Ir al contenido

Glosario empresarial

ISO 27001 (Sistema de Gestión de Seguridad de la Información)

La norma ISO/IEC 27001 es el estándar internacional de referencia para la implementación, operación, mantenimiento y mejora continua de un Sistema de Gestión de Seguridad de la Información (SGSI). Su certificación acredita que una organización gestiona los riesgos de seguridad de forma sistemática y alineada con los objetivos de negocio.

Digital

Qué es ISO 27001

La norma ISO/IEC 27001 es publicada conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). La versión vigente es la ISO/IEC 27001:2022, que introdujo una reestructuración del Anexo A con 93 controles agrupados en cuatro dominios.

La norma específica los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información (SGSI), incorporando la gestión de riesgos como eje central del proceso. No es una lista de verificación técnica, sino un marco de gestión que exige un ciclo continuo de mejora (ciclo PDCA: Plan-Do-Check-Act).

La certificación es otorgada por organismos de certificación acreditados (como AENOR, Bureau Veritas o Lloyd’s Register) tras una auditoría de tercera parte independiente.

Estructura del SGSI

Un SGSI conforme a ISO 27001 abarca:

  • Contexto de la organización: identificación de partes interesadas, alcance del SGSI, factores internos y externos que afectan a la seguridad
  • Liderazgo: compromiso de la alta dirección, política de seguridad, roles y responsabilidades
  • Planificación: metodología de evaluación y tratamiento de riesgos, declaración de aplicabilidad (Statement of Applicability)
  • Soporte: recursos, competencias, concienciación, comunicación y documentación
  • Operación: aplicación del proceso de gestión de riesgos y de los controles seleccionados
  • Evaluación del desempeño: monitorización, auditorías internas, revisión por la dirección
  • Mejora continua: tratamiento de no conformidades y acciones correctivas

El Anexo A: controles de seguridad

La norma ISO/IEC 27001:2022 incluye en su Anexo A un catálogo de 93 controles organizados en cuatro dominios:

  • Controles organizacionales (37 controles): políticas, gestión de activos, relaciones con proveedores, continuidad del negocio…
  • Controles de personas (8 controles): selección de personal, formación, responsabilidades tras el cese…
  • Controles físicos (14 controles): seguridad de instalaciones, perímetros, protección del hardware…
  • Controles tecnológicos (34 controles): control de acceso, criptografía, gestión de vulnerabilidades, registro de actividad, seguridad de redes…

Entre las novedades de la versión 2022 destacan controles específicos para inteligencia de amenazas, seguridad en la nube y eliminación segura de información.

Proceso de certificación

El proceso típico de certificación consta de las siguientes etapas:

  1. Diagnóstico inicial (gap analysis): comparación del estado actual con los requisitos de la norma
  2. Implementación: diseño del SGSI, elaboración de documentación, implantación de controles
  3. Auditoría interna: verificación del funcionamiento del sistema antes de la auditoría externa
  4. Revisión por la dirección: validación al más alto nivel
  5. Auditoría de certificación (Fase 1 + Fase 2): el organismo certificador revisa la documentación y luego verifica la implantación real
  6. Certificación: válida por 3 años, con auditorías de seguimiento anuales y recertificación al tercer año

Relación con otras normas y regulaciones

ISO 27001 es una norma ampliamente reconocida como base para cumplir con regulaciones específicas:

  • NIS2: la directiva europea de ciberseguridad reconoce explícitamente las normas ISO como referencia para las medidas de gestión de riesgos
  • RGPD/LOPD: el artículo 32 del RGPD exige medidas de seguridad técnicas y organizativas apropiadas; ISO 27001 proporciona el marco estructurado para demostrar ese cumplimiento
  • DORA: las entidades financieras pueden apalancar su SGSI ISO 27001 para cubrir parte de los requisitos de gestión del riesgo TIC

Beneficios para la empresa

Más allá del cumplimiento normativo, la certificación ISO 27001 aporta ventajas competitivas concretas: acredita la madurez en ciberseguridad ante clientes y licitaciones públicas, reduce la prima de seguros de ciberriesgos, estructura la respuesta ante incidentes y genera confianza en el mercado. Para empresas que manejan datos de clientes o gestionan información confidencial, es el estándar de facto que demuestra diligencia debida (due care) frente a reclamaciones o investigaciones regulatorias.

