{"id":192006,"date":"2026-06-15T11:55:18","date_gmt":"2026-06-15T09:55:18","guid":{"rendered":"https:\/\/factorialhr.com\/blog\/?p=192006"},"modified":"2026-06-16T12:25:06","modified_gmt":"2026-06-16T10:25:06","slug":"iso-27001","status":"publish","type":"post","link":"https:\/\/factorial.es\/blog\/iso-27001\/","title":{"rendered":"ISO 27001: qu\u00e9 es, para qu\u00e9 sirve e importancia"},"content":{"rendered":"<p>La seguridad de la informaci\u00f3n ha dejado de ser un asunto exclusivo del equipo de IT. Los ataques de ransomware, las filtraciones de datos y los incidentes en la cadena de suministro <strong>afectan a empresas de todos los tama\u00f1os<\/strong>, y el coste medio de cada incidente sigue creciendo a\u00f1o tras a\u00f1o. En paralelo, el marco regulatorio se ha vuelto m\u00e1s exigente. Con la entrada en vigor de <a href=\"https:\/\/factorial.es\/blog\/nis2-espana\/\">NIS2<\/a>, la actualizaci\u00f3n del Esquema Nacional de Seguridad (ENS) y la presi\u00f3n creciente de clientes y partners por trabajar con proveedores certificados, cada vez m\u00e1s empresas espa\u00f1olas se plantean obtener la ISO 27001.<\/p>\n<p>En este art\u00edculo te explicamos <strong>qu\u00e9 es exactamente esta norma, para qu\u00e9 sirve, c\u00f3mo se estructura<\/strong> y por qu\u00e9 se ha convertido en el est\u00e1ndar de referencia para gestionar la seguridad de la informaci\u00f3n en cualquier organizaci\u00f3n, independientemente de su tama\u00f1o o sector.<\/p>\n<h2>\u00bfQu\u00e9 es la norma ISO 27001?<\/h2>\n<p>La <strong>ISO 27001<\/strong>, formalmente ISO\/IEC 27001, es la norma internacional que establece los requisitos para implantar, mantener y mejorar un<strong> Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI)<\/strong> dentro de una empresa. Dicho de otra forma, define <strong>c\u00f3mo organizar todo lo que tu empresa hace para proteger su informaci\u00f3n<\/strong>: desde qui\u00e9n puede acceder a qu\u00e9 documentos hasta c\u00f3mo se gestionan las contrase\u00f1as o qu\u00e9 pasa si un empleado pierde el port\u00e1til corporativo. El doble apellido viene de que la desarrollan conjuntamente la Organizaci\u00f3n Internacional de Normalizaci\u00f3n (ISO) y la Comisi\u00f3n Electrot\u00e9cnica Internacional (IEC).<\/p>\n<p>En la pr\u00e1ctica, su objetivo es <strong>proteger los tres pilares de la informaci\u00f3n<\/strong> frente a amenazas internas y externas:<\/p>\n<ul>\n<li><strong>Confidencialidad: <\/strong>que solo accedan a cada dato las personas autorizadas.<\/li>\n<li><strong>Integridad: <\/strong>que la informaci\u00f3n no se altere ni se borre sin permiso.<\/li>\n<li><strong>Disponibilidad: <\/strong>que est\u00e9 accesible cuando se necesita.<\/li>\n<\/ul>\n<p>Para conseguirlo no se limita a recomendar medidas t\u00e9cnicas como antivirus o copias de seguridad. <strong>Propone un marco de gesti\u00f3n completo<\/strong> que abarca pol\u00edticas, procesos, personas y tecnolog\u00eda, de manera que la seguridad deje de depender del esfuerzo puntual de una persona y pase a estar integrada en el d\u00eda a d\u00eda de la empresa.<\/p>\n<p>Aunque es voluntaria, en sectores como el tecnol\u00f3gico, el financiero o el sanitario, y especialmente al trabajar con la Administraci\u00f3n P\u00fablica, contar con la certificaci\u00f3n ha pasado a ser un requisito imprescindible.<\/p>\n<h3>Origen y evoluci\u00f3n de la ISO 27001<\/h3>\n<p>La ISO 27001 no naci\u00f3 de la nada. Sus ra\u00edces est\u00e1n en la <strong>BS 7799<\/strong>, una norma brit\u00e1nica publicada por el BSI en 1995 que recopilaba buenas pr\u00e1cticas en seguridad de la informaci\u00f3n. En <strong>2005<\/strong>, la ISO adopt\u00f3 esa base y public\u00f3<strong> la primera versi\u00f3n oficial de la norma<\/strong>. Desde entonces ha pasado por dos actualizaciones importantes:<\/p>\n<ul>\n<li><strong>ISO 27001:2005: <\/strong>primera versi\u00f3n internacional.<\/li>\n<li><strong>ISO 27001:2013: <\/strong>reorganizaci\u00f3n completa de la estructura y los controles.