Implementación ISO 27001: Sistema de Gestión de Seguridad de la Información

ISO 27001 es el estándar de gestión de seguridad de la información más reconocido del mundo, con más de 70.000 organizaciones certificadas a nivel mundial. A diferencia de las regulaciones prescriptivas como GDPR o PCI DSS, ISO 27001 proporciona un marco basado en riesgos para la gestión sistemática de la seguridad de la información, adaptable a organizaciones de cualquier tamaño, industria o geografía. Una certificación ISO 27001 válida indica a los clientes, socios, reguladores y aseguradoras que su organización gestiona los riesgos de seguridad de la información a través de un sistema de gestión estructurado, auditado y en continua mejora.

La versión actual es ISO/IEC 27001:2022, publicada en octubre de 2022, que reemplazó a ISO/IEC 27001:2013. Las organizaciones con certificaciones de 2013 tenían hasta el 31 de octubre de 2025 para realizar la transición a la versión 2022. Todas las nuevas certificaciones se emiten para 2022.

Conclusiones clave

• ISO 27001:2022 redujo los controles del Anexo A de 114 a 93, reorganizados en cuatro temas: Organizacional (37), Personas (8), Físico (14), Tecnológico (34)
• Los nuevos controles para 2022 incluyen: inteligencia sobre amenazas, preparación de las TIC para la continuidad del negocio, monitoreo de la seguridad física, codificación segura, filtrado web, DLP y enmascaramiento de datos.
• El SGSI (Sistema de Gestión de Seguridad de la Información) debe tener alcance, documentación, evaluación de riesgos y certificación por parte de un organismo de certificación acreditado.
• La certificación requiere: Etapa 1 (revisión de la documentación) y Etapa 2 (auditoría de implementación): generalmente de 3 a 6 meses desde la preparación hasta la certificación.
• La mejora continua es obligatoria: auditorías internas trimestrales, revisión anual de la gestión, ciclo de certificación de tres años con auditorías de seguimiento anuales
• La Declaración de Aplicabilidad (SoA) es el documento crítico que vincula sus decisiones de tratamiento de riesgos con los controles del Anexo A.
• La certificación ISO 27001 es cada vez más necesaria para la contratación pública, las ventas empresariales y la suscripción de seguros de la UE.

---

Estructura marco ISO 27001

ISO 27001:2022 sigue la Estructura de Alto Nivel (HLS), el marco común compartido por todos los estándares de sistemas de gestión ISO (ISO 9001, ISO 14001, ISO 22301, etc.). Esto permite sistemas de gestión integrados para organizaciones que implementan múltiples estándares ISO simultáneamente.

Cláusulas principales (4 a 10): requisitos obligatorios:

Anexo A — Objetivos de control de referencia: 93 controles en cuatro temas que representan las mejores prácticas de control de seguridad. El SoA determina qué controles del Anexo A se aplican al alcance de su SGSI.

---

Paso 1: Definir el alcance del SGSI

El alcance define los límites de su SGSI: lo que se incluye y lo que se excluye. Las decisiones sobre el alcance afectan fundamentalmente el costo y la complejidad de la certificación.

Consideraciones de definición del alcance:

• Límites geográficos: oficinas específicas, centros de datos, trabajadores remotos
• Límites organizacionales: unidades de negocio, departamentos o subsidiarias específicas
• Activos de información en alcance: sistemas específicos, conjuntos de datos, procesos.
• Interfaces con sistemas fuera de alcance y de terceros.

Enfoques de alcance comunes:

Alcance limitado: Cubre solo los sistemas y procesos directamente relacionados con un segmento de clientes o producto específico. Certificación más rápida y económica, pero valor de garantía limitado para los clientes.

Amplio alcance: Abarcar toda la organización. Máxima seguridad pero mayor coste de implementación.

Alcance del servicio alojado en la nube: Para las empresas SaaS, el alcance generalmente cubre la infraestructura de la nube, el código de la aplicación y los procesos operativos que respaldan el servicio, aprovechando las certificaciones SOC 2/ISO 27001 del proveedor de la nube para controles físicos y de infraestructura.

El alcance debe estar documentado e incluido en la documentación de certificación. Los auditores probarán los controles dentro del alcance y verificarán las interfaces con elementos fuera del alcance.