Preguntas frecuentes

¿Cuánto tiempo lleva certificarse en ISO 27001 para una empresa española?
Para una empresa mediana española, el proceso completo desde el análisis de brechas hasta la obtención del certificado dura habitualmente entre 6 y 12 meses. El plazo depende del nivel de madurez en seguridad de la organización, la complejidad del alcance del SGSI y la rapidez en implantar los controles y políticas requeridos. La certificación incluye una auditoría de fase 1 de revisión documental y una auditoría de fase 2 de implantación, realizadas por un organismo certificador acreditado por ENAC, como AENOR, Bureau Veritas, TÜV o BSI.
¿Cómo contribuye la ISO 27001 al cumplimiento del RGPD en España?
Las medidas técnicas y organizativas de la ISO 27001 satisfacen directamente los requisitos de seguridad adecuada del artículo 32 del RGPD. La AEPD reconoce la certificación ISO 27001 como evidencia de controles de seguridad apropiados. La norma proporciona procedimientos documentados de evaluación de riesgos, control de accesos, cifrado, gestión de incidentes y continuidad de negocio, que la AEPD valora en la investigación de brechas de seguridad.
¿Es obligatoria la ISO 27001 para las empresas reguladas por NIS2 en España?
La ISO 27001 no es exigida expresamente por la Directiva NIS2, pero es el estándar más reconocido para implantar las medidas de gestión de riesgos que la NIS2 requiere. La NIS2 reconoce explícitamente el uso de normas europeas e internacionales, y las autoridades competentes evalúan el cumplimiento tomando como referencia la ISO 27001. En la práctica, la certificación ofrece una vía estructurada para demostrar el cumplimiento de la NIS2 y aporta evidencia sólida en auditorías e inspecciones.
¿Cuántos controles tiene la versión actual de la ISO 27001?
La ISO 27001:2022 (versión actual, publicada en octubre de 2022) referencia 93 controles de seguridad de la información en el Anexo A, organizados en cuatro temáticas: controles organizativos (37), controles de personas (8), controles físicos (14) y controles tecnológicos (34). Los nuevos controles de la revisión de 2022 incluyen inteligencia de amenazas, seguridad en la nube, enmascaramiento de datos y preparación TIC para la continuidad del negocio. Las empresas con la versión de 2013 tuvieron hasta octubre de 2025 para migrar a la nueva norma.
¿Qué beneficios empresariales aporta la certificación ISO 27001 más allá del cumplimiento normativo?
La certificación ISO 27001 genera valor comercial tangible más allá del cumplimiento. Es requisito o preferencia habitual en los procesos de compra empresarial y en los contratos del sector público en España. Puede reducir las primas del seguro de ciberriesgos al demostrar una gestión estructurada del riesgo. En el due diligence de operaciones de M&A, la certificación acredita madurez en seguridad ante el comprador. También proporciona un marco de evaluación de la seguridad de la cadena de suministro.

Servicio relacionado

Legal

Descubra nuestros servicios en esta área

Sectores relacionados

Tecnología y Startups Investigación y Desarrollo

Términos relacionados

Directiva NIS2 (Ciberseguridad) LOPD / RGPD (protección de datos) Ciberseguridad empresarial Ransomware y ciberamenazas empresariales CISO (Chief Information Security Officer) Plan de Continuidad de Negocio y Disaster Recovery (BCP / DRP) DORA (Resiliencia Operativa Digital del Sector Financiero)

Artículos relacionados

ago 2025

Whitepaper: Nóminas y Seguridad Social — guía empresarial 2025

Volver al glosario

Solicite una consulta personalizada

Nuestros expertos están listos para analizar su situación y ofrecerle soluciones a medida.

Consulta gratuita
Llamar Contacto