¿Qué es ISO 27001:2022?

Resumen

ISO 27001:2022 es el estándar internacional actual que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Publicado en octubre de 2022, reemplazó a ISO 27001:2013 y proporciona un marco reconocido mundialmente para que las organizaciones gestionen sistemáticamente los riesgos de seguridad de la información.

Lo que significa en la práctica

ISO 27001:2022 es tanto un conjunto de requisitos que su organización debe cumplir como una certificación que puede obtener de un auditor externo acreditado. Piense en ello como las "reglas del juego" para la gestión de la seguridad de la información: le indica qué debe hacer, pero le da flexibilidad en cómo hacerlo según su contexto.

Valor de la certificación: La certificación ISO 27001 demuestra a clientes, reguladores y socios que un auditor independiente ha verificado que su organización sigue prácticas de seguridad reconocidas internacionalmente. A menudo es requerida para contratos gubernamentales y adquisiciones corporativas.

Cambios clave respecto a ISO 27001:2013

Reestructuración de los controles del Anexo A

El cambio más significativo fue una reorganización completa de los controles de seguridad:

Versión 2013: 114 controles en 14 dominios
Versión 2022: 93 controles en 4 temas (Organizacional, Personas, Físico, Tecnológico)
Resultado: 11 nuevos controles añadidos, 24 controles fusionados, estructura optimizada

Nuevos controles que abordan amenazas modernas

ISO 27001:2022 introdujo controles para los desafíos de seguridad actuales:

A.5.7 Inteligencia de amenazas - Monitoreo y respuesta a amenazas emergentes
A.5.23 Seguridad en la nube - Gestión de la seguridad de la información en servicios en la nube
A.8.9 Gestión de la configuración - Control de configuraciones de seguridad
A.8.10 Eliminación de información - Procedimientos de disposición segura de datos
A.8.11 Enmascaramiento de datos - Protección de datos sensibles en entornos que no son de producción
A.8.12 Prevención de fuga de datos - Detección y prevención de transferencias de datos no autorizadas
A.8.16 Actividades de monitoreo - Detección de comportamiento anómalo
A.8.23 Filtrado web - Control del acceso web
A.8.28 Codificación segura - Integración de seguridad en el desarrollo de software

Alineación con ISO 27002:2022

Los atributos de control en ISO 27002:2022 (la guía complementaria de implementación) ahora incluyen propiedades como el tipo de control, dominios de seguridad y capacidades operativas, lo que facilita el mapeo de controles a casos de uso específicos.

Plazo de transición: Las organizaciones certificadas bajo ISO 27001:2013 deben realizar la transición a la versión 2022 antes del 31 de octubre de 2025. Las certificaciones emitidas después de mayo de 2024 deben ser según la versión 2022. Comience a planificar su transición ahora si aún no lo ha hecho.

Estructura de ISO 27001:2022

Cláusulas 1-3: Introducción y alcance

Define el propósito del estándar, su aplicabilidad y referencias a estándares relacionados como ISO 27000 para la terminología.

Cláusula 4: Contexto de la organización

Requiere comprender el contexto de su organización, las partes interesadas y determinar el alcance del SGSI. Debe identificar problemas internos y externos que afecten la seguridad de la información.

Cláusula 5: Liderazgo

La alta dirección debe demostrar liderazgo y compromiso estableciendo la política de seguridad, asignando roles y responsabilidades, y asegurando la integración del SGSI en los procesos de negocio.

Cláusula 6: Planificación

Requiere procesos de evaluación y tratamiento de riesgos, definiendo cómo identificará los riesgos, cómo los evaluará y seleccionará los controles para abordarlos. También debe establecer objetivos de seguridad de la información medibles.

Cláusula 7: Soporte

Cubre recursos, competencia, concienciación, comunicación e información documentada. Debe asegurar recursos adecuados, capacitar al personal, aumentar la concienciación sobre seguridad y crear la documentación requerida.

Cláusula 8: Operación

Implementar y operar los procesos planificados, incluyendo la evaluación de riesgos, el tratamiento de riesgos y los controles de seguridad operativos.

Cláusula 9: Evaluación del desempeño

Monitorear, medir, analizar y evaluar el desempeño de la seguridad a través de auditorías internas y revisiones por la dirección. Realizar el seguimiento de si se están cumpliendo los objetivos.

Cláusula 10: Mejora

Abordar las no conformidades mediante acciones correctivas y mejorar continuamente la eficacia del SGSI.

Anexo A: Controles de seguridad

Enumera 93 controles de seguridad organizados en cuatro temas que las organizaciones seleccionan basándose en los resultados de la evaluación de riesgos. Este es el "menú" de implementación para abordar los riesgos identificados.

Los cuatro temas de control en el Anexo A

Controles organizacionales (37 controles, A.5.1-A.5.37)

Gobernanza, políticas, gestión de riesgos, gestión de activos, control de acceso, gestión de proveedores, gestión de incidentes, continuidad del negocio y cumplimiento. Estos son controles a nivel de gestión que definen cómo opera la organización.