---

Paso 2: Evaluación de riesgos de seguridad de la información

La evaluación de riesgos (Cláusula 6.1.2) es la base metodológica de ISO 27001. La norma requiere un proceso de evaluación de riesgos documentado que:

1. Establece y aplica un proceso de evaluación de riesgos de seguridad de la información.
2. Identifica los riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad de la información dentro del alcance del SGSI.
3. Analiza y evalúa los riesgos

Enfoque de evaluación de riesgos basado en activos:

1. Inventario de activos: enumere todos los activos de información dentro del alcance (sistemas, bases de datos, documentos físicos, personas, procesos, servicios de terceros).
2. Identificación de amenazas: para cada activo, identifique amenazas potenciales (ataque externo, amenaza interna, eliminación accidental, falla de hardware, desastre natural, etc.)
3. Identificación de vulnerabilidades: Identifique vulnerabilidades que podrían ser aprovechadas por amenazas (software sin parches, contraseñas débiles, falta de controles de acceso, etc.)
4. Evaluación de impacto: para cada combinación de amenaza/vulnerabilidad, evalúe el impacto potencial en la confidencialidad, integridad y disponibilidad utilizando una escala definida (p. ej., 1 a 5).
5. Evaluación de probabilidad: Evalúe la probabilidad de que la amenaza explote la vulnerabilidad utilizando una escala definida
6. Calificación de riesgo: Calcular riesgo = Impacto × Probabilidad. Establecer criterios de aceptación de riesgos (por ejemplo, los riesgos superiores a una determinada puntuación requieren tratamiento)

Formato de registro de riesgos:

---

Paso 3: Plan de tratamiento de riesgos y declaración de aplicabilidad

Para cada riesgo que supere su umbral de aceptación, seleccione una opción de tratamiento de riesgo:

• Mitigar: implementar controles de seguridad para reducir el riesgo
• Aceptar: documentar la aceptación del riesgo (normalmente para riesgos de bajo impacto y baja probabilidad)
• Transferir: Transferir el riesgo a un tercero (seguros, subcontratación)
• Evitar: Interrumpir la actividad que genera el riesgo.

Declaración de Aplicabilidad (SoA): El documento central de cumplimiento. Para cada uno de los 93 controles del Anexo A, el SoA registra:

• Si el control es aplicable a su alcance.
• Si está implementado actualmente
• Justificación de la inclusión o exclusión

El SoA es lo que los auditores examinan más de cerca. Toda exclusión debe estar justificada y justificada de manera convincente. Exclusiones legítimas comunes: controles de seguridad física para organizaciones que solo operan en la nube (centros de datos administrados por un proveedor de la nube), controles de gestión de proveedores si no existen relaciones significativas con terceros.

---

Paso 4: Implementar los controles del Anexo A

El Anexo A de ISO 27001:2022 organiza 93 controles en cuatro temas. Controles clave para organizaciones orientadas a la tecnología:

Controles organizacionales (37 controles)

Los controles clave incluyen:

• 5.1 Políticas de seguridad de la información: Política de seguridad documentada, aprobada y comunicada y políticas temáticas específicas
• 5.2 Roles y responsabilidades de seguridad de la información: rol definido de CISO/oficial de seguridad; responsabilidades de seguridad documentadas
• 5.7 Inteligencia sobre amenazas (nuevo en 2022): recopile y analice inteligencia sobre amenazas relevante para la organización.
• 5.9 Inventario de información y otros activos asociados: Inventario de activos mantenido con propiedad
• 5.15 Control de acceso: Política de control de acceso; mínimo privilegio; procedimientos formales de gestión de acceso
• 5.16 Gestión de identidad: Gestión completa del ciclo de vida de la identidad (aprovisionamiento, modificación, desaprovisionamiento)
• 5.17 Información de autenticación: Política y procedimientos de gestión de contraseñas/credenciales de autenticación
• 5.20 Abordar la seguridad en los acuerdos con proveedores: Requisitos de seguridad en contratos con proveedores y socios
• 5.23 Seguridad de la información para el uso de servicios en la nube (nuevo en 2022): Políticas de seguridad en la nube, selección de servicios en la nube, monitoreo

Controles de personas (8 controles)

• 6.1 Evaluación: Verificación de antecedentes antes y durante el empleo
• 6.2 Términos y condiciones de empleo: Términos relacionados con la seguridad en los contratos de trabajo
• 6.3 Concientización, educación y capacitación sobre seguridad de la información: programa de capacitación anual, capacitación específica para roles, simulaciones de phishing
• 6.4 Proceso disciplinario: Proceso formal por violaciones a las políticas de seguridad
• 6.6 Acuerdos de confidencialidad o no divulgación: NDA con empleados y contratistas

