Ir al contenido
ISO 27001

ISO 27001: qué es, para qué sirve e importancia

·
14 minutos de lectura
¿RRHH por un lado, IT por otro?
Gestiona dispositivos, licencias y seguridad desde un solo sitio. Sincronizado con las altas y bajas de tu equipo. Descubre Factorial IT
Escrito por

La seguridad de la información ha dejado de ser un asunto exclusivo del equipo de IT. Los ataques de ransomware, las filtraciones de datos y los incidentes en la cadena de suministro afectan a empresas de todos los tamaños, y el coste medio de cada incidente sigue creciendo año tras año. En paralelo, el marco regulatorio se ha vuelto más exigente. Con la entrada en vigor de NIS2, la actualización del Esquema Nacional de Seguridad (ENS) y la presión creciente de clientes y partners por trabajar con proveedores certificados, cada vez más empresas españolas se plantean obtener la ISO 27001.

En este artículo te explicamos qué es exactamente esta norma, para qué sirve, cómo se estructura y por qué se ha convertido en el estándar de referencia para gestionar la seguridad de la información en cualquier organización, independientemente de su tamaño o sector.

¿Qué es la norma ISO 27001?

La ISO 27001, formalmente ISO/IEC 27001, es la norma internacional que establece los requisitos para implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) dentro de una empresa. Dicho de otra forma, define cómo organizar todo lo que tu empresa hace para proteger su información: desde quién puede acceder a qué documentos hasta cómo se gestionan las contraseñas o qué pasa si un empleado pierde el portátil corporativo. El doble apellido viene de que la desarrollan conjuntamente la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

En la práctica, su objetivo es proteger los tres pilares de la información frente a amenazas internas y externas:

  • Confidencialidad: que solo accedan a cada dato las personas autorizadas.
  • Integridad: que la información no se altere ni se borre sin permiso.
  • Disponibilidad: que esté accesible cuando se necesita.

Para conseguirlo no se limita a recomendar medidas técnicas como antivirus o copias de seguridad. Propone un marco de gestión completo que abarca políticas, procesos, personas y tecnología, de manera que la seguridad deje de depender del esfuerzo puntual de una persona y pase a estar integrada en el día a día de la empresa.

Aunque es voluntaria, en sectores como el tecnológico, el financiero o el sanitario, y especialmente al trabajar con la Administración Pública, contar con la certificación ha pasado a ser un requisito imprescindible.

Origen y evolución de la ISO 27001

La ISO 27001 no nació de la nada. Sus raíces están en la BS 7799, una norma británica publicada por el BSI en 1995 que recopilaba buenas prácticas en seguridad de la información. En 2005, la ISO adoptó esa base y publicó la primera versión oficial de la norma. Desde entonces ha pasado por dos actualizaciones importantes:

  • ISO 27001:2005: primera versión internacional.
  • ISO 27001:2013: reorganización completa de la estructura y los controles.
  • ISO 27001:2022: versión vigente, adaptada a los nuevos riesgos digitales como el cloud, el teletrabajo, la cadena de suministro o la inteligencia artificial.

Cada revisión refleja cómo ha evolucionado el panorama de la ciberseguridad. La versión 2022 introduce, por ejemplo, controles específicos para entornos cloud, monitorización continua y gestión de amenazas en la cadena de suministro, escenarios que en 2013 todavía eran emergentes.

