Anexo A

  • Para cada control, indicar: Aplicable o No aplicable

  • Si es aplicable: Describir cómo se implementa, referenciando políticas/procedimientos

  • Si no es aplicable: Justificar la exclusión basada en la evaluación de riesgos

Los auditores examinan el SoA para verificar que los controles sean apropiados y las exclusiones estén justificadas. Justificaciones deficientes (ej. "no relevante" sin explicación) provocarán no conformidades.

Excluir controles sin la justificación adecuada es un fallo común en las auditorías. Documente por qué cada exclusión es aceptable basándose en el contexto, los activos y el perfil de riesgo de su organización.

Proceso de Certificación

Lograr la certificación ISO 27001 suele seguir este cronograma:

  1. Análisis de brechas (1-2 meses): Evaluar la postura de seguridad actual frente a los requisitos de ISO 27001

  2. Diseño del SGSI (2-4 meses): Definir el alcance, realizar la evaluación de riesgos, crear el SoA, redactar políticas

  3. Implementación (4-12 meses): Desplegar controles, capacitar al personal, documentar procedimientos, recopilar evidencias

  4. Auditoría interna (1 mes): Probar la eficacia del SGSI, identificar no conformidades, remediar

  5. Revisión por la dirección: El liderazgo evalúa el desempeño del SGSI y las oportunidades de mejora

  6. Auditoría Etapa 1 (revisión de documentación): Un auditor externo revisa la documentación del SGSI e identifica brechas

  7. Remediación: Abordar los hallazgos de la Etapa 1 antes de la Etapa 2

  8. Auditoría Etapa 2 (auditoría de implementación): El auditor externo prueba los controles, entrevista al personal y revisa la evidencia

  9. Certificación: Se emite el certificado por 3 años con auditorías de vigilancia anuales

La primera certificación puede tardar entre 6 y 18 meses, dependiendo del tamaño y madurez de la organización.

Vigilancia y Recertificación

La certificación ISO 27001 es válida por 3 años, con obligaciones continuas:

  • Auditorías de vigilancia anuales: Un auditor externo prueba un subconjunto de controles cada año para asegurar el cumplimiento continuo

  • Auditorías internas: Realizarlas al menos anualmente para detectar problemas antes de las auditorías externas

  • Revisión por la dirección: El liderazgo revisa el desempeño del SGSI al menos una vez al año

  • Mejora continua: Abordar no conformidades, actualizar evaluaciones de riesgo, adaptarse a nuevas amenazas

  • Auditoría de recertificación (año 3): Auditoría integral para renovar el certificado por otros 3 años

Fallar en una auditoría de vigilancia puede resultar en la suspensión o retirada del certificado, por lo que el monitoreo continuo es crítico.

Documentación Clave

ISO 27001 requiere información documentada que incluya:

  • Alcance del SGSI: Límites del SGSI (qué departamentos, ubicaciones y sistemas están cubiertos)

  • Política de Seguridad de la Información: Compromiso de alto nivel con la seguridad firmado por la dirección

  • Metodología de evaluación de riesgos: Cómo identifica y evalúa los riesgos

  • Resultados de la evaluación de riesgos: Inventario de activos, análisis de amenazas/vulnerabilidades, puntuaciones de riesgo

  • Plan de Tratamiento de Riesgos: Controles seleccionados, propietarios, cronogramas

  • Declaración de Aplicabilidad: Los 93 controles del Anexo A con detalles de aplicabilidad e implementación

  • Políticas y procedimientos de apoyo: Política de control de acceso, política de uso aceptable, plan de respuesta a incidentes, política de copias de seguridad, gestión de cambios, etc.

  • Evidencia de operación de controles: Registros (logs), pistas de auditoría, registros de formación, revisiones de acceso, informes de incidentes, registros de gestión de parches

  • Informes de auditoría interna: Hallazgos, no conformidades, acciones correctivas

  • Actas de revisión por la dirección: Decisiones del liderazgo, elementos de acción

Elegir un Organismo de Certificación

Seleccione un organismo de certificación (OC) acreditado con experiencia en ISO 27001:

  • Verifique la acreditación por un organismo reconocido (UKAS, ANAB, DAkkS, etc.)

