Norma ISO 27001:2022

ISO 27001: Qué es, requisitos, controles y certificación

La ISO 27001 es el estándar internacional que define cómo debe gestionarse la seguridad de la información en una organización mediante un Sistema de Gestión de Seguridad de la Información (SGSI).

Sobre todo durante los últimos años, con el auge de la Inteligencia artificial, los IOT y otras tecnologías que ya forman parte del día a día de las organizaciones, la norma se ha convertido en una herramienta estratégica para proteger activos críticos y garantizar decisiones basadas en evidencia digital verificable.

Su estructura permite gestionar riesgos, establecer controles coherentes con el modelo de negocio e integrar la seguridad en la operación diaria. Además, conecta con tendencias clave como inteligencia artificial, automatización, trazabilidad y análisis avanzado de datos, consolidándose como un marco adaptable y alineado con la transformación digital.

Todos estos factores hacen que la ISO 27001 siga siendo la referencia global para demostrar confianza, control y resiliencia tecnológica.

Qué es ISO 27001 y para qué sirve

La ISO 27001 establece el marco internacional para gestionar la seguridad de la información mediante un SGSI que permita identificar riesgos, aplicar controles y garantizar la continuidad de las operaciones. Su utilidad no se limita a “proteger datos”; actúa como una estructura organizativa que conecta tecnología, procesos y personas bajo un enfoque verificable, medible y adaptable a la transformación digital.

EXPLORA EL SOFTWARE PARA ISO 27001:2022

Beneficios para las organizaciones

  • Gestionar riesgos de forma sistemática, evaluando amenazas internas y externas.
  • Proteger activos críticos, desde información digital hasta documentos físicos o conocimiento interno.
  • Definir controles de seguridad coherentes con el tamaño, sector y contexto de la empresa.
  • Alinear la seguridad con requisitos legales, como RGPD, ENS o normativas sectoriales.
  • Estandarizar la respuesta ante incidentes, con procesos claros y roles definidos.
  • Demostrar confianza a clientes y partners, mediante una certificación reconocida a nivel global.
  • Integrar la seguridad en la operación diaria, facilitando automatización, monitorización y análisis avanzado.
  • Impulsar la mejora continua, apoyándose en métricas, auditorías y datos verificables.

La ISO 27001 funciona como un marco flexible que se adapta al crecimiento de la empresa, a nuevas tecnologías y a escenarios emergentes como IA, amenazas avanzadas o entornos híbridos de trabajo.

Requisitos de la ISO 27001

Los requisitos de la ISO 27001 están organizados en un conjunto de cláusulas que definen cómo debe construirse, mantenerse y mejorar un Sistema de Gestión de la Seguridad de la Información. No describen controles técnicos concretos, sino el marco de gestión que permite que la seguridad sea consistente, medible y alineada con el negocio.

Cláusula 4 — Contexto de la organización

Esta cláusula define los cimientos del SGSI. La organización debe analizar factores internos (procesos, capacidades, cultura, dependencias tecnológicas) y factores externos (regulaciones, amenazas, tendencias del sector, proveedores críticos) que pueden afectar a la seguridad de la información. También requiere identificar a las partes interesadas relevantes y sus expectativas en materia de seguridad.

El punto clave es la definición del alcance del SGSI, que debe describir con precisión qué áreas, servicios, ubicaciones y tecnologías quedan dentro del sistema. Un alcance claro evita incoherencias, reduce riesgos de auditoría y facilita una gestión operativa sólida.

Cláusula 6 — Planificación

Esta cláusula establece cómo debe planificarse el SGSI para que sea eficaz a lo largo del tiempo. Incluye tres elementos esenciales:

  • Riesgos y oportunidades: la organización debe identificar, analizar y evaluar riesgos que afecten a la confidencialidad, integridad y disponibilidad de la información. También debe reconocer oportunidades de mejora.
  • Tratamiento del riesgo: obliga a seleccionar controles coherentes con el análisis de riesgos, ya sea del Anexo A o de medidas alternativas justificadas.
  • Objetivos de seguridad: deben ser medibles, verificables y alineados con los resultados del análisis de riesgos.