Controles físicos (14 controles)

• 7.1 Perímetros de seguridad física: Perímetros de seguridad definidos; control de acceso a áreas seguras
• 7.4 Monitoreo de seguridad física (nuevo en 2022): CCTV, detección de intrusiones, registros de acceso
• 7.7 Escritorio y pantalla despejados: Política e implementación; bloqueos de pantalla; escritorio limpio al final del día
• 7.10 Medios de almacenamiento: Gestión de medios extraíbles; eliminación segura

Controles Tecnológicos (34 controles)

• 8.2 Derechos de acceso privilegiado: Gestión de cuentas privilegiadas; acceso justo a tiempo; seguimiento de sesiones privilegiadas
• 8.4 Acceso al código fuente: Acceso restringido al código fuente; requisitos de revisión de código
• 8.5 Autenticación segura: MFA; protocolos de autenticación seguros
• 8.7 Protección contra malware: Antimalware en todos los puntos finales; filtrado de correo y web
• 8.8 Gestión de vulnerabilidades técnicas: Escaneo de vulnerabilidades; parchear SLA; pruebas de penetración
• 8.9 Gestión de configuración (nuevo en 2022): líneas de base de seguridad documentadas; procesos de gestión de configuración
• 8.10 Eliminación de información (nuevo en 2022): eliminación segura cuando ya no sea necesaria
• 8.11 Enmascaramiento de datos (nuevo en 2022): enmascaramiento de datos confidenciales en entornos que no son de producción
• 8.12 Prevención de fuga de datos (nuevo en 2022): herramientas DLP para evitar la filtración de datos no autorizada
• 8.15 Registro: Registro de auditoría completo; protección de registros; revisión de registros
• 8.16 Actividades de monitoreo (nuevo en 2022): Monitoreo de redes y sistemas; SIEM
• 8.23 Filtrado web (nuevo en 2022): filtrado de contenido web para proteger contra contenido malicioso
• 8.25 Ciclo de vida de desarrollo seguro: Política de SDLC seguro; requisitos de seguridad en el desarrollo; revisión de código; SAST/DAST
• 8.26 Requisitos de seguridad de las aplicaciones: Definición de requisitos de seguridad para aplicaciones nuevas y mejoradas
• 8.27 Principios de ingeniería y arquitectura de sistemas seguros (nuevo en 2022): Seguridad por diseño; defensa en profundidad
• 8.28 Codificación segura (nuevo en 2022): estándares de codificación segura; revisión de código; análisis estático
• 8.29 Pruebas de seguridad en desarrollo y aceptación: Pruebas de seguridad como parte del SDLC; pruebas de penetración antes de la puesta en marcha
• 8.34 Protección de los sistemas de información durante las pruebas de auditoría: Coordinación de las actividades de auditoría para minimizar las interrupciones

---

Paso 5: Documentación y registros

ISO 27001 requiere información documentada específica (políticas y registros). Conjunto mínimo de documentación:

Documentos obligatorios:

• Documento de alcance del SGSI
• Política de seguridad de la información
• Metodología de evaluación de riesgos de seguridad de la información
• Registro de riesgos y plan de tratamiento de riesgos.
• Declaración de Aplicabilidad
• Programa e informes de auditoría interna.
• Registros de revisión por la dirección
• Registros de formación y sensibilización.

Políticas recomendadas para temas específicos:

• Política de control de acceso
• Política de uso aceptable
• Política de gestión de activos
• Política de continuidad del negocio y DR
• Política de gestión de cambios
• Política de criptografía y gestión de claves.
• Política de respuesta a incidentes
• Política de trabajo remoto
• Política de seguridad de proveedores
• Política de gestión de vulnerabilidades

---

Paso 6: Programa de auditoría interna

La cláusula 9.2 requiere un programa de auditorías internas realizadas a intervalos planificados que cubra todos los requisitos del SGSI y los controles del Anexo A. Los auditores internos deben ser competentes y objetivos (no auditar su propio trabajo).

Enfoque de auditoría interna:

• Plan anual de auditoría interna que cubra todas las cláusulas del SGSI y todos los controles aplicables del Anexo A durante un ciclo definido
• Muestreo basado en riesgos: realizar pruebas con mayor frecuencia en áreas de mayor riesgo
• Recolección de evidencia documental y registro de no conformidades.
• Informe a la dirección; realizar un seguimiento de las acciones correctivas hasta el cierre

Los auditores internos deben estar certificados (auditor líder ISO 27001 o capacitación de auditor interno) para tener credibilidad. Muchas organizaciones utilizan un enfoque de segundo departamento (auditoría de seguridad de TI, auditoría de seguridad de TI) o contratan a una empresa externa para lograr objetividad.