<\/li>\n<li><strong>ISO 27001:2022: <\/strong>versi\u00f3n vigente, adaptada a los nuevos riesgos digitales como el cloud, el teletrabajo, la cadena de suministro o la inteligencia artificial.<\/li>\n<\/ul>\n<p>Cada revisi\u00f3n refleja c\u00f3mo ha evolucionado el panorama de la ciberseguridad. La versi\u00f3n 2022 introduce, por ejemplo, controles espec\u00edficos para entornos cloud, monitorizaci\u00f3n continua y gesti\u00f3n de amenazas en la cadena de suministro, escenarios que en 2013 todav\u00eda eran emergentes.<\/p>\n<h3>Principales diferencias entre la 27001:2013 y la 27001:2022<\/h3>\n<p>La versi\u00f3n 2022 mantiene la estructura general de la norma, pero cambia a fondo el <strong>Anexo A<\/strong>, que es la lista oficial de medidas de seguridad concretas que la norma propone para proteger la informaci\u00f3n. Cada una de esas medidas se llama \u00abcontrol\u00bb (por ejemplo, exigir contrase\u00f1as robustas o cifrar los discos duros de los port\u00e1tiles). Estos son los cambios m\u00e1s relevantes:<\/p>\n<ul>\n<li><strong>El n\u00famero total de controles se reduce: <\/strong>pasan de 114 a 93, aunque la exigencia no baja. Muchos se han fusionado o reescrito y se han a\u00f1adido 11 nuevos para cubrir amenazas que antes no exist\u00edan.<\/li>\n<li><strong>La forma de agruparlos cambia: <\/strong>los 14 grupos tem\u00e1ticos anteriores (llamados \u00abdominios\u00bb) se reorganizan en 4 categor\u00edas m\u00e1s claras: controles organizativos (pol\u00edticas, procedimientos, roles), de personas (formaci\u00f3n, responsabilidades, gesti\u00f3n de empleados), f\u00edsicos (acceso a oficinas, protecci\u00f3n de equipos) y tecnol\u00f3gicos (cifrado, copias de seguridad, gesti\u00f3n de accesos).<\/li>\n<li><strong>Aparecen controles modernos: <\/strong>la inteligencia de amenazas (recopilar y analizar informaci\u00f3n sobre ataques en curso), la seguridad en la nube, la prevenci\u00f3n de fugas de datos o el desarrollo seguro de software son algunos de los m\u00e1s relevantes.<\/li>\n<li><strong>Cada control se etiqueta con atributos: <\/strong>es un sistema nuevo que permite filtrar los controles seg\u00fan el tipo de medida (preventivos, de detecci\u00f3n o correctivos), el \u00e1rea a la que aplica o la propiedad que protege (confidencialidad, integridad o disponibilidad). En la pr\u00e1ctica, facilita saber qu\u00e9 controles aplicar en cada situaci\u00f3n.<\/li>\n<\/ul>\n<p>El <strong>periodo de transici\u00f3n desde la versi\u00f3n 2013 finaliz\u00f3 el 31 de octubre de 2025<\/strong>. Desde esa fecha, los certificados emitidos bajo la versi\u00f3n anterior han dejado de ser v\u00e1lidos y todas las empresas certificadas tienen que estar adaptadas a la 27001:2022.<\/p>\n<h2>\u00bfPara qu\u00e9 sirve la ISO 27001?<\/h2>\n<p>Las empresas que se certifican lo hacen por una mezcla de presi\u00f3n externa y oportunidad interna. Estos son los motivos m\u00e1s habituales:<\/p>\n<ul>\n<li><strong>Acceso a clientes y licitaciones:<\/strong> cada vez m\u00e1s empresas grandes y administraciones piden la ISO 27001 como requisito previo para contratar, especialmente en sectores financiero, sanitario y tecnol\u00f3gico. Sin certificado, te quedas fuera del proceso comercial antes incluso de la primera reuni\u00f3n.<\/li>\n<li><strong>Diferenciaci\u00f3n frente a competidores:<\/strong> en categor\u00edas donde casi todo el mundo dice \u00abtomarse la seguridad en serio\u00bb, el certificado convierte una promesa en un hecho auditado por una entidad externa.<\/li>\n<li><strong>Cumplimiento de normativas que se apoyan en ella:<\/strong> NIS2, RGPD y el ENS comparten una parte importante de los requisitos de la 27001. Tener la norma implantada acorta el camino hacia el resto, en lugar de duplicar trabajo.<\/li>\n<li><strong>Expansi\u00f3n a mercados internacionales:<\/strong> en Reino Unido, Alemania, Pa\u00edses Bajos o en cuentas corporativas estadounidenses, la certificaci\u00f3n se da por descontada al evaluar proveedores. No tenerla cierra puertas que ni siquiera se mencionan en la conversaci\u00f3n.