El punto decisivo aquí es la trazabilidad: cada riesgo debe conectar con un control o medida que lo mitigue de manera proporcional.

Cláusula 7 — Apoyo

La norma exige que el SGSI cuente con recursos adecuados, tanto humanos como tecnológicos. Incluye:

  • Competencia y formación del personal con impacto en la seguridad.
    Concienciación: toda persona debe entender su rol en la protección de la información.
  • Comunicación interna y externa, estructurada y trazable.
  • Información documentada: creación, actualización, control de documentos y registros necesarios para el SGSI.

En esta cláusula se refuerza la necesidad de gestionar evidencias digitales confiables, control de versiones y protección frente a accesos no autorizados.

Cláusula 8 — Operación

Aquí la norma exige ejecutar lo planificado. Incluye:

  • Planificación operativa y control, garantizando que los procesos críticos están protegidos y alineados con los requisitos de seguridad.
  • Tratamiento del riesgo: implementación práctica de los controles definidos, con evidencias de funcionamiento.
  • Gestión de cambios: cualquier cambio tecnológico, organizativo o de infraestructura debe evaluarse desde la perspectiva del riesgo.

Esta cláusula convierte la seguridad en una actividad diaria, no en un ejercicio teórico de planificación.

Cláusula 9 — Evaluación del desempeño

La organización debe medir y evaluar la eficacia del SGSI mediante:

  • Seguimiento y medición de controles, indicadores y métricas clave.
  • Auditorías internas, que deben tener un programa estructurado, basado en riesgos y con independencia objetiva.
  • Revisión por la dirección, donde se analizan resultados, tendencias, incidentes, riesgos emergentes y oportunidades de mejora.

El énfasis está en usar datos verificables para demostrar el rendimiento del sistema y tomar decisiones basadas en evidencia.

Cláusula 10 — Mejora

Esta cláusula cierra el ciclo con la gestión de:

  • No conformidades y análisis de causas.
  • Acciones correctivas proporcionadas y documentadas.
  • Mejora continua, vinculada a resultados de auditorías, incidentes, métricas y evolución del riesgo.

El objetivo es que el SGSI se mantenga actualizado frente a amenazas cambiantes y requerimientos regulatorios crecientes.

EXPLORA EL SOFTWARE PARA ISO 27001:2022

Controles del Anexo A de ISO 27001:2022

El Anexo A recoge los 93 controles de seguridad que una organización puede aplicar para mitigar sus riesgos. No son obligatorios uno por uno, pero sí deben evaluarse y justificarse de acuerdo con el análisis de riesgos. Su estructura actualizada está alineada con ISO 27002:2022 y agrupa los controles en cuatro grandes categorías diseñadas para simplificar la gestión y mejorar la coherencia entre dominios tecnológicos y organizativos.

1. Controles organizativos (Organizational Controls)

Incluyen medidas relacionadas con la gobernanza, la asignación de responsabilidades, la gestión de proveedores, la protección legal y contractual, la continuidad del negocio y la planificación de seguridad.

Aspectos clave:

  • Políticas de seguridad y su actualización.
  • Gestión de proveedores y terceros, con controles de cumplimiento.
  • Seguridad en proyectos y en nuevos desarrollos.
  • Prevención del fraude, protección legal y gestión ética.

Estos controles consolidan la base del SGSI y conectan directamente con la estrategia y la gobernanza.

2. Controles de personas (People Controls)

Se centran en la seguridad relacionada con el capital humano:

  • Selección del personal con criterios de seguridad.
  • Gestión de accesos coherentes con funciones y responsabilidades.
  • Formación, concienciación y cumplimiento de normas internas.
  • Gestión disciplinaria y compromisos de confidencialidad.

El objetivo es asegurar que las personas actúan conforme a roles definidos y minimizan riesgos accidentales o intencionados.

3. Controles físicos (Physical Controls)

Incluyen medidas orientadas a proteger instalaciones, equipos, dispositivos y soportes de información:

  • Control de accesos físicos.
  • Seguridad perimetral y monitoreo.
  • Protección de zonas críticas como CPDs, laboratorios o almacenes.
  • Gestión segura de activos físicos y soportes.

