Ir al contenido
ISO 27001

¿Cómo obtener la certificación ISO 27001?

·
9 minutos de lectura
¿RRHH por un lado, IT por otro?
Gestiona dispositivos, licencias y seguridad desde un solo sitio. Sincronizado con las altas y bajas de tu equipo. Descubre Factorial IT
Escrito por

Muchas empresas dan por hecho que implantar el Sistema de Gestión de Seguridad de la Información es la parte difícil de la ISO 27001, y que certificarse es solo papeleo. La sorpresa llega con la auditoría. La certificadora no evalúa tus buenas intenciones ni lo bien redactadas que estén tus políticas, evalúa si puedes demostrar con evidencia real que tu SGSI funciona tal como dice el papel.

En este artículo te explicamos cómo funciona el proceso de certificación ISO 27001 de principio a fin, desde los requisitos previos hasta cómo mantener el certificado una vez lo consigues.

¿Qué significa certificarse en ISO 27001?

Certificarse en la ISO 27001 significa que una entidad certificadora acreditada ha auditado tu Sistema de Gestión de Seguridad de la Información (SGSI) y ha confirmado que cumple con los requisitos de la norma. No es lo mismo implantar la norma que certificarse en ella. La implantación es el trabajo interno de diseñar políticas, evaluar riesgos y aplicar controles. La certificación es el reconocimiento externo que valida ese trabajo.

El certificado lo emite un organismo independiente, nunca la propia ISO, y tiene una validez de tres años sujeta a auditorías de seguimiento. Sin ese sello, por muy robusto que sea tu SGSI, no puedes acreditar ante clientes, socios o administraciones que cumples con la norma.

Requisitos previos antes de solicitar la certificación

Antes de contactar con una entidad certificadora, tu organización debe cumplir una serie de condiciones mínimas. Solicitar la auditoría sin ellas suele traducirse en no conformidades que retrasan todo el proceso.

  • SGSI implantado y en funcionamiento: no basta con tener las políticas redactadas, el sistema debe estar operativo con evidencia de que se sigue en el día a día.
  • Declaración de Aplicabilidad (SoA) y Plan de Tratamiento de Riesgos: son los documentos que el auditor revisa primero, deben reflejar los controles del Anexo A que aplicas y por qué.
  • Auditoría interna previa: la norma exige que hayas revisado tu propio SGSI antes de que lo haga un auditor externo.
  • Revisión por la dirección: la alta dirección debe haber evaluado formalmente el desempeño del SGSI y dejar constancia de ello.
  • Historial mínimo de evidencias: la mayoría de certificadoras recomiendan al menos tres meses de registros (accesos, incidentes, formación) para poder auditar el sistema en funcionamiento real y no solo sobre el papel.

¿Cómo elegir una empresa certificadora?

No cualquier empresa puede emitir un certificado ISO 27001 válido. La entidad certificadora debe estar acreditada por un organismo nacional de acreditación, en España ENAC, o por su equivalente en otros países dentro del marco de reconocimiento mutuo de IAF. Un certificado emitido por una entidad sin acreditación no tiene validez ante clientes ni administraciones.

Más allá de la acreditación, conviene comparar varios criterios antes de firmar con una certificadora.

  • Experiencia en tu sector: un auditor que conoce los riesgos típicos de tu industria interpreta mejor tu alcance y tus controles.
  • Reconocimiento internacional: si trabajas con clientes fuera de España, comprueba que el certificado se reconozca en esos mercados.
  • Transparencia en el coste: pide un desglose de las fases de auditoría, no solo un precio cerrado, para evitar sorpresas en el seguimiento anual.
  • Plazos de agenda: las certificadoras con más demanda pueden tardar semanas en asignar auditor, algo que debes prever si tienes una fecha límite comercial.
  • Independencia: el auditor no puede haber participado en la consultoría o implantación de tu SGSI, la norma exige separación entre quien te ayuda a implantar y quien te certifica.
  • Referencias verificables: pide contacto con empresas ya certificadas por esa entidad en tu sector, la experiencia real de otros clientes dice más que la ficha comercial.

Las fases de la auditoría de certificación

La auditoría de certificación ISO 27001 no es un único examen, sino un proceso en dos etapas que evalúa primero el diseño de tu SGSI y después su funcionamiento real. Entender qué revisa el auditor en cada una ayuda a llegar preparado y a no confundir «tener la documentación lista» con «estar listo para la Fase 2».

Auditoría de Fase 1: revisión documental

En esta primera etapa, el auditor revisa la documentación de tu SGSI sin entrar todavía a evaluar cómo se aplica en el día a día. El objetivo es comprobar que el sistema está diseñado conforme a la norma antes de pasar a la parte operativa.