<\/li>\n<li><strong>An\u00e1lisis de riesgos real:<\/strong> el proceso obliga a inventariar activos, evaluar amenazas y priorizar controles. Muchas empresas descubren vulnerabilidades importantes que nunca hab\u00edan cuantificado, simplemente porque hasta ese momento nadie ten\u00eda la obligaci\u00f3n de mirarlas.<\/li>\n<li><strong>Respuesta a incidentes documentada:<\/strong> cuando algo falla, los procedimientos est\u00e1n escritos, los responsables asignados y los tiempos definidos. Eso reduce el impacto econ\u00f3mico y operativo de cada incidente, y adem\u00e1s facilita la negociaci\u00f3n con aseguradoras de ciberriesgo, que premian a las empresas certificadas con mejores primas y coberturas.<\/li>\n<\/ul>\n<h2>\u00bfA qu\u00e9 empresas aplica la ISO 27001?<\/h2>\n<p>La ISO 27001 es<strong> una norma voluntaria pensada como un est\u00e1ndar universal<\/strong>. Aplica a cualquier empresa que maneje informaci\u00f3n sensible, independientemente de su tama\u00f1o o sector. Aunque ninguna ley obliga a certificarse, hay contextos en los que ha pasado de ser una buena pr\u00e1ctica a convertirse en un requisito de facto.<\/p>\n<h3>Cualquier tama\u00f1o y cualquier sector<\/h3>\n<p>La norma no impone un tama\u00f1o m\u00ednimo de empresa ni excluye a ning\u00fan sector. Tanto una startup de cinco personas como una multinacional pueden certificarse, porque <strong>cada organizaci\u00f3n define el alcance de su SGSI en funci\u00f3n de su tama\u00f1o, sus riesgos y sus recursos<\/strong>. Una pyme no implanta los mismos controles ni con el mismo nivel de detalle que una empresa con miles de empleados, pero ambas pueden cumplir con la norma.<\/p>\n<p>Esto explica que la certificaci\u00f3n se haya extendido por sectores muy diversos. Cualquier empresa que dependa de su informaci\u00f3n (datos de clientes, propiedad intelectual, c\u00f3digo fuente, contratos, historiales cl\u00ednicos) tiene incentivos para implantarla. Y dado que pr\u00e1cticamente todas las empresas dependen hoy de la informaci\u00f3n digital, el alcance potencial es enorme.<\/p>\n<h3>Sectores donde es pr\u00e1cticamente obligatoria<\/h3>\n<p>Hay sectores en los que operar sin la certificaci\u00f3n es cada vez m\u00e1s complicado:<\/p>\n<ul>\n<li><strong>Tecnol\u00f3gico:<\/strong> empresas de SaaS, hosting, ciberseguridad, MSP o desarrollo de software se enfrentan a clientes que exigen ISO 27001 antes de firmar.<\/li>\n<li><strong>Financiero y asegurador:<\/strong> bancos, fintech y aseguradoras manejan datos cr\u00edticos y operan bajo supervisi\u00f3n de organismos como el Banco de Espa\u00f1a, la CNMV o la DGSFP.<\/li>\n<li><strong>Sanitario:<\/strong> hospitales, cl\u00ednicas, laboratorios y plataformas de salud digital trabajan con historiales cl\u00ednicos sujetos al RGPD y a normativa sectorial espec\u00edfica.<\/li>\n<li><strong>Administraci\u00f3n P\u00fablica y sus proveedores:<\/strong> el ENS exige medidas equivalentes a muchas de las que cubre la 27001, y la certificaci\u00f3n se valora (o se exige directamente) en concursos p\u00fablicos.<\/li>\n<li><strong>Infraestructuras cr\u00edticas y telecomunicaciones:<\/strong> empresas de energ\u00eda, transporte, agua o telecomunicaciones entran dentro del alcance de NIS2 y deben demostrar un nivel alto de madurez en seguridad.<\/li>\n<\/ul>\n<p>M\u00e1s all\u00e1 de estos sectores, tambi\u00e9n es habitual que<strong> empresas que trabajan con grandes cuentas internacionales <\/strong>se planteen la certificaci\u00f3n como un requisito comercial. Cualquier negocio con clientes en Estados Unidos, Alemania o el Reino Unido recibe tarde o temprano la pregunta: \u00ab\u00bfEst\u00e1is certificados en ISO 27001?\u00bb.<\/p>\n<h2>Beneficios de implantar la ISO 27001<\/h2>\n<p>Implantar la ISO 27001 genera beneficios que van m\u00e1s all\u00e1 de tener un certificado en la pared. Algunos son inmediatos, como el acceso a determinados procesos comerciales. Otros se notan a medio plazo, en forma de menos incidentes, menos auditor\u00edas paralelas y una organizaci\u00f3n m\u00e1s madura en su manera de gestionar la informaci\u00f3n.