Principales diferencias entre la 27001:2013 y la 27001:2022

La versión 2022 mantiene la estructura general de la norma, pero cambia a fondo el Anexo A, que es la lista oficial de medidas de seguridad concretas que la norma propone para proteger la información. Cada una de esas medidas se llama «control» (por ejemplo, exigir contraseñas robustas o cifrar los discos duros de los portátiles). Estos son los cambios más relevantes:

  • El número total de controles se reduce: pasan de 114 a 93, aunque la exigencia no baja. Muchos se han fusionado o reescrito y se han añadido 11 nuevos para cubrir amenazas que antes no existían.
  • La forma de agruparlos cambia: los 14 grupos temáticos anteriores (llamados «dominios») se reorganizan en 4 categorías más claras: controles organizativos (políticas, procedimientos, roles), de personas (formación, responsabilidades, gestión de empleados), físicos (acceso a oficinas, protección de equipos) y tecnológicos (cifrado, copias de seguridad, gestión de accesos).
  • Aparecen controles modernos: la inteligencia de amenazas (recopilar y analizar información sobre ataques en curso), la seguridad en la nube, la prevención de fugas de datos o el desarrollo seguro de software son algunos de los más relevantes.
  • Cada control se etiqueta con atributos: es un sistema nuevo que permite filtrar los controles según el tipo de medida (preventivos, de detección o correctivos), el área a la que aplica o la propiedad que protege (confidencialidad, integridad o disponibilidad). En la práctica, facilita saber qué controles aplicar en cada situación.

El periodo de transición desde la versión 2013 finalizó el 31 de octubre de 2025. Desde esa fecha, los certificados emitidos bajo la versión anterior han dejado de ser válidos y todas las empresas certificadas tienen que estar adaptadas a la 27001:2022.

¿Para qué sirve la ISO 27001?

Las empresas que se certifican lo hacen por una mezcla de presión externa y oportunidad interna. Estos son los motivos más habituales:

  • Acceso a clientes y licitaciones: cada vez más empresas grandes y administraciones piden la ISO 27001 como requisito previo para contratar, especialmente en sectores financiero, sanitario y tecnológico. Sin certificado, te quedas fuera del proceso comercial antes incluso de la primera reunión.
  • Diferenciación frente a competidores: en categorías donde casi todo el mundo dice «tomarse la seguridad en serio», el certificado convierte una promesa en un hecho auditado por una entidad externa.
  • Cumplimiento de normativas que se apoyan en ella: NIS2, RGPD y el ENS comparten una parte importante de los requisitos de la 27001. Tener la norma implantada acorta el camino hacia el resto, en lugar de duplicar trabajo.
  • Expansión a mercados internacionales: en Reino Unido, Alemania, Países Bajos o en cuentas corporativas estadounidenses, la certificación se da por descontada al evaluar proveedores. No tenerla cierra puertas que ni siquiera se mencionan en la conversación.
  • Análisis de riesgos real: el proceso obliga a inventariar activos, evaluar amenazas y priorizar controles. Muchas empresas descubren vulnerabilidades importantes que nunca habían cuantificado, simplemente porque hasta ese momento nadie tenía la obligación de mirarlas.
  • Respuesta a incidentes documentada: cuando algo falla, los procedimientos están escritos, los responsables asignados y los tiempos definidos. Eso reduce el impacto económico y operativo de cada incidente, y además facilita la negociación con aseguradoras de ciberriesgo, que premian a las empresas certificadas con mejores primas y coberturas.

¿A qué empresas aplica la ISO 27001?

La ISO 27001 es una norma voluntaria pensada como un estándar universal. Aplica a cualquier empresa que maneje información sensible, independientemente de su tamaño o sector. Aunque ninguna ley obliga a certificarse, hay contextos en los que ha pasado de ser una buena práctica a convertirse en un requisito de facto.

Cualquier tamaño y cualquier sector

La norma no impone un tamaño mínimo de empresa ni excluye a ningún sector. Tanto una startup de cinco personas como una multinacional pueden certificarse, porque cada organización define el alcance de su SGSI en función de su tamaño, sus riesgos y sus recursos. Una pyme no implanta los mismos controles ni con el mismo nivel de detalle que una empresa con miles de empleados, pero ambas pueden cumplir con la norma.