---

Paso 7: Revisión de la gestión

La cláusula 9.3 exige que la alta dirección revise el SGSI a intervalos planificados (normalmente anualmente). La revisión por la dirección debe cubrir:

• Estado de acciones de revisiones anteriores
• Cambios en cuestiones externas e internas relevantes al SGSI
• Retroalimentación sobre el desempeño del SGSI (incidentes de seguridad, resultados de auditorías, monitoreo, KPIs)
• Comentarios de las partes interesadas.
• Resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos.
• Oportunidades de mejora continua

Resultado de la revisión de la gestión: Decisiones sobre oportunidades de mejora continua, cambios en el SGSI, necesidades de recursos.

---

Proceso de certificación

Seleccione un organismo de certificación: Debe estar acreditado por un organismo de acreditación nacional (UKAS en el Reino Unido, DAkkS en Alemania, ANAB en EE. UU., JAS-ANZ en Australia/NZ). Consulte el reconocimiento de la IAF para conocer la aceptación global.

Auditoría de etapa 1 (revisión de documentación): el auditor revisa la documentación de su SGSI (alcance, SoA, evaluación de riesgos, políticas) para confirmar que está listo para la etapa 2. Normalmente, entre 1 y 2 días. Producto: lista de hallazgos/lagunas a abordar antes de la Etapa 2.

Remediación de brechas: Abordar los hallazgos de la Etapa 1. Puede tardar entre 4 y 8 semanas, según las lagunas identificadas.

Auditoría de etapa 2 (auditoría de implementación): Auditoría in situ (o remota) de la implementación real del SGSI. Los auditores prueban los controles, entrevistan al personal y revisan los registros de evidencia. Normalmente, de 3 a 10 días de auditoría, según el alcance y el tamaño de la organización. Se deben abordar las no conformidades (mayores o menores).

Decisión de certificación: El organismo de certificación emite el certificado ISO 27001:2022, válido por 3 años. El certificado incluye declaración de alcance.

Auditorías de vigilancia: Auditorías de vigilancia anuales en los años 1 y 2 del ciclo de certificación (más ligeras que las auditorías de certificación). La auditoría de recertificación en el año 3 cubre el SGSI completo.

---

Lista de verificación de implementación ISO 27001

• Alcance del SGSI definido y documentado
• Política de seguridad de la información aprobada por la alta dirección
• Metodología de evaluación de riesgos documentada y aplicada
• [] Registro de riesgos completo con calificaciones de riesgo para todos los riesgos importantes
• Plan de tratamiento de riesgos desarrollado para todos los riesgos inaceptables.
• Declaración de Aplicabilidad completada para los 93 controles del Anexo A
• Todos los controles aplicables del Anexo A implementados
• Conjunto de documentación completo (políticas, procedimientos, registros)
• Programa de auditoría interna establecido y primera auditoría completada
• Seguimiento de las acciones correctivas desde la auditoría interna hasta el cierre
• Revisión de la gestión completada con registros.
• Capacitación de concientización sobre seguridad del personal completada y documentada.
• Organismo de certificación acreditado seleccionado y auditoría de Etapa 1 programada
• Se abordan los hallazgos de la etapa 1
• Auditoría de certificación de etapa 2 completada

---

Preguntas frecuentes

¿Cuánto tiempo lleva la implementación de ISO 27001?

Para una empresa de tecnología de tamaño mediano que parte de una base de seguridad razonable, la implementación suele tardar entre 6 y 12 meses desde el inicio hasta la certificación. Las organizaciones con prácticas de seguridad maduras pueden obtener la certificación en 4 a 6 meses. Las grandes empresas con un alcance complejo, múltiples ubicaciones o documentación heredada extensa pueden tardar entre 12 y 18 meses. Factores clave del cronograma: complejidad del alcance, madurez de la documentación existente, disponibilidad de recursos y programación del organismo de certificación.

¿Cuál es la diferencia entre ISO 27001 e ISO 27002?

ISO 27001 es el estándar del sistema de gestión con el que están certificadas las organizaciones: especifica los requisitos para establecer, implementar, mantener y mejorar un SGSI. ISO 27002 es un documento guía que proporciona consejos sobre las mejores prácticas para implementar cada uno de los 93 controles del Anexo A. El Anexo A de ISO 27001 contiene los controles (normativamente); ISO 27002 explica cómo implementarlos (de forma informativa). La certificación ISO 27001 es el requisito; ISO 27002 es el manual de implementación. No puede tener la "certificación ISO 27002": sólo existe la certificación ISO 27001.