Estos controles garantizan que la seguridad no dependa solo de lo digital.

4. Controles tecnológicos (Technological Controls)

Conforman el núcleo técnico del SGSI:

  • Gestión de identidades y accesos (IAM).
  • Cifrado, criptografía y protección de datos.
  • Seguridad en redes, endpoints, aplicaciones y servicios cloud.
  • Gestión de vulnerabilidades y parches.
  • Monitorización, registro y respuesta a incidentes.
  • Validación de software y automatizaciones.

Relación entre los controles y el análisis de riesgos

Uno de los puntos más importantes es demostrar que cada control seleccionado responde a un riesgo real. No se trata de aplicar todos los controles, sino los necesarios, justificando su incorporación o exclusión en la Declaración de Aplicabilidad (SoA).

El auditor evaluará la coherencia entre:

  • El riesgo.
  • El control elegido.
  • La eficacia demostrada.
  • La evidencia documentada.

Proceso de implementación ISO 27001 paso a paso

Implantar un SGSI requiere una secuencia clara de actividades que aseguren coherencia, evidencias y control. Estas fases permiten avanzar desde el diagnóstico inicial hasta la certificación, alineando el sistema con los requisitos de ISO 27001:2022 y con las expectativas de auditoría.

Fase 1: Diagnóstico inicial y evaluación GAP del SGSI

La implantación comienza identificando el punto de partida. Se revisa la situación actual de la empresa frente a los requisitos de la norma, detectando carencias en políticas, controles, gobernanza, infraestructura, herramientas y cultura de seguridad. Con esta información se establece un plan de trabajo realista y ordenado.

Fase 2: Definición del alcance y análisis del contexto

Una vez conocido el estado inicial, la organización delimita qué procesos, ubicaciones, activos y tecnologías formarán parte del SGSI. En paralelo, se analiza el entorno interno y externo, las expectativas de las partes interesadas y los requisitos legales. Un alcance bien definido evita desviaciones y simplifica la auditoría.

Fase 3: Política de seguridad y objetivos del SGSI

Se formaliza la política de seguridad y se fijan los objetivos del sistema, ambos alineados con la estrategia organizativa. La política debe reflejar el compromiso de la dirección con la seguridad, el enfoque basado en riesgos y los criterios para evaluar el desempeño. Este documento marca la dirección del SGSI.

Fase 4: Evaluación de riesgos y selección de controles

Es el núcleo del SGSI. Se identifican activos, se analizan amenazas y vulnerabilidades y se evalúan los riesgos con criterios homogéneos. Con los resultados, la organización selecciona los controles del Anexo A que necesita y documenta la Declaración de Aplicabilidad (SoA). Esta fase determina la arquitectura de la seguridad.

Fase 5: Documentación e información documentada del SGSI

Se crean los documentos que sostienen el sistema: procedimientos de seguridad, protocolos de actuación, registros, metodologías y evidencias. La documentación debe ser útil, estar controlada, tener propietarios definidos y ser coherente con los procesos reales para evitar no conformidades en auditoría.

En este punto se ponen en marcha los controles definidos. Se gestionan permisos, se establecen medidas técnicas, se refuerza la seguridad física y lógica, se activan mecanismos de continuidad y se empieza a registrar evidencia de cada actividad. Esta fase demuestra que el SGSI funciona y no es solo documentación.

Fase 7: Formación, concienciación y cultura de seguridad

Las personas deben conocer los riesgos y sus responsabilidades. Se desarrollan actividades de formación y campañas internas que refuercen la cultura de seguridad. Esta etapa es clave para reducir incidentes y garantizar que el SGSI no dependa solo de tecnología o procedimientos.

Fase 8: Auditoría interna del SGSI

Antes de solicitar la certificación, la organización verifica internamente el sistema. La auditoría interna evalúa si los procesos están controlados, si los riesgos están correctamente gestionados y si los controles operan con eficacia. Las no conformidades detectadas se corrigen antes de avanzar.