<\/p>\n<ul>\n<li><strong>Refuerza la confianza de clientes, partners y empleados: <\/strong>el certificado funciona como un aval objetivo sobre c\u00f3mo gestiona tu empresa la informaci\u00f3n sensible, sin necesidad de explicar cada control en detalle.<\/li>\n<li><strong>Abre la puerta a concursos p\u00fablicos, grandes cuentas y mercados internacionales:<\/strong> cada vez m\u00e1s empresas y administraciones exigen ISO 27001 como requisito de homologaci\u00f3n, especialmente en sectores regulados y al contratar con clientes en Estados Unidos, Alemania o el Reino Unido.<\/li>\n<li><strong>Reduce la probabilidad y el impacto de los incidentes de seguridad:<\/strong> los controles preventivos paran ataques que en otras circunstancias se materializar\u00edan, y los planes de respuesta y continuidad acortan el tiempo de recuperaci\u00f3n cuando algo falla.<\/li>\n<li><strong>Acelera el cumplimiento de NIS2, ENS y RGPD:<\/strong> la 27001 cubre buena parte de los requisitos de estas normativas, as\u00ed que el equipo legal y de seguridad reutiliza pol\u00edticas, evidencias y controles en lugar de duplicarlos.<\/li>\n<li><strong>Crea una cultura de seguridad transversal en la empresa:<\/strong> la formaci\u00f3n obligatoria del personal y la asignaci\u00f3n clara de responsabilidades hacen que la seguridad deje de ser \u00abcosa del equipo de IT\u00bb y pase a estar presente en el d\u00eda a d\u00eda de todos los departamentos.<\/li>\n<li><strong>Facilita la integraci\u00f3n con otros sistemas de gesti\u00f3n:<\/strong> la 27001 comparte la misma estructura que otras normas ISO populares como la 9001 (calidad) o la 22301 (continuidad de negocio), lo que ayuda a unificar pol\u00edticas, auditor\u00edas y documentaci\u00f3n si la empresa ya tiene otras certificaciones.<\/li>\n<li><strong>Puede reducir las primas de los seguros de ciberriesgo:<\/strong> cada vez m\u00e1s aseguradoras valoran la certificaci\u00f3n a la hora de calcular las primas o las condiciones de cobertura, porque indica un nivel alto de madurez en gesti\u00f3n de riesgos.<\/li>\n<\/ul>\n<h2>Estructura de la norma ISO 27001<\/h2>\n<p>La ISO 27001 se organiza en torno a un <strong>cuerpo normativo de once cl\u00e1usulas<\/strong> (de la 0 a la 10) y un <strong>Anexo A<\/strong> con 93 controles de seguridad concretos que la empresa puede aplicar. Las cuatro primeras son introductorias y la auditor\u00eda se centra en las siete siguientes (de la 4 a la 10), donde se concentran los requisitos obligatorios del SGSI:<\/p>\n<ul>\n<li><strong>0:<\/strong> Introducci\u00f3n. Presenta el objetivo de la norma, su enfoque basado en riesgos y su compatibilidad con otros sistemas de gesti\u00f3n.<\/li>\n<li><strong>1:<\/strong> Objeto y campo de aplicaci\u00f3n. Explica para qu\u00e9 sirve la norma y a qu\u00e9 tipo de organizaciones va dirigida.<\/li>\n<li><strong>2:<\/strong> Referencias normativas. Lista los documentos que hay que consultar junto con la 27001, principalmente la ISO\/IEC 27000.<\/li>\n<li><strong>3:<\/strong> T\u00e9rminos y definiciones. Glosario oficial de los conceptos que aparecen en la norma.<\/li>\n<li><strong>4:<\/strong> Contexto de la organizaci\u00f3n. Obliga a entender qu\u00e9 hace la empresa, qui\u00e9nes son sus partes interesadas (clientes, empleados, proveedores, reguladores) y qu\u00e9 informaci\u00f3n protege. Aqu\u00ed se define el alcance del SGSI.<\/li>\n<li><strong>5:<\/strong> Liderazgo. La alta direcci\u00f3n debe comprometerse con la seguridad, asignar roles y aprobar la pol\u00edtica de seguridad. Sin ese compromiso, la 27001 no funciona.<\/li>\n<li><strong>6:<\/strong> Planificaci\u00f3n. Es donde se hace el an\u00e1lisis de riesgos, se definen los objetivos de seguridad y se planifican los cambios.<\/li>\n<li><strong>7:<\/strong> Soporte. Cubre los recursos (personas, presupuesto, infraestructura), la formaci\u00f3n, la comunicaci\u00f3n y la documentaci\u00f3n del SGSI.<\/li>\n<li><strong>8:<\/strong> Operaci\u00f3n. Es el d\u00eda a d\u00eda. Aplicar los controles definidos, gestionar los riesgos identificados y tratar los incidentes que aparezcan.