¿Podemos lograr la certificación ISO 27001 solo para una parte de nuestra organización?

Sí, ISO 27001 permite determinar el alcance de un servicio, línea de productos, departamento o ubicación específicos. Una empresa SaaS podría limitar su certificación ISO 27001 a su plataforma de productos alojada en la nube, excluyendo los sistemas administrativos de recursos humanos y finanzas. El certificado de certificación especificará el alcance, y los clientes y auditores entienden que los controles se aplican dentro de los límites del alcance establecido. Un alcance limitado significa una certificación más rápida y económica, pero brinda menos seguridad a los clientes que desean confianza en toda su organización.

¿En qué se diferencia ISO 27001 de SOC 2?

Ambos abordan la seguridad de la información pero desde diferentes marcos y audiencias. ISO 27001 es una norma internacional de sistemas de gestión que produce un certificado de tres años; las auditorías son realizadas por organismos de certificación acreditados; goza de amplio reconocimiento en las adquisiciones de Europa, Asia-Pacífico y Medio Oriente. SOC 2 es un marco de certificación de origen estadounidense que produce un informe (Tipo I o Tipo II) revisado por auditores de clientes; se centra en los Criterios de Servicio de Confianza; lo exigen principalmente los compradores empresariales estadounidenses. Los controles se superponen sustancialmente. Muchas organizaciones persiguen ambos: SOC 2 para ventas empresariales en EE. UU., ISO 27001 para adquisiciones gubernamentales e internacionales.

¿Cuáles son los cambios clave en ISO 27001:2022 en comparación con 2013?

Cambios clave: (1) Anexo A reestructurado de 14 categorías/114 controles a 4 temas/93 controles; (2) Se agregaron 11 nuevos controles: inteligencia sobre amenazas, preparación de las TIC para la continuidad del negocio, monitoreo de la seguridad física, gestión de la configuración, eliminación de información, enmascaramiento de datos, prevención de fugas de datos, actividades de monitoreo, filtrado web, codificación segura y seguridad de la información para servicios en la nube; (3) No se eliminó ningún control; los controles existentes se fusionaron y reorganizaron; (4) La Cláusula 6.3 añadió "Planificación de cambios" para los cambios del SGSI gestionado; (5) Actualizaciones de redacción para mayor claridad. La estructura fundamental del sistema de gestión (Cláusulas 4 a 10) prácticamente no ha cambiado.

¿Cuánto cuesta la certificación ISO 27001?

Los costos totales varían significativamente según el tamaño y el alcance de la organización: Honorarios de auditoría del organismo de certificación: entre $8 000 y $50 000 o más, según el alcance y los días de auditoría; Consultoría (opcional): $30 000–$150 000 para implementación asistida; Tiempo del personal interno: entre 200 y más de 1000 horas en implementación y documentación; Herramientas (plataforma GRC, escaneo de vulnerabilidades, SIEM): entre 10 000 y 100 000 dólares al año; Auditorías de vigilancia anuales: aproximadamente entre el 30% y el 50% del costo de la Etapa 2. Las organizaciones pequeñas con un alcance limitado pueden obtener la certificación por un total de entre 40 000 y 80 000 dólares. Las organizaciones medianas suelen invertir entre 100 000 y 300 000 dólares en su primer ciclo de certificación.

---

Próximos pasos

La certificación ISO 27001 es una inversión estratégica que se amortiza mediante una mayor confianza del cliente, una aceleración de las ventas empresariales, una reducción de las primas de los seguros cibernéticos y una mejora estructurada de la seguridad. Para las empresas de tecnología, la implementación de ISO 27001 junto con SOC 2 proporciona una cobertura global integral de los requisitos de seguridad del comprador empresarial.

El equipo de ECOSIRE ayuda a las empresas de tecnología a implementar programas de gestión de seguridad alineados con ISO 27001, con experiencia en implementación de control técnico en entornos de nube, seguridad de aplicaciones y prestación de servicios gestionados.

Comenzar: Servicios ECOSIRE

Descargo de responsabilidad: esta guía tiene fines informativos únicamente. Los requisitos de certificación ISO 27001 deben confirmarse con un organismo de certificación acreditado. Los requisitos de implementación específicos varían según el tamaño, el alcance y la industria de la organización.