Fase 9: Revisión por la dirección

La dirección revisa el desempeño del sistema con información objetiva. Se analiza el resultado de auditorías, el estado de los riesgos, los incidentes relevantes y las necesidades de recursos. La revisión debe quedar documentada, ya que es uno de los requisitos que los auditores revisan con especial rigor.

Fase 10: Auditoría de certificación ISO 27001

La certificación se realiza en dos etapas: una auditoría documental que valida el diseño del sistema y una auditoría operativa donde se verifica que los controles funcionan y que la empresa genera las evidencias necesarias. Tras superar ambas fases se emite el certificado y se inicia el ciclo de auditorías anuales de seguimiento.

Coste de implementar la ISO 27001: factores que influyen

El coste de implantar y certificar un Sistema de Gestión de Seguridad de la Información (SGSI) según ISO 27001 no es fijo ni universal. Depende del punto de partida de la organización, del nivel de madurez en seguridad y del alcance que se quiera certificar. Por eso, más que hablar de cifras, es más útil entender qué condiciona realmente la inversión.

Principales factores que afectan al coste:

  • Tamaño y complejidad de la organización: procesos, áreas, sedes, servicios y volumen de activos a proteger.
  • Madurez en seguridad: empresas con controles, políticas o herramientas previas requieren menos esfuerzo de adecuación.
    Alcance del SGSI: certificar toda la organización es más costoso que limitar el alcance a un servicio o departamento.
  • Necesidad de consultoría externa: algunas organizaciones requieren apoyo intensivo; otras solo revisiones puntuales.
  • Tecnología disponible: contar con software que gestione riesgos, evidencias y documentación reduce horas internas y auditorías.
  • Complejidad normativa: sectores regulados (finanzas, sanidad, energía) deben cumplir requisitos adicionales.

Coste del organismo certificador: varía según el tamaño del alcance, la duración de la auditoría y la entidad seleccionada.

Proceso de certificación ISO 27001

La certificación ISO 27001 es el reconocimiento oficial de que una organización ha implementado un SGSI eficaz, verificable y alineado con los requisitos del estándar. El proceso implica planificación, ejecución, auditoría y mejora continua. A diferencia de otras certificaciones, ISO 27001 exige demostrar evidencia objetiva, trazabilidad de datos y coherencia entre riesgos, controles y resultados operativos.

Etapa 1 — Implementación del SGSI

Esta fase abarca la creación del sistema de gestión y su puesta en marcha como hemos visto en puntos anteriores y comprende una gran cantidad de items que ir completando.

Etapa 2 — Auditoría de certificación (Fase 1 y Fase 2)

El proceso de certificación consta de dos auditorías independientes:

Fase 1 – Revisión documental

El auditor verifica:

  • Estructura del SGSI.
  • Análisis de riesgos y metodología empleada.
  • Declaración de Aplicabilidad (SoA).
  • Existencia y control de la documentación requerida.
  • Coherencia general del sistema frente a los requisitos de la norma.

Fase 2 – Auditoría in situ

El auditor examina si el sistema funciona realmente:

  • Evidencias de controles aplicados.
  • Registros operativos.
  • Competencias del personal.
  • Gestión de incidentes.
  • Acciones correctivas.
  • Cumplimiento de políticas y procedimientos.

Esto determina si el SGSI está correctamente implantado y es eficaz.

Etapa 3 — Emisión del certificado ISO 27001

Si la organización supera la auditoría, el organismo certificador emite el certificado oficial, válido normalmente por tres años. Este certificado indica el alcance, la versión de la norma, las ubicaciones cubiertas y la vigencia del SGSI.

Etapa 4 — Auditorías de vigilancia y recertificación

Durante los tres años de vigencia, la organización debe someterse a:

  • Auditorías anuales de vigilancia, para demostrar que el SGSI sigue operativo y actualizado.
  • Auditoría de recertificación al finalizar el ciclo, en la que se evalúa la madurez del sistema y la gestión prolongada de riesgos.

La clave es mantener evidencias, actualizar el análisis de riesgos y revisar el sistema ante cambios tecnológicos o regulatorios.