Esto explica que la certificación se haya extendido por sectores muy diversos. Cualquier empresa que dependa de su información (datos de clientes, propiedad intelectual, código fuente, contratos, historiales clínicos) tiene incentivos para implantarla. Y dado que prácticamente todas las empresas dependen hoy de la información digital, el alcance potencial es enorme.

Sectores donde es prácticamente obligatoria

Hay sectores en los que operar sin la certificación es cada vez más complicado:

  • Tecnológico: empresas de SaaS, hosting, ciberseguridad, MSP o desarrollo de software se enfrentan a clientes que exigen ISO 27001 antes de firmar.
  • Financiero y asegurador: bancos, fintech y aseguradoras manejan datos críticos y operan bajo supervisión de organismos como el Banco de España, la CNMV o la DGSFP.
  • Sanitario: hospitales, clínicas, laboratorios y plataformas de salud digital trabajan con historiales clínicos sujetos al RGPD y a normativa sectorial específica.
  • Administración Pública y sus proveedores: el ENS exige medidas equivalentes a muchas de las que cubre la 27001, y la certificación se valora (o se exige directamente) en concursos públicos.
  • Infraestructuras críticas y telecomunicaciones: empresas de energía, transporte, agua o telecomunicaciones entran dentro del alcance de NIS2 y deben demostrar un nivel alto de madurez en seguridad.

Más allá de estos sectores, también es habitual que empresas que trabajan con grandes cuentas internacionales se planteen la certificación como un requisito comercial. Cualquier negocio con clientes en Estados Unidos, Alemania o el Reino Unido recibe tarde o temprano la pregunta: «¿Estáis certificados en ISO 27001?».

Beneficios de implantar la ISO 27001

Implantar la ISO 27001 genera beneficios que van más allá de tener un certificado en la pared. Algunos son inmediatos, como el acceso a determinados procesos comerciales. Otros se notan a medio plazo, en forma de menos incidentes, menos auditorías paralelas y una organización más madura en su manera de gestionar la información.

  • Refuerza la confianza de clientes, partners y empleados: el certificado funciona como un aval objetivo sobre cómo gestiona tu empresa la información sensible, sin necesidad de explicar cada control en detalle.
  • Abre la puerta a concursos públicos, grandes cuentas y mercados internacionales: cada vez más empresas y administraciones exigen ISO 27001 como requisito de homologación, especialmente en sectores regulados y al contratar con clientes en Estados Unidos, Alemania o el Reino Unido.
  • Reduce la probabilidad y el impacto de los incidentes de seguridad: los controles preventivos paran ataques que en otras circunstancias se materializarían, y los planes de respuesta y continuidad acortan el tiempo de recuperación cuando algo falla.
  • Acelera el cumplimiento de NIS2, ENS y RGPD: la 27001 cubre buena parte de los requisitos de estas normativas, así que el equipo legal y de seguridad reutiliza políticas, evidencias y controles en lugar de duplicarlos.
  • Crea una cultura de seguridad transversal en la empresa: la formación obligatoria del personal y la asignación clara de responsabilidades hacen que la seguridad deje de ser «cosa del equipo de IT» y pase a estar presente en el día a día de todos los departamentos.
  • Facilita la integración con otros sistemas de gestión: la 27001 comparte la misma estructura que otras normas ISO populares como la 9001 (calidad) o la 22301 (continuidad de negocio), lo que ayuda a unificar políticas, auditorías y documentación si la empresa ya tiene otras certificaciones.
  • Puede reducir las primas de los seguros de ciberriesgo: cada vez más aseguradoras valoran la certificación a la hora de calcular las primas o las condiciones de cobertura, porque indica un nivel alto de madurez en gestión de riesgos.