Controles de personas (8 controles, A.6.1-A.6.8)

Investigación de empleados, términos de empleo, capacitación en seguridad, procesos disciplinarios, procedimientos de terminación, acuerdos de confidencialidad, trabajo remoto y reporte de incidentes. Estos controles gestionan los riesgos relacionados con las personas.

Controles físicos (14 controles, A.7.1-A.7.14)

Seguridad de las instalaciones, control de acceso físico, protección de equipos, protección ambiental (energía, clima), seguridad del cableado, disposición segura, políticas de escritorio, retiro de activos, medios de almacenamiento, servicios públicos, mantenimiento y monitoreo. Estos protegen el entorno físico.

Controles tecnológicos (34 controles, A.8.1-A.8.34)

Seguridad de terminales, acceso privilegiado, restricción de acceso a la información, acceso al código fuente, autenticación, gestión de capacidad, protección contra malware, registro de eventos, monitoreo, sincronización de relojes, seguridad de redes, cifrado, seguridad en el desarrollo, gestión de cambios, pruebas, gestión de vulnerabilidades y más. Estos son controles técnicos y de TI.

No todos los controles aplican: Su evaluación de riesgos determina cuáles de los 93 controles son relevantes para su organización. Las organizaciones pequeñas pueden implementar entre 40 y 60 controles, mientras que las empresas complejas podrían necesitar los 93. Documente sus decisiones en la Declaración de Aplicabilidad.

Requisitos obligatorios vs. opcionales

Requisitos obligatorios (Cláusulas 4-10)

Cada organización que busque la certificación debe implementar todos los requisitos de las cláusulas 4 a la 10. Estos son no negociables e incluyen:

Definición del alcance del SGSI
Realización de evaluaciones de riesgos
Creación de una Declaración de Aplicabilidad
Documentación de la política de seguridad
Realización de auditorías internas
Llevar a cabo revisiones por la dirección
Gestión de no conformidades

Selección de controles basada en el riesgo (Anexo A)

Los controles del Anexo A se seleccionan según su evaluación de riesgos. Puede excluir controles si no son relevantes para sus riesgos, pero debe justificar las exclusiones en su Declaración de Aplicabilidad.

Error común: Las organizaciones asumen que deben implementar los 93 controles del Anexo A. El estándar permite explícitamente exclusiones cuando los controles no abordan riesgos identificados o no son aplicables a su contexto. Sin embargo, no se pueden excluir los requisitos obligatorios de las cláusulas 4 a la 10.

Cómo funciona la certificación

Etapa 1: Revisión de documentación

El auditor revisa la documentación de su SGSI, incluyendo el alcance, las políticas, la evaluación de riesgos, la Declaración de Aplicabilidad y los procedimientos. Verifican que haya abordado todos los requisitos obligatorios y documentado los controles apropiados.

Etapa 2: Verificación de la implementación

Auditoría in situ o remota donde los auditores entrevistan al personal, examinan evidencias, prueban controles y verifican que su SGSI opere según lo documentado. Tomarán muestras de todos los temas de control y áreas de la organización dentro del alcance.

Decisión de certificación

Si no existen no conformidades mayores, el organismo de certificación emite un certificado válido por tres años. Las no conformidades menores deben corregirse dentro de los plazos acordados.

Auditorías de vigilancia

Las auditorías de seguimiento anuales verifican el cumplimiento continuo y la mejora. Estas son más cortas que la auditoría de certificación inicial, pero muestrean áreas diferentes.

Recertificación

Cada tres años, una auditoría de recertificación completa similar a la etapa 2 renueva su certificado por otro ciclo de tres años.

Mantenimiento requerido: La certificación no es algo que se "instala y olvida". Debe mantener su SGSI, abordar los cambios en su organización o riesgos, recopilar evidencia continua de la operación de los controles y demostrar una mejora continua. Descuidar esto conduce a no conformidades en las auditorías de vigilancia.

¿Quién debería buscar la certificación ISO 27001?

Industrias reguladas

Los servicios financieros, la salud, las telecomunicaciones y la infraestructura crítica a menudo enfrentan requisitos regulatorios que la ISO 27001 ayuda a satisfacer (GDPR, NIS2, DORA, PCI DSS).

Proveedores de servicios B2B

Las empresas SaaS, los proveedores de la nube, los proveedores de servicios gestionados y los subcontratistas de procesos de negocio utilizan la certificación para demostrar su madurez de seguridad ante clientes corporativos.

Contratistas gubernamentales

Las contrataciones del sector público requieren o favorecen cada vez más la certificación ISO 27001 como prueba de capacidad de seguridad.

Organizaciones que manejan datos sensibles

Cualquier empresa que procese datos personales, propiedad intelectual o información confidencial se beneficia de una gestión de riesgos sistemática.

Empresas que buscan ventaja competitiva

En licitaciones competitivas, la certificación ISO 27001 diferencia a los proveedores y puede ser un factor decisivo.

ISO 27001 frente a otros marcos de seguridad

SOC 2

SOC 2 es una atestación norteamericana centrada en organizaciones de servicios. ISO 27001 tiene un alcance más amplio y es reconocida mundialmente. Muchas organizaciones buscan ambas.