¿Cuánto tiempo se tarda en implementar y certificar ISO 27001?

El tiempo necesario para implantar y certificar un SGSI basado en ISO 27001 depende del punto de partida, del alcance y de la complejidad de los procesos críticos. En organizaciones con cierta base documental y controles previos, la implantación suele completarse en 3 a 6 meses, tiempo suficiente para estructurar la gestión de riesgos, definir políticas, establecer controles y recopilar evidencias.

Cuando la empresa parte desde cero, tiene múltiples sedes, infraestructura crítica o poca madurez tecnológica, el proceso suele extenderse entre 6 y 12 meses.

A este periodo hay que sumar la auditoría externa, que se desarrolla en dos etapas y suele ocupar entre 4 y 8 semanas. En total, lo habitual es que una organización obtenga la certificación en un plazo aproximado de 4 a 10 meses, dependiendo de su disponibilidad interna y del ritmo para cerrar acciones correctivas.

Documentación del SGSI y gestión de evidencias en ISO 27001

La documentación es un pilar crítico en ISO 27001, no por volumen, sino por coherencia, trazabilidad y control. La versión 2022 refuerza la idea de “información documentada”, abarcando tanto documentos formales como evidencias digitales derivadas de operaciones reales. La clave no es producir documentos, sino demostrar que el SGSI funciona mediante datos verificables.

Declaración de Aplicabilidad (SoA)

La SoA es el documento más importante del SGSI. Debe contener:

  • Los 93 controles del Anexo A.
  • Si cada control se aplica o no.
  • Justificación documentada de la decisión.
  • Evidencias asociadas que prueben su implementación.

La SoA es revisada exhaustivamente en auditoría. Si el análisis de riesgos no justifica una exclusión o si la evidencia no respalda un control declarado, el auditor levantará una no conformidad.

Documentación mínima requerida por ISO 27001

Sin caer en burocracia, existen documentos obligatorios o altamente recomendados:

Obligatorios según norma:

  • Alcance del SGSI.
  • Política de seguridad de la información.
  • Metodología de análisis de riesgos.
  • Resultados del análisis de riesgos y tratamiento.
  • SoA actualizada.
  • Objetivos de seguridad e indicadores.
  • Registros de auditorías internas y revisiones por la dirección.
  • Registros de incidentes y acciones correctivas.

Altamente recomendados por buenas prácticas:

  • Procedimiento de gestión de accesos.
  • Procedimiento de continuidad de negocio.
  • Procedimiento de backups y restauración.
  • Proceso de gestión de proveedores.
  • Matriz RACI de roles y responsabilidades.

La norma es flexible, pero el auditor espera ver coherencia entre documentos, riesgos y controles.

Evidencias operativas: el punto decisivo para auditar un SGSI

El auditor no certifica documentos, certifica comportamientos reales. Las evidencias más valoradas incluyen:

  • Logs de acceso, monitorización y eventos.
  • Registros de parches, vulnerabilidades y remediación.
  • Evidencias de formación y concienciación.
  • Informes de incidentes con análisis de causa raíz.
  • Trazabilidad de cambios tecnológicos.
  • Evidencias de reuniones, decisiones y evaluaciones de riesgo.
  • KPI operativos y métricas verificables.

Si no hay evidencia, para la auditoría no existe.

Control de versiones, protección documental y trazabilidad

ISO 27001 exige demostrar que la información está:

  • Actualizada, con versiones controladas.
  • Protegida, evitando accesos no autorizados.
  • Trazable, con registro de modificaciones.
  • Disponible, para quienes lo necesiten.
  • Conservada, durante el tiempo establecido en la política documental.

Para ello, las organizaciones suelen apoyarse en software SGSI, gestores documentales o entornos cloud con gestión de metadatos.

EXPLORA EL SOFTWARE PARA ISO 27001:2022

Suscríbete a la Newsletter

Haz click aquí y descárgate el Whitepaper: Las claves del Éxito en la Gestión de Riesgos
Inscríbete al worskhop online
Volver arriba