<\/li>\n<li><strong>9:<\/strong> Evaluaci\u00f3n del desempe\u00f1o. Auditor\u00edas internas, indicadores y revisi\u00f3n por la direcci\u00f3n. Sirve para comprobar que el SGSI funciona como deber\u00eda.<\/li>\n<li><strong>10: <\/strong>Mejora. Tratar las no conformidades, aplicar acciones correctivas e implantar mejoras continuas.<\/li>\n<\/ul>\n<p>Las siete cl\u00e1usulas obligatorias<strong> siguen la l\u00f3gica del ciclo PDCA<\/strong> (Planificar, Hacer, Verificar, Actuar), que es la base de todas las normas de gesti\u00f3n modernas y lo que permite que el SGSI evolucione con la empresa. Los 93 controles del Anexo A, que veremos en detalle en la siguiente secci\u00f3n, son los que<strong> la empresa elige aplicar en funci\u00f3n de los riesgos identificados<\/strong> durante la cl\u00e1usula 6.<\/p>\n<h2>El Anexo A de la ISO 27001<\/h2>\n<p>El Anexo A de la ISO 27001 es la secci\u00f3n de la norma que recoge la lista oficial de controles de seguridad que una empresa puede aplicar para proteger su informaci\u00f3n. En la versi\u00f3n 2022 son <strong>93 controles<\/strong>, agrupados en<strong> cuatro grandes categor\u00edas<\/strong> seg\u00fan el tipo de medida que cubren. No hay que implantarlos todos, cada empresa selecciona los que correspondan a los riesgos identificados durante la planificaci\u00f3n del SGSI y justifica las exclusiones en un documento llamado Declaraci\u00f3n de Aplicabilidad (SoA).<\/p>\n<ul>\n<li><strong>Controles organizativos (37 controles):<\/strong> es el grupo m\u00e1s amplio. Cubre todo lo relacionado con pol\u00edticas, procesos, roles y relaciones con terceros. Aqu\u00ed entran la pol\u00edtica general de seguridad, la clasificaci\u00f3n de la informaci\u00f3n, la gesti\u00f3n de proveedores, la respuesta a incidentes, la inteligencia de amenazas o la continuidad de negocio.<\/li>\n<li><strong>Controles de personas (8 controles):<\/strong> se ocupan del factor humano, es decir, de c\u00f3mo se selecciona, forma y gestiona al personal con acceso a informaci\u00f3n sensible. Incluyen las verificaciones previas a la contrataci\u00f3n, las cl\u00e1usulas de confidencialidad, la formaci\u00f3n en seguridad, las responsabilidades tras la finalizaci\u00f3n del contrato o las acciones disciplinarias en caso de incumplimiento.<\/li>\n<li><strong>Controles f\u00edsicos (14 controles):<\/strong> protegen los activos tangibles y el entorno donde se procesa la informaci\u00f3n. Cubren el control de accesos a oficinas y centros de datos, las medidas frente a robos o desastres naturales, la seguridad del cableado, el mantenimiento de los equipos o la gesti\u00f3n de soportes extra\u00edbles.<\/li>\n<li><strong>Controles tecnol\u00f3gicos (34 controles):<\/strong> son los controles t\u00e9cnicos que se aplican sobre los sistemas, las redes y los dispositivos. Aqu\u00ed est\u00e1n la gesti\u00f3n de accesos, el cifrado, la autenticaci\u00f3n, las copias de seguridad, la prevenci\u00f3n de fugas de datos (DLP), el filtrado web, la monitorizaci\u00f3n de la actividad o el desarrollo seguro de software.<\/li>\n<\/ul>\n<h2>\u00bfC\u00f3mo implementar la ISO 27001 paso a paso?<\/h2>\n<p>Implantar un SGSI conforme a la ISO 27001 lleva <strong>entre seis meses y dos a\u00f1os<\/strong>, seg\u00fan el tama\u00f1o de la empresa, el alcance que se defina y la madurez previa en seguridad. El proceso completo se puede dividir en seis pasos.<\/p>\n<h3>1. Compromiso de la direcci\u00f3n y definir el alcance<\/h3>\n<p>Sin el respaldo expl\u00edcito de la direcci\u00f3n, no hay SGSI que se sostenga. <strong>La alta direcci\u00f3n debe aprobar el proyecto<\/strong>, asignar presupuesto y nombrar a un responsable interno (normalmente un CISO, un responsable de seguridad o un coordinador del SGSI).<\/p>\n<p>A la vez, hay que delimitar el alcance. Es decir, sobre qu\u00e9 partes de la empresa se va a aplicar la norma. Algunas opciones habituales:<\/p>\n<ul>\n<li>Toda la organizaci\u00f3n.<\/li>\n<li>Una unidad de negocio concreta.