Estructura de la norma ISO 27001

La ISO 27001 se organiza en torno a un cuerpo normativo de once cláusulas (de la 0 a la 10) y un Anexo A con 93 controles de seguridad concretos que la empresa puede aplicar. Las cuatro primeras son introductorias y la auditoría se centra en las siete siguientes (de la 4 a la 10), donde se concentran los requisitos obligatorios del SGSI:

  • 0: Introducción. Presenta el objetivo de la norma, su enfoque basado en riesgos y su compatibilidad con otros sistemas de gestión.
  • 1: Objeto y campo de aplicación. Explica para qué sirve la norma y a qué tipo de organizaciones va dirigida.
  • 2: Referencias normativas. Lista los documentos que hay que consultar junto con la 27001, principalmente la ISO/IEC 27000.
  • 3: Términos y definiciones. Glosario oficial de los conceptos que aparecen en la norma.
  • 4: Contexto de la organización. Obliga a entender qué hace la empresa, quiénes son sus partes interesadas (clientes, empleados, proveedores, reguladores) y qué información protege. Aquí se define el alcance del SGSI.
  • 5: Liderazgo. La alta dirección debe comprometerse con la seguridad, asignar roles y aprobar la política de seguridad. Sin ese compromiso, la 27001 no funciona.
  • 6: Planificación. Es donde se hace el análisis de riesgos, se definen los objetivos de seguridad y se planifican los cambios.
  • 7: Soporte. Cubre los recursos (personas, presupuesto, infraestructura), la formación, la comunicación y la documentación del SGSI.
  • 8: Operación. Es el día a día. Aplicar los controles definidos, gestionar los riesgos identificados y tratar los incidentes que aparezcan.
  • 9: Evaluación del desempeño. Auditorías internas, indicadores y revisión por la dirección. Sirve para comprobar que el SGSI funciona como debería.
  • 10: Mejora. Tratar las no conformidades, aplicar acciones correctivas e implantar mejoras continuas.

Las siete cláusulas obligatorias siguen la lógica del ciclo PDCA (Planificar, Hacer, Verificar, Actuar), que es la base de todas las normas de gestión modernas y lo que permite que el SGSI evolucione con la empresa. Los 93 controles del Anexo A, que veremos en detalle en la siguiente sección, son los que la empresa elige aplicar en función de los riesgos identificados durante la cláusula 6.

El Anexo A de la ISO 27001

El Anexo A de la ISO 27001 es la sección de la norma que recoge la lista oficial de controles de seguridad que una empresa puede aplicar para proteger su información. En la versión 2022 son 93 controles, agrupados en cuatro grandes categorías según el tipo de medida que cubren. No hay que implantarlos todos, cada empresa selecciona los que correspondan a los riesgos identificados durante la planificación del SGSI y justifica las exclusiones en un documento llamado Declaración de Aplicabilidad (SoA).

  • Controles organizativos (37 controles): es el grupo más amplio. Cubre todo lo relacionado con políticas, procesos, roles y relaciones con terceros. Aquí entran la política general de seguridad, la clasificación de la información, la gestión de proveedores, la respuesta a incidentes, la inteligencia de amenazas o la continuidad de negocio.
  • Controles de personas (8 controles): se ocupan del factor humano, es decir, de cómo se selecciona, forma y gestiona al personal con acceso a información sensible. Incluyen las verificaciones previas a la contratación, las cláusulas de confidencialidad, la formación en seguridad, las responsabilidades tras la finalización del contrato o las acciones disciplinarias en caso de incumplimiento.
  • Controles físicos (14 controles): protegen los activos tangibles y el entorno donde se procesa la información. Cubren el control de accesos a oficinas y centros de datos, las medidas frente a robos o desastres naturales, la seguridad del cableado, el mantenimiento de los equipos o la gestión de soportes extraíbles.
  • Controles tecnológicos (34 controles): son los controles técnicos que se aplican sobre los sistemas, las redes y los dispositivos. Aquí están la gestión de accesos, el cifrado, la autenticación, las copias de seguridad, la prevención de fugas de datos (DLP), el filtrado web, la monitorización de la actividad o el desarrollo seguro de software.

¿Cómo implementar la ISO 27001 paso a paso?

