ISMS Copilot
Glosario de ISO 27001

¿Qué es ISO 27001:2022?

Resumen

ISO 27001:2022 es el estándar internacional actual que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Publicado en octubre de 2022, reemplazó a ISO 27001:2013 y proporciona un marco reconocido mundialmente para que las organizaciones gestionen sistemáticamente los riesgos de seguridad de la información.

Lo que significa en la práctica

ISO 27001:2022 es tanto un conjunto de requisitos que su organización debe cumplir como una certificación que puede obtener de un auditor externo acreditado. Piense en ello como las "reglas del juego" para la gestión de la seguridad de la información: le indica qué debe hacer, pero le otorga flexibilidad en el cómo hacerlo según su contexto.

Valor de la certificación: La certificación ISO 27001 demuestra a clientes, reguladores y socios que un auditor independiente ha verificado que su organización sigue prácticas de seguridad reconocidas internacionalmente. A menudo es un requisito para contratos gubernamentales y adquisiciones empresariales.

Cambios clave respecto a ISO 27001:2013

Reestructuración de los controles del Anexo A

El cambio más significativo fue una reorganización completa de los controles de seguridad:

  • Versión 2013: 114 controles en 14 dominios

  • Versión 2022: 93 controles en 4 temas (Organizativos, Personas, Físicos, Tecnológicos)

  • Resultado: Se añadieron 11 controles nuevos, se fusionaron 24 controles y se simplificó la estructura

Nuevos controles para abordar amenazas modernas

ISO 27001:2022 introdujo controles para los desafíos de seguridad actuales:

  • A.5.7 Inteligencia de amenazas - Monitoreo y respuesta a amenazas emergentes

  • A.5.23 Seguridad en la nube - Gestión de la seguridad de la información en servicios en la nube

  • A.8.9 Gestión de la configuración - Control de las configuraciones de seguridad

  • A.8.10 Eliminación de información - Procedimientos de eliminación segura de datos

  • A.8.11 Enmascaramiento de datos - Protección de datos sensibles en entornos que no son de producción

  • A.8.12 Prevención de fuga de datos - Detección y prevención de transferencias de datos no autorizadas

  • A.8.16 Actividades de monitoreo - Detección de comportamientos anómalos

  • A.8.23 Filtrado web - Control del acceso a la web

  • A.8.28 Codificación segura - Integración de la seguridad en el desarrollo de software

Alineación con ISO 27002:2022

Los atributos de control en ISO 27002:2022 (la guía de implementación complementaria) ahora incluyen propiedades como el tipo de control, dominios de seguridad y capacidades operativas, lo que facilita el mapeo de controles a casos de uso específicos.

Fecha límite de transición: La fecha límite de transición fue el 31 de octubre de 2025. Las organizaciones ya deberían estar certificadas en la versión 2022. Las certificaciones emitidas después de mayo de 2024 deben ser de la versión 2022.

Estructura de ISO 27001:2022

Cláusulas 1-3: Introducción y alcance

Define el propósito del estándar, su aplicabilidad y las normas de referencia relacionadas como ISO 27000 para la terminología.

Cláusula 4: Contexto de la organización

Requiere comprender el contexto de su organización, las partes interesadas y determinar el alcance del SGSI. Debe identificar problemas internos y externos que afecten la seguridad de la información.

Cláusula 5: Liderazgo

La alta dirección debe demostrar liderazgo y compromiso estableciendo la política de seguridad, asignando roles y responsabilidades, y asegurando la integración del SGSI en los procesos de negocio.

Cláusula 6: Planificación

Requiere procesos de evaluación y tratamiento de riesgos, definiendo cómo identificará los riesgos, cómo los evaluará y cómo seleccionará los controles para abordarlos. También debe establecer objetivos de seguridad de la información medibles.

Cláusula 7: Apoyo

Cubre recursos, competencia, concienciación, comunicación e información documentada. Debe garantizar recursos adecuados, capacitar al personal, aumentar la concienciación sobre seguridad y crear la documentación requerida.

Cláusula 8: Operación

Implementar y operar los procesos planificados, incluyendo la evaluación de riesgos, el tratamiento de riesgos y los controles de seguridad operativa.

Cláusula 9: Evaluación del desempeño

Monitorear, medir, analizar y evaluar el desempeño de la seguridad mediante auditorías internas y revisiones por la dirección. Realizar un seguimiento para ver si se cumplen los objetivos.

Cláusula 10: Mejora

Abordar las no conformidades mediante acciones correctivas y mejorar continuamente la eficacia del SGSI.

Anexo A: Controles de seguridad

Enumera 93 controles de seguridad en cuatro temas que las organizaciones seleccionan basándose en los resultados de la evaluación de riesgos. Este es el "menú" de implementación para abordar los riesgos identificados.

Los cuatro temas de control del Anexo A

Controles organizativos (37 controles, A.5.1-A.5.37)

Gobernanza, políticas, gestión de riesgos, gestión de activos, control de acceso, gestión de proveedores, gestión de incidentes, continuidad del negocio y cumplimiento. Estos son controles a nivel de gestión que definen cómo opera la organización.