Marco de Ciberseguridad del NIST

NIST CSF es una guía, no un estándar certificable. ISO 27001 proporciona certificación. Los marcos son compatibles y las organizaciones a menudo mapean controles entre ellos.

PCI DSS

PCI DSS es específico para datos de tarjetas de pago. ISO 27001 aborda toda la seguridad de la información. Muchos requisitos de PCI DSS se solapan con los controles de ISO 27001.

GDPR es un requisito legal para la protección de datos. ISO 27001 ayuda a demostrar el cumplimiento de GDPR mediante controles de seguridad (Artículo 32) y medidas de responsabilidad.

Sinergia de marcos: El enfoque basado en riesgos de ISO 27001 le permite abordar múltiples requisitos de cumplimiento simultáneamente. Los controles seleccionados para ISO 27001 a menudo satisfacen GDPR, SOC 2, PCI DSS y otros marcos. Use ISMS Copilot para mapear controles entre marcos.

Beneficios de adoptar ISO 27001:2022

Reducción de incidentes de seguridad

La identificación sistemática de riesgos y la implementación de controles reducen de manera medible la probabilidad y el impacto de las brechas.

Cumplimiento regulatorio

Muchos controles de ISO 27001 abordan directamente GDPR, NIS2, DORA y regulaciones sectoriales específicas, reduciendo la carga de cumplimiento.

Confianza del cliente

La certificación independiente brinda seguridad a los clientes, especialmente en adquisiciones y negociaciones de contratos.

Eficiencia operativa

Los procesos documentados, las responsabilidades claras y la mejora sistemática reducen errores y retrabajos.

Seguros y responsabilidad

Algunos proveedores de seguros cibernéticos ofrecen mejores condiciones para organizaciones certificadas, reconociendo el riesgo reducido.

Resiliencia empresarial

Los controles de respuesta a incidentes y continuidad del negocio aseguran una recuperación más rápida ante eventos de seguridad e interrupciones.

Cronograma y costo de implementación

Cronograma típico de implementación

Organización pequeña (10-50 empleados): 6-9 meses
Organización mediana (50-250 empleados): 9-12 meses
Organización grande (250+ empleados): 12-18 meses

Factores de costo

Recursos internos: Gerente de proyecto, equipo del SGSI, expertos en la materia
Soporte externo: Consultores ($10K-$100K+ dependiendo del alcance y tamaño de la organización)
Herramientas: Plataformas GRC, herramientas de seguridad, sistemas de documentación
Auditoría de certificación: $5K-$50K+ para auditorías de etapa 1 y etapa 2
Vigilancia anual: $2K-$15K+ por año
Implementación de controles: Variable según la madurez de seguridad existente y los controles requeridos

Estrategias de reducción de costos: Use herramientas de IA como ISMS Copilot para acelerar la documentación, la evaluación de riesgos y el análisis de brechas. Aproveche las inversiones en seguridad existentes y alinéelas con otros esfuerzos de cumplimiento. Considere una implementación por fases comenzando con las áreas de mayor riesgo.

Desafíos comunes de implementación

Definición del alcance

Las organizaciones luchan por definir un alcance adecuado para el SGSI: uno demasiado estrecho omite riesgos, uno demasiado amplio se vuelve inmanejable. El alcance debe cubrir los activos de información críticos y las interfaces con terceros.

Metodología de evaluación de riesgos

Desarrollar un enfoque de evaluación de riesgos que sea a la vez compatible y práctico requiere equilibrar el rigor con el pragmatismo. Las metodologías excesivamente complejas paralizan la implementación.

Recopilación de evidencias

Los auditores necesitan pruebas de que los controles funcionan eficazmente. Las organizaciones a menudo implementan controles pero fallan al recopilar sistemáticamente evidencia de su funcionamiento.

Mantener el impulso

La implementación del SGSI requiere un esfuerzo sostenido durante meses. El entusiasmo inicial disminuye sin un apoyo visible de la dirección y victorias rápidas.

Factor de éxito: Trate ISO 27001 como una iniciativa de mejora empresarial, no como un proyecto de cumplimiento. Vincúlelo con objetivos de negocio como la adquisición de clientes, la eficiencia operativa y la reducción de riesgos. Celebre los hitos y comunique el progreso ampliamente.

Conceptos relacionados

Sistema de Gestión de Seguridad de la Información (SGSI) - El sistema que define ISO 27001
Controles del Anexo A - Los 93 controles de seguridad en ISO 27001:2022
Declaración de Aplicabilidad - Documento que enumera qué controles implementa
Evaluación de Riesgos - Proceso para identificar riesgos de seguridad
Cómo empezar con la implementación de ISO 27001 usando IA

Obtener ayuda

¿Está listo para implementar ISO 27001:2022? Use ISMS Copilot para acelerar su implementación con evaluaciones de riesgos impulsadas por IA, generación de políticas y análisis de brechas adaptados a la versión 2022.

¿Te fue útil?