Implantar un SGSI conforme a la ISO 27001 lleva entre seis meses y dos años, según el tamaño de la empresa, el alcance que se defina y la madurez previa en seguridad. El proceso completo se puede dividir en seis pasos.

1. Compromiso de la dirección y definir el alcance

Sin el respaldo explícito de la dirección, no hay SGSI que se sostenga. La alta dirección debe aprobar el proyecto, asignar presupuesto y nombrar a un responsable interno (normalmente un CISO, un responsable de seguridad o un coordinador del SGSI).

A la vez, hay que delimitar el alcance. Es decir, sobre qué partes de la empresa se va a aplicar la norma. Algunas opciones habituales:

  • Toda la organización.
  • Una unidad de negocio concreta.
  • Un producto o servicio (por ejemplo, solo la plataforma SaaS de la empresa).
  • Una sede o filial específica.

Cuanto más amplio sea el alcance, más exigente será la implantación y más alto será el coste de la auditoría.

2. Inventariar y clasificar los activos de información

Antes de proteger algo, hay que saber qué se está protegiendo. En esta fase se elabora un inventario detallado de todos los activos de información de la empresa y se les asigna un nivel de criticidad. Pueden ser activos:

  • Datos: bases de datos de clientes, propiedad intelectual, contratos, código fuente.
  • Software: aplicaciones, sistemas operativos, herramientas SaaS.
  • Hardware: servidores, portátiles, móviles, equipos de red.
  • Servicios: cloud, hosting, conectividad.
  • Personas: empleados con acceso privilegiado, administradores de sistemas.

Cada activo se clasifica normalmente en tres o cuatro niveles (público, interno, confidencial, restringido) según el impacto que tendría su pérdida o filtración.

3. Analizar y evaluar los riesgos

Este es probablemente el paso más técnico. Para cada activo identificado, hay que estudiar a qué amenazas está expuesto (un ataque, un error humano, una avería), qué vulnerabilidades pueden ser explotadas y qué impacto tendría un incidente en la empresa. La combinación de probabilidad e impacto da el nivel de riesgo.

A partir de ese nivel, la empresa decide cómo tratar cada riesgo. Las opciones son cuatro: mitigarlo aplicando controles, transferirlo (por ejemplo, contratando un seguro de ciberriesgo), aceptarlo si está dentro del umbral tolerable o evitarlo eliminando la actividad que lo genera. Esta decisión queda documentada en el plan de tratamiento de riesgos.

4. Seleccionar e implantar los controles

Con el plan de tratamiento sobre la mesa, llega el momento de elegir los controles del Anexo A que se van a aplicar. Cada control seleccionado debe estar justificado y vinculado a uno o varios riesgos identificados en el paso anterior. Las exclusiones también.

El resultado se recoge en la Declaración de Aplicabilidad (SoA), un documento que para cada uno de los 93 controles indica si se aplica, cómo se ha implantado y, en caso de exclusión, por qué. Es uno de los documentos que más se revisan en la auditoría externa.

Una vez aprobada la SoA, la teoría se traduce en realidad. Se redactan las políticas de seguridad, se configuran los controles técnicos (cifrado de discos, MFA, gestión de accesos, monitorización), se firman acuerdos de confidencialidad con empleados y proveedores, y se ponen en marcha los procesos operativos del SGSI.

5. Formar y concienciar al personal

La mayoría de las brechas de seguridad empiezan en un clic, por eso la formación no es opcional, sino una pieza obligatoria del SGSI. Cada empleado debe entender qué información maneja, cómo protegerla y a quién avisar si detecta algo extraño. Las sesiones suelen incluir buenas prácticas de contraseñas, identificación de phishing, uso responsable de dispositivos corporativos y procedimiento de respuesta a incidentes.