<\/li>\n<li>Un producto o servicio (por ejemplo, solo la plataforma SaaS de la empresa).<\/li>\n<li>Una sede o filial espec\u00edfica.<\/li>\n<\/ul>\n<p>Cuanto m\u00e1s amplio sea el alcance, m\u00e1s exigente ser\u00e1 la implantaci\u00f3n y m\u00e1s alto ser\u00e1 el coste de la auditor\u00eda.<\/p>\n<h3>2. Inventariar y clasificar los activos de informaci\u00f3n<\/h3>\n<p>Antes de proteger algo, hay que saber qu\u00e9 se est\u00e1 protegiendo. En esta fase se elabora <strong>un inventario detallado de todos los activos de informaci\u00f3n de la empresa<\/strong> y se les asigna un nivel de criticidad. Pueden ser activos:<\/p>\n<ul>\n<li><strong>Datos:<\/strong> bases de datos de clientes, propiedad intelectual, contratos, c\u00f3digo fuente.<\/li>\n<li><strong>Software:<\/strong> aplicaciones, sistemas operativos, herramientas SaaS.<\/li>\n<li><strong>Hardware: <\/strong>servidores, port\u00e1tiles, m\u00f3viles, equipos de red.<\/li>\n<li><strong>Servicios:<\/strong> cloud, hosting, conectividad.<\/li>\n<li><strong>Personas:<\/strong> empleados con acceso privilegiado, administradores de sistemas.<\/li>\n<\/ul>\n<p>Cada activo se clasifica normalmente en tres o cuatro niveles (p\u00fablico, interno, confidencial, restringido) seg\u00fan el impacto que tendr\u00eda su p\u00e9rdida o filtraci\u00f3n.<\/p>\n<h3>3. Analizar y evaluar los riesgos<\/h3>\n<p>Este es probablemente el paso m\u00e1s t\u00e9cnico. Para cada activo identificado, hay que <strong>estudiar a qu\u00e9 amenazas est\u00e1 expuesto <\/strong>(un ataque, un error humano, una aver\u00eda), qu\u00e9 vulnerabilidades pueden ser explotadas y qu\u00e9 impacto tendr\u00eda un incidente en la empresa. La combinaci\u00f3n de probabilidad e impacto da el nivel de riesgo.<\/p>\n<p>A partir de ese nivel, la empresa decide c\u00f3mo tratar cada riesgo. Las opciones son cuatro:<strong> mitigarlo<\/strong> aplicando controles, <strong>transferirlo<\/strong> (por ejemplo, contratando un seguro de ciberriesgo), <strong>aceptarlo<\/strong> si est\u00e1 dentro del umbral tolerable o <strong>evitarlo<\/strong> eliminando la actividad que lo genera. Esta decisi\u00f3n queda documentada en el plan de tratamiento de riesgos.<\/p>\n<h3>4. Seleccionar e implantar los controles<\/h3>\n<p>Con el plan de tratamiento sobre la mesa, llega el momento de <strong>elegir los controles del Anexo A<\/strong> que se van a aplicar. Cada control seleccionado debe estar justificado y vinculado a uno o varios riesgos identificados en el paso anterior. Las exclusiones tambi\u00e9n.<\/p>\n<p>El resultado se recoge en la <strong>Declaraci\u00f3n de Aplicabilidad (SoA)<\/strong>, un documento que para cada uno de los 93 controles indica si se aplica, c\u00f3mo se ha implantado y, en caso de exclusi\u00f3n, por qu\u00e9. Es uno de los documentos que m\u00e1s se revisan en la auditor\u00eda externa.<\/p>\n<p>Una vez aprobada la SoA, la teor\u00eda se traduce en realidad. Se redactan las pol\u00edticas de seguridad, se configuran los controles t\u00e9cnicos (cifrado de discos, MFA, gesti\u00f3n de accesos, monitorizaci\u00f3n), se firman acuerdos de confidencialidad con empleados y proveedores, y se ponen en marcha los procesos operativos del SGSI.<\/p>\n<h3>5. Formar y concienciar al personal<\/h3>\n<p>La mayor\u00eda de las brechas de seguridad empiezan en un clic, por eso la formaci\u00f3n no es opcional, sino una pieza obligatoria del SGSI. <strong>Cada empleado debe entender qu\u00e9 informaci\u00f3n maneja<\/strong>, c\u00f3mo protegerla y a qui\u00e9n avisar si detecta algo extra\u00f1o. Las sesiones suelen incluir buenas pr\u00e1cticas de contrase\u00f1as, identificaci\u00f3n de phishing, uso responsable de dispositivos corporativos y procedimiento de respuesta a incidentes.<\/p>\n<h3>6. Auditarse internamente y pasar la certificaci\u00f3n<\/h3>\n<p>Antes de presentarse a la certificaci\u00f3n, la empresa tiene que auditarse a s\u00ed misma. La auditor\u00eda interna la realiza personal cualificado (interno o externo, pero independiente del SGSI) y comprueba que:<\/p>\n<ul>\n<li>La documentaci\u00f3n est\u00e1 completa y actualizada.