Los documentos que más se revisan en esta fase son la Declaración de Aplicabilidad, el Plan de Tratamiento de Riesgos, la política de seguridad de la información y el alcance definido para el SGSI. Por ejemplo, si tu Declaración de Aplicabilidad indica que aplicas el control A.8.10 sobre eliminación segura de información, el auditor buscará el procedimiento documentado que describe cómo se ejecuta ese control, aunque todavía no compruebe si se sigue en la práctica.

Si la Fase 1 detecta huecos importantes, como un alcance mal definido o documentos que no reflejan los controles reales de la organización, el auditor puede pedir que se corrijan antes de fijar fecha para la Fase 2. Adelantar esta revisión con una auditoría interna propia reduce el riesgo de sorpresas en este punto.

Auditoría de Fase 2: auditoría in situ

Aquí se evalúa si lo que dice la documentación se cumple en la práctica. El auditor entrevista a personal de distintas áreas, no solo al equipo de IT o al responsable de seguridad, y revisa registros de acceso, incidentes y formación para contrastar la teoría con la operativa real.

Un ejemplo habitual es el control de offboarding. Si tu política dice que los accesos se revocan el mismo día en que un empleado sale de la empresa, el auditor puede pedir el registro de una baja reciente y comprobar la fecha y hora exacta en la que se desactivaron sus cuentas. Otro ejemplo típico es el control de dispositivos. El auditor puede solicitar el inventario de equipos corporativos y verificar que coincide con los dispositivos físicos presentes, o preguntar a un empleado al azar cómo gestiona el cifrado de su portátil.

Esta fase suele incluir muestreos, es decir, el auditor no revisa el cien por cien de los casos, sino una selección representativa. Por eso la consistencia importa más que un caso aislado bien resuelto, si el proceso solo funciona cuando alguien lo prepara para la auditoría, la muestra tiende a dejarlo en evidencia.

Gestión de no conformidades

Si el auditor detecta desviaciones entre lo documentado y lo aplicado, las clasifica según su gravedad.

  • No conformidad menor: un fallo puntual o aislado, por ejemplo un registro de formación incompleto para un empleado. Suele resolverse con un plan de acción en pocas semanas, sin necesidad de repetir la auditoría.
  • No conformidad mayor: un fallo sistemático o que afecta a la eficacia del SGSI, por ejemplo un control clave del Anexo A que no se aplica en absoluto o una ausencia total de evidencia sobre un proceso obligatorio. Este tipo de hallazgo puede obligar a una visita adicional del auditor antes de emitir el certificado.
  • Oportunidad de mejora: no es una no conformidad, pero el auditor la señala como una recomendación para reforzar el sistema en próximos ciclos.

Emisión del certificado

Una vez cerradas las no conformidades detectadas, la certificadora emite el certificado ISO 27001 con una validez de tres años. Esa validez está sujeta a auditorías de seguimiento anuales, en las que se revisa si el SGSI sigue activo y si las no conformidades previas se han resuelto de forma efectiva.

El certificado suele incluir el alcance exacto auditado, así que conviene revisarlo con atención antes de comunicarlo a clientes o incluirlo en licitaciones, un alcance mal reflejado puede generar preguntas incómodas en un proceso de compra.

¿Cuánto tiempo se tarda en obtener la certificación?

No existe un plazo estándar. Una organización pequeña con un alcance acotado y procesos ya digitalizados puede completar todo el proceso, desde el diagnóstico inicial hasta la emisión del certificado, en pocos meses. Organizaciones más grandes, con múltiples sedes o sistemas heredados, pueden necesitar entre medio año y más de un año.

Los factores que más influyen en el plazo son el nivel de madurez previo en seguridad de la información, el tamaño del alcance definido para el SGSI, la disponibilidad de evidencia ya centralizada frente a la que hay que reconstruir manualmente, y la agenda de la certificadora elegida. La recomendación más habitual entre quienes ya han pasado por el proceso es tratarlo como un proyecto con recursos dedicados desde el inicio, no como una tarea añadida al trabajo diario de IT.

¿Cómo mantener la certificación una vez obtenida?

Conseguir el certificado suele sentirse como la meta, pero en realidad es el punto de partida de un ciclo de tres años. La certificadora no desaparece después de entregarte el sello, vuelve cada cierto tiempo para comprobar que tu SGSI sigue vivo y no se ha quedado congelado en el estado en el que se auditó.