  • Compruebe que el alcance del OC incluya su industria y geografía

  • Pida referencias de organizaciones de tamaño similar

  • Compare precios (los costes de certificación suelen oscilar entre $15,000 y $100,000+ dependiendo del alcance y tamaño de la organización)

  • Evalúe la experiencia del auditor (profundidad técnica, conocimiento de la industria)

Los organismos de certificación comunes incluyen BSI, SGS, TÜV, DNV, Bureau Veritas y A-LIGN.

ISO 27001 frente a SOC 2

Las organizaciones a menudo comparan ISO 27001 y SOC 2:

Aspecto

ISO 27001

SOC 2

Geografía

Internacional (estándar ISO)

Enfocado en EE. UU. (estándar AICPA)

Aplicabilidad

Cualquier organización

Solo proveedores de servicios

Resultado

Certificado público

Informe de auditoría confidencial

Controles

Prescriptivos (93 controles del Anexo A)

Flexibles (determinados por el auditor)

Coste

$15,000-$100,000+/año

$20,000-$75,000+/año

Cronograma

6-12 meses

9-18 meses (Tipo II)

Muchas organizaciones buscan ambos: ISO 27001 para clientes europeos y credibilidad pública, SOC 2 para clientes de EE. UU. y evaluaciones de proveedores SaaS.

Cómo ayuda ISMS Copilot

ISMS Copilot está diseñado específicamente para el cumplimiento de ISO 27001:

  • Generación de políticas: Cree políticas alineadas con ISO 27001 (seguridad de la información, control de acceso, respuesta a incidentes, uso aceptable, copias de seguridad, gestión de cambios)

  • Evaluación de riesgos: Construya marcos de evaluación de riesgos, inventarios de activos y matrices de amenazas/vulnerabilidades

  • Análisis de brechas: Suba sus políticas actuales para identificar vacíos frente a los requisitos de ISO 27001

  • Declaración de Aplicabilidad: Genere plantillas de SoA con los 93 controles del Anexo A

  • Orientación para la implementación de controles: Pregunte sobre controles específicos (ej. "¿Cómo implemento A.8.1 Dispositivos de usuario final?")

  • Plantillas de documentación: Libros de jugadas (playbooks) de respuesta a incidentes, listas de verificación de revisión de acceso, guías de recolección de evidencia de auditoría

  • Preparación de auditoría: Genere planes de auditoría interna e informes de acciones correctivas

La base de conocimientos de ISMS Copilot se basa en experiencia real de consultoría ISO 27001, por lo que entiende las expectativas de los auditores y los errores comunes.

Intente preguntar: "Genera una política de seguridad de la información ISO 27001" o "¿Qué evidencia necesito para el control A.5.23 (seguridad de la información para servicios en la nube)?"

Primeros Pasos

Para prepararse para ISO 27001 con ISMS Copilot:

  1. Cree un espacio de trabajo dedicado para su proyecto ISO 27001

  2. Defina el alcance de su SGSI (qué partes de la organización serán certificadas)

  3. Realice un análisis de brechas para evaluar la madurez actual

  4. Use el AI para generar políticas centrales (política de seguridad de la información, uso aceptable, control de acceso, respuesta a incidentes, copias de seguridad)

  5. Realice una evaluación de riesgos (identifique activos, amenazas, vulnerabilidades, impactos)

  6. Cree una Declaración de Aplicabilidad basada en su evaluación de riesgos

  7. Desarrolle procedimientos y evidencia para los controles de alta prioridad

  8. Realice una auditoría interna para probar la efectividad del SGSI antes de contratar a un organismo de certificación

Recursos Relacionados

  • Estándar oficial ISO 27001:2022 (comprar en ISO o en organismos nacionales de normalización)

  • ISO 27002:2022 (guía de implementación para los controles del Anexo A)

  • Directorios de organismos de certificación (UKAS, ANAB, IAF para auditores acreditados)

  • Guía de transición ISO 27001 (versión 2013 a 2022)

¿Te fue útil?