Controles de personas (8 controles, A.6.1-A.6.8)

Investigación de empleados, términos de empleo, capacitación en seguridad, procesos disciplinarios, procedimientos de terminación, acuerdos de confidencialidad (NDA), trabajo remoto y reporte de incidentes. Estos controles gestionan los riesgos relacionados con las personas.

Controles físicos (14 controles, A.7.1-A.7.14)

Seguridad de las instalaciones, control de acceso físico, protección de equipos, protección ambiental (energía, clima), seguridad del cableado, eliminación segura, políticas de escritorio, retiro de activos, medios de almacenamiento, servicios básicos, mantenimiento y monitoreo. Estos protegen el entorno físico.

Controles tecnológicos (34 controles, A.8.1-A.8.34)

Seguridad de terminales (endpoints), acceso privilegiado, restricción de acceso a la información, acceso al código fuente, autenticación, gestión de capacidad, protección contra malware, registro (logging), monitoreo, sincronización del reloj, seguridad de red, cifrado, seguridad en el desarrollo, gestión de cambios, pruebas, gestión de vulnerabilidades y más. Estos son controles técnicos y de TI.

No todos los controles aplican: Su evaluación de riesgos determina cuál de los 93 controles es relevante para su organización. Las organizaciones pequeñas pueden implementar entre 40 y 60 controles, mientras que las empresas complejas pueden necesitar los 93. Documente sus decisiones en la Declaración de Aplicabilidad.

Requisitos obligatorios frente a opcionales

Requisitos obligatorios (Cláusulas 4-10)

Cada organización que busque la certificación debe implementar todos los requisitos de las cláusulas 4 a la 10. Estos no son negociables e incluyen:

  • Definición del alcance del SGSI

  • Realización de evaluaciones de riesgos

  • Creación de una Declaración de Aplicabilidad

  • Documentación de la política de seguridad

  • Realización de auditorías internas

  • Celebración de revisiones por la dirección

  • Gestión de no conformidades

Selección de controles basada en el riesgo (Anexo A)

Los controles del Anexo A se seleccionan en función de su evaluación de riesgos. Puede excluir controles si no son relevantes para sus riesgos, pero debe justificar las exclusiones en su Declaración de Aplicabilidad.

Error común: Las organizaciones asumen que deben implementar los 93 controles del Anexo A. El estándar permite explícitamente exclusiones cuando los controles no abordan los riesgos identificados o no son aplicables a su contexto. Sin embargo, no se pueden excluir los requisitos obligatorios de las cláusulas 4 a 10.

Cómo funciona la certificación

Etapa 1: Revisión de la documentación

El auditor revisa la documentación de su SGSI, incluyendo el alcance, las políticas, la evaluación de riesgos, la Declaración de Aplicabilidad y los procedimientos. Verifican que haya abordado todos los requisitos obligatorios y documentado los controles adecuados.

Etapa 2: Verificación de la implementación

Auditoría presencial o remota donde los auditores entrevistan al personal, examinan evidencias, prueban controles y verifican que su SGSI opere según lo documentado. Tomarán muestras de todos los temas de control y áreas de la organización dentro del alcance.

Decisión de certificación

Si no existen no conformidades mayores, el organismo de certificación emite un certificado válido por tres años. Las no conformidades menores deben corregirse dentro de los plazos acordados.

Auditorías de vigilancia

Las auditorías de seguimiento anuales verifican el cumplimiento continuo y la mejora. Son más cortas que la auditoría de certificación inicial pero muestrean áreas diferentes.

Recertificación

Cada tres años, una auditoría de recertificación completa similar a la etapa 2 renueva su certificado por otro ciclo de tres años.

Mantenimiento requerido: La certificación no es algo que se hace y se olvida. Debe mantener su SGSI, abordar los cambios en su organización o riesgos, recopilar evidencia continua de la operación de los controles y demostrar la mejora continua. Descuidar esto conduce a no conformidades en las auditorías de vigilancia.

¿Quién debería buscar la certificación ISO 27001?

Industrias reguladas

Los servicios financieros, la salud, las telecomunicaciones y las infraestructuras críticas a menudo enfrentan requisitos regulatorios que la norma ISO 27001 ayuda a satisfacer (GDPR, NIS2, DORA, PCI DSS).

Proveedores de servicios B2B

Las empresas SaaS, los proveedores de la nube, los proveedores de servicios gestionados y los subcontratistas de procesos de negocio utilizan la certificación para demostrar su madurez de seguridad a clientes empresariales.

Contratistas gubernamentales

Las adquisiciones del sector público requieren o favorecen cada vez más la certificación ISO 27001 como prueba de capacidad de seguridad.

Organizaciones que manejan datos sensibles

Cualquier empresa que procese datos personales, propiedad intelectual o información confidencial se beneficia de una gestión de riesgos sistemática.

Empresas que buscan ventaja competitiva

En licitaciones competitivas, la certificación ISO 27001 diferencia a los proveedores y puede ser un factor decisivo.

ISO 27001 frente a otros marcos de seguridad

SOC 2

SOC 2 es una atestación norteamericana centrada en organizaciones de servicios. ISO 27001 tiene un alcance más amplio y es reconocida mundialmente. Muchas organizaciones buscan ambas.