  • Auditorías de seguimiento anuales: son visitas más cortas que la certificación inicial, normalmente centradas en una muestra de controles en lugar de en todo el sistema. El auditor comprueba que las no conformidades detectadas en la certificación se han corregido de verdad y no solo sobre el papel, y suele rotar qué áreas revisa de un año a otro para no auditar siempre lo mismo.
  • Auditoría de recertificación: se realiza antes de que caduquen los tres años de validez y tiene un alcance más parecido a la Fase 2 original. Si en los seguimientos anuales el SGSI se ha mantenido activo, esta auditoría suele ser más una confirmación que una sorpresa, si se han ido acumulando parches sin resolver, es el momento en que salen todos a la luz.
  • Mejora continua del SGSI: la norma no permite dejar el sistema tal como se certificó. Cada incidente de seguridad, cada nueva herramienta que se incorpora o cada cambio en la organización debería traducirse en una revisión de riesgos y controles. Un SGSI que no se actualiza es una de las causas más habituales de no conformidad en los seguimientos.
  • Continuidad en la evidencia: mantener la certificación depende de poder demostrar, en cualquier momento y no solo antes de una visita, que los controles siguen funcionando. Los registros de accesos, incidentes y formación deben generarse de forma constante para evitar el mismo problema de última hora que ya complica la certificación inicial.

Principales errores a la hora de la certificación

La mayoría de procesos de certificación no fracasan por falta de conocimiento técnico. Fracasan por decisiones de gestión que parecen menores en el momento y que luego cuestan semanas de retraso. Estos son los errores que más se repiten.

  • Tratar la certificación como un trámite puntual: cuando el objetivo es solo conseguir el sello, el SGSI se documenta para pasar la auditoría, no para funcionar en el día a día. El resultado es un sistema que aprueba la Fase 2 por los pelos y que empieza a acumular no conformidades en el primer seguimiento anual.
  • Dejar la evidencia para el final: los registros de accesos, incidentes y formación no se pueden reconstruir de memoria dos semanas antes de la auditoría. Si no se generan de forma continua, aparecen huecos que el auditor detecta enseguida y que son mucho más difíciles de justificar que un control simplemente mal aplicado.
  • Calcular mal el tiempo y los recursos que exige el proceso: certificarse no es una tarea que se pueda absorber entre otras responsabilidades del equipo de IT. Sin tiempo dedicado ni respaldo explícito de dirección, el proyecto se estira, pierde prioridad frente a lo urgente del día a día y llega a la auditoría peor preparado de lo previsto.
  • Elegir certificadora solo por el precio: una tarifa más baja que no incluye experiencia en tu sector o buena disponibilidad de agenda suele salir cara de otra forma, en plazos que se alargan o en un proceso de auditoría más costoso de gestionar internamente.
  • Repetir la misma no conformidad en cada auditoría: un hallazgo puntual no pone en riesgo la certificación, pero una desviación que reaparece auditoría tras auditoría sí lo hace, porque indica que el control nunca se corrigió de fondo, solo se maquilló para la siguiente visita.
  • No involucrar al personal fuera de IT: la Fase 2 incluye entrevistas a empleados de distintas áreas, no solo al equipo técnico. Si nadie más en la organización conoce las políticas del SGSI, esa brecha entre lo documentado y lo que la gente realmente sabe suele salir a la luz justo en ese momento.

¿Cómo te ayuda Factorial IT en el proceso de certificación?

La parte del proceso que más tiempo consume no suele ser diseñar las políticas. Suele ser demostrar que se cumplen. Factorial IT centraliza la gestión de dispositivos, accesos y seguridad de tu organización, y convierte esa gestión en evidencia lista para auditoría.

factorial it platform

  • Inventario de activos en tiempo real. El MDM mantiene un registro actualizado de todos los dispositivos corporativos, uno de los primeros elementos que revisa cualquier auditor en la Fase 1.
  • Gestión centralizada de accesos SaaS. Cada alta, baja y cambio de permisos queda registrado, lo que facilita justificar el control de acceso durante la Fase 2.
  • Offboarding automático y documentado. Cuando un empleado sale de la empresa, sus accesos se revocan y su equipo se bloquea de forma automática, con registro de fecha y hora, un control que los auditores revisan con frecuencia.
  • Detección y respuesta en endpoint (EDR). Aporta evidencia de que los dispositivos están protegidos y monitorizados, no solo inventariados.
  • Logs exportables en cualquier momento. En lugar de reconstruir evidencia manualmente antes de cada auditoría, los registros de actividad, accesos e incidentes están disponibles de forma continua, lo que reduce el trabajo de preparación tanto en la certificación inicial como en los seguimientos anuales.

Con esta base, tu equipo llega a la auditoría con evidencia real y verificable, en lugar de reunirla sobre la marcha en las semanas previas a la visita del auditor.