<\/li>\n<li>Los controles funcionan tal y como est\u00e1n descritos.<\/li>\n<li>Las evidencias son trazables y verificables.<\/li>\n<li>Las no conformidades detectadas se han tratado.<\/li>\n<\/ul>\n<p>A continuaci\u00f3n, <strong>la alta direcci\u00f3n revisa el estado general del SGSI<\/strong>, eval\u00faa los indicadores y aprueba las acciones de mejora.<\/p>\n<p>Despu\u00e9s llega la<strong> auditor\u00eda externa<\/strong>, que realiza una entidad acreditada independiente (en Espa\u00f1a las m\u00e1s habituales son AENOR, Bureau Veritas, SGS, T\u00dcV Rheinland o LRQA, entre otras). Se divide en dos fases. En la <strong>fase 1<\/strong>, el auditor revisa la documentaci\u00f3n del SGSI, comprueba que el alcance est\u00e1 bien definido y prepara la auditor\u00eda de campo. En la <strong>fase 2<\/strong>, eval\u00faa la implantaci\u00f3n real de los controles mediante entrevistas, revisi\u00f3n de evidencias y pruebas en los sistemas.<\/p>\n<p>Si todo est\u00e1 en orden, se emite el certificado, que tiene <strong>una validez de tres a\u00f1os<\/strong>. Durante ese periodo se realizan auditor\u00edas de seguimiento anuales y, al cumplir los tres a\u00f1os, una auditor\u00eda de renovaci\u00f3n completa.<\/p>\n<h2>Errores frecuentes al implantar la ISO 27001<\/h2>\n<p>La mayor\u00eda de las implantaciones que se atascan lo hacen por errores de enfoque. Estos son los seis errores que m\u00e1s se repiten.<\/p>\n<ul>\n<li><strong>Tratar la norma como un proyecto puntual:<\/strong> la ISO 27001 no se aprueba como un examen, se mantiene. Las empresas que bajan el ritmo tras certificarse llegan a la siguiente auditor\u00eda con la mitad del SGSI desactualizado.<\/li>\n<li><strong>Definir un alcance demasiado estrecho:<\/strong> reducir el alcance al departamento m\u00e1s preparado abarata la auditor\u00eda, pero el certificado refleja solo esa parte. Cualquier cliente atento lo detecta a la primera lectura.<\/li>\n<li><strong>Documentar para el auditor en lugar de para la operaci\u00f3n:<\/strong> una pol\u00edtica que nadie usa en el d\u00eda a d\u00eda solo sirve para superar la auditor\u00eda. Cuando llegue el siguiente incidente, esa pol\u00edtica no va a ayudar a nadie.<\/li>\n<li><strong>Subestimar la gesti\u00f3n del parque de dispositivos:<\/strong> sin inventario actualizado ni controles homog\u00e9neos sobre port\u00e1tiles y m\u00f3viles, varios controles del Anexo A caen a la vez en la auditor\u00eda. Un endpoint sin gestionar es una de las entradas m\u00e1s f\u00e1ciles para un atacante.<\/li>\n<li><strong>Externalizar todo a una consultora: <\/strong>una consultora acompa\u00f1a, no reemplaza al equipo interno. Si el conocimiento queda fuera, la primera salida del proveedor deja a la empresa a ciegas.<\/li>\n<li><strong>Tratar la formaci\u00f3n como un tr\u00e1mite:<\/strong> un curso de 30 minutos al a\u00f1o no conciencia a nadie. Hace falta formaci\u00f3n espec\u00edfica por perfil, refuerzos peri\u00f3dicos y simulaciones reales (phishing, respuesta a incidentes).<\/li>\n<\/ul>\n<h2>\u00bfC\u00f3mo Factorial IT te ayuda a conseguir la ISO 27001?<\/h2>\n<p><a href=\"https:\/\/factorial.es\/factorial-it\">Factorial IT<\/a> cubre desde una sola plataforma <strong>los frentes t\u00e9cnicos que m\u00e1s se examinan en una auditor\u00eda ISO 27001 <\/strong>(identidades, dispositivos, accesos SaaS, antivirus y empleados), de manera que la evidencia que pide el auditor se genera sola con la operativa diaria, sin tener que reconstruir nada el d\u00eda de la auditor\u00eda. Estos son los seis bloques que automatiza:<\/p>\n<p><img decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/factorial.es\/wp-content\/uploads\/2026\/03\/23134110\/factorial-it-platform-1024x506.png\" alt=\"factorial it platform\" \/><\/p>\n<ul>\n<li><strong>Inventario de activos IT:<\/strong> Cat\u00e1logo autom\u00e1tico de dispositivos, software y accesos de la empresa, siempre actualizado y exportable para auditor\u00eda.