NIST Cybersecurity Framework

NIST CSF es una guía, no un estándar certificable. ISO 27001 proporciona certificación. Los marcos son compatibles y las organizaciones a menudo realizan mapeos entre ellos.

PCI DSS

PCI DSS es específico para los datos de tarjetas de pago. ISO 27001 aborda toda la seguridad de la información. Muchos requisitos de PCI DSS se superponen con los controles de ISO 27001.

GDPR

El GDPR es un requisito legal para la protección de datos. ISO 27001 ayuda a demostrar el cumplimiento del GDPR a través de controles de seguridad (Artículo 32) y medidas de rendición de cuentas.

Sinergia de marcos: El enfoque basado en el riesgo de ISO 27001 le permite abordar múltiples requisitos de cumplimiento simultáneamente. Los controles seleccionados para ISO 27001 a menudo satisfacen el GDPR, SOC 2, PCI DSS y otros marcos. Utilice ISMS Copilot para mapear controles entre marcos.

Beneficios de la adopción de ISO 27001:2022

Reducción de incidentes de seguridad

La identificación sistemática de riesgos y la implementación de controles reducen de manera medible la probabilidad y el impacto de las brechas.

Cumplimiento regulatorio

Muchos controles de ISO 27001 abordan directamente el GDPR, NIS2, DORA y las regulaciones específicas del sector, reduciendo la carga de cumplimiento.

Confianza del cliente

La certificación independiente brinda seguridad a los clientes, especialmente en adquisiciones y negociaciones contractuales.

Eficiencia operativa

Los procesos documentados, las responsabilidades claras y la mejora sistemática reducen los errores y el retrabajo.

Seguros y responsabilidad

Algunos proveedores de seguros cibernéticos ofrecen mejores condiciones para las organizaciones certificadas, al reconocer el riesgo reducido.

Resiliencia empresarial

Los controles de respuesta a incidentes y continuidad del negocio aseguran una recuperación más rápida tras eventos de seguridad e interrupciones.

Cronograma y costo de implementación

Cronograma típico de implementación

  • Organización pequeña (10-50 empleados): 6-9 meses

  • Organización mediana (50-250 empleados): 9-12 meses

  • Organización grande (más de 250 empleados): 12-18 meses

Factores de costo

  • Recursos internos: Director de proyecto, equipo del SGSI, expertos en la materia

  • Apoyo externo: Consultores ($10K-$100K+ dependiendo del alcance y tamaño de la organización)

  • Herramientas: Plataformas GRC, herramientas de seguridad, sistemas de documentación

  • Auditoría de certificación: $5K-$50K+ para las auditorías de etapa 1 y etapa 2

  • Vigilancia anual: $2K-$15K+ por año

  • Implementación de controles: Variable según la madurez de seguridad existente y los controles requeridos

Estrategias de reducción de costos: Use herramientas de IA como ISMS Copilot para acelerar la documentación, la evaluación de riesgos y el análisis de brechas. Aproveche las inversiones en seguridad existentes y alinee con otros esfuerzos de cumplimiento. Considere una implementación por fases comenzando con las áreas de mayor riesgo.

Desafíos comunes de implementación

Definición del alcance

Las organizaciones luchan por definir un alcance adecuado del SGSI: un alcance demasiado estrecho omite riesgos, uno demasiado amplio se vuelve inmanejable. El alcance debe cubrir los activos de información críticos y las interfaces con terceros.

Metodología de evaluación de riesgos

Desarrollar un enfoque de evaluación de riesgos que sea a la vez conforme y práctico requiere equilibrar el rigor con el pragmatismo. Las metodologías excesivamente complejas paralizan la implementación.

Recopilación de evidencias

Los auditores necesitan pruebas de que los controles operan eficazmente. Las organizaciones a menudo implementan controles pero fallan al recopilar sistemáticamente evidencia de su operación.

Mantener el impulso

La implementación del SGSI requiere un esfuerzo sostenido durante meses. El entusiasmo inicial decae sin un apoyo visible de la dirección y victorias rápidas.

Factor de éxito: Trate a ISO 27001 como una iniciativa de mejora empresarial, no como un proyecto de cumplimiento. Vincúlelo con los objetivos comerciales como la adquisición de clientes, la eficiencia operativa y la reducción de riesgos. Celebre los hitos y comunique el progreso de manera amplia.

Conceptos relacionados

  • Sistema de Gestión de Seguridad de la Información (SGSI): el sistema que define ISO 27001

  • Controles del Anexo A: los 93 controles de seguridad en ISO 27001:2022

  • Declaración de Aplicabilidad: documento que enumera qué controles implementa

  • Evaluación de riesgos: proceso para identificar riesgos de seguridad

  • Cómo comenzar con la implementación de ISO 27001 usando IA

Obtener ayuda

¿Listo para implementar ISO 27001:2022? Use ISMS Copilot para acelerar su implementación con evaluaciones de riesgo impulsadas por IA, generación de políticas y análisis de brechas adaptados a la versión 2022.

¿Te fue útil?