6. Auditarse internamente y pasar la certificación

Antes de presentarse a la certificación, la empresa tiene que auditarse a sí misma. La auditoría interna la realiza personal cualificado (interno o externo, pero independiente del SGSI) y comprueba que:

  • La documentación está completa y actualizada.
  • Los controles funcionan tal y como están descritos.
  • Las evidencias son trazables y verificables.
  • Las no conformidades detectadas se han tratado.

A continuación, la alta dirección revisa el estado general del SGSI, evalúa los indicadores y aprueba las acciones de mejora.

Después llega la auditoría externa, que realiza una entidad acreditada independiente (en España las más habituales son AENOR, Bureau Veritas, SGS, TÜV Rheinland o LRQA, entre otras). Se divide en dos fases. En la fase 1, el auditor revisa la documentación del SGSI, comprueba que el alcance está bien definido y prepara la auditoría de campo. En la fase 2, evalúa la implantación real de los controles mediante entrevistas, revisión de evidencias y pruebas en los sistemas.

Si todo está en orden, se emite el certificado, que tiene una validez de tres años. Durante ese periodo se realizan auditorías de seguimiento anuales y, al cumplir los tres años, una auditoría de renovación completa.

Errores frecuentes al implantar la ISO 27001

La mayoría de las implantaciones que se atascan lo hacen por errores de enfoque. Estos son los seis errores que más se repiten.

  • Tratar la norma como un proyecto puntual: la ISO 27001 no se aprueba como un examen, se mantiene. Las empresas que bajan el ritmo tras certificarse llegan a la siguiente auditoría con la mitad del SGSI desactualizado.
  • Definir un alcance demasiado estrecho: reducir el alcance al departamento más preparado abarata la auditoría, pero el certificado refleja solo esa parte. Cualquier cliente atento lo detecta a la primera lectura.
  • Documentar para el auditor en lugar de para la operación: una política que nadie usa en el día a día solo sirve para superar la auditoría. Cuando llegue el siguiente incidente, esa política no va a ayudar a nadie.
  • Subestimar la gestión del parque de dispositivos: sin inventario actualizado ni controles homogéneos sobre portátiles y móviles, varios controles del Anexo A caen a la vez en la auditoría. Un endpoint sin gestionar es una de las entradas más fáciles para un atacante.
  • Externalizar todo a una consultora: una consultora acompaña, no reemplaza al equipo interno. Si el conocimiento queda fuera, la primera salida del proveedor deja a la empresa a ciegas.
  • Tratar la formación como un trámite: un curso de 30 minutos al año no conciencia a nadie. Hace falta formación específica por perfil, refuerzos periódicos y simulaciones reales (phishing, respuesta a incidentes).

¿Cómo Factorial IT te ayuda a conseguir la ISO 27001?

Factorial IT cubre desde una sola plataforma los frentes técnicos que más se examinan en una auditoría ISO 27001 (identidades, dispositivos, accesos SaaS, antivirus y empleados), de manera que la evidencia que pide el auditor se genera sola con la operativa diaria, sin tener que reconstruir nada el día de la auditoría. Estos son los seis bloques que automatiza:

factorial it platform

  • Inventario de activos IT: Catálogo automático de dispositivos, software y accesos de la empresa, siempre actualizado y exportable para auditoría.
  • Control de accesos: gestión centralizada de los accesos a herramientas SaaS, con permisos asignados y revocados automáticamente según el rol del empleado.
  • Seguridad de dispositivos: cifrado, contraseñas y bloqueo aplicados automáticamente en cada equipo. Compatible con Mac, iOS, Windows y Linux.
  • Offboarding seguro: al registrar una baja en RRHH, todos los accesos del empleado se cierran sin intervención manual y sin cuentas residuales.
  • Protección frente a malware: antivirus avanzado desplegado en cada dispositivo, con detección de malware, ransomware y amenazas zero-day.
  • Evidencias de auditoría: registros e informes de cumplimiento generados automáticamente, listos para exportar y presentar al auditor en cualquier momento.