<\/li>\n<li><strong>Control de accesos:<\/strong> gesti\u00f3n centralizada de los accesos a herramientas SaaS, con permisos asignados y revocados autom\u00e1ticamente seg\u00fan el rol del empleado.<\/li>\n<li><strong>Seguridad de dispositivos:<\/strong> cifrado, contrase\u00f1as y bloqueo aplicados autom\u00e1ticamente en cada equipo. Compatible con Mac, iOS, Windows y Linux.<\/li>\n<li><strong>Offboarding seguro:<\/strong> al registrar una baja en RRHH, todos los accesos del empleado se cierran sin intervenci\u00f3n manual y sin cuentas residuales.<\/li>\n<li><strong>Protecci\u00f3n frente a malware:<\/strong> antivirus avanzado desplegado en cada dispositivo, con detecci\u00f3n de malware, ransomware y amenazas zero-day.<\/li>\n<li><strong>Evidencias de auditor\u00eda:<\/strong> registros e informes de cumplimiento generados autom\u00e1ticamente, listos para exportar y presentar al auditor en cualquier momento.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>La seguridad de la informaci\u00f3n ha dejado de ser un asunto exclusivo del equipo de IT. Los ataques de ransomware, las filtraciones de datos y los incidentes en la cadena de suministro afectan a empresas de todos los tama\u00f1os, y el coste medio de cada incidente sigue creciendo a\u00f1o tras a\u00f1o. En paralelo, el marco<a href=\"https:\/\/factorial.es\/blog\/iso-27001\/\" class=\"read-more\"> [&#8230;]<\/a><\/p>\n","protected":false},"author":352,"featured_media":192088,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1091],"tags":[],"class_list":["post-192006","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-iso-27001"],"acf":{"topics":"factorial-it"},"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v21.5 (Yoast SEO v21.9.1) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>ISO 27001: qu\u00e9 es, para qu\u00e9 sirve e importancia | Factorial<\/title>\n<meta name=\"description\" content=\"\u00bfTienes dudas sobre la ISO 27001? Te explicamos todo lo que tienes que saber. \u00a1Entra y desc\u00fabrelo!\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/factorial.es\/blog\/iso-27001\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"ISO 27001: qu\u00e9 es, para qu\u00e9 sirve e importancia\" \/>\n<meta property=\"og:description\" content=\"\u00bfTienes dudas sobre la ISO 27001? Te explicamos todo lo que tienes que saber. \u00a1Entra y desc\u00fabrelo!\" \/>\n<meta property=\"og:url\" content=\"https:\/\/factorial.es\/blog\/iso-27001\/\" \/>\n<meta property=\"og:site_name\" content=\"Factorial\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-06-15T09:55:18+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-06-16T10:25:06+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/factorialhr.com\/wp-content\/uploads\/2026\/06\/12125907\/iso-27001.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1800\" \/>\n\t<meta property=\"og:image:height\" content=\"976\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Enrique Quiroga\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@factorialapp\" \/>\n<meta name=\"twitter:site\" content=\"@factorialapp\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Enrique Quiroga\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"17 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/factorial.es\/blog\/iso-27001\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/factorial.es\/blog\/iso-27001\/\"},\"author\":{\"name\":\"Enrique Quiroga\",\"@id\":\"https:\/\/factorial.es\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014\"},\"headline\":\"ISO 27001: qu\u00e9 es, para qu\u00e9 sirve e importancia\",\"datePublished\":\"2026-06-15T09:55:18+00:00\",\"dateModified\":\"2026-06-16T10:25:06+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/factorial.es\/blog\/iso-27001\/\"},\"wordCount\":3930,\"publisher\":{\"@id\":\"https:\/\/factorial.es\/blog\/#organization\"},\"articleSection\":[\"ISO 27001\"],\"inLanguage\":\"es\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/factorial.es\/blog\/iso-27001\/\",\"url\":\"https:\/\/factorial.es\/blog\/iso-27001\/\",\"name\":\"ISO 27001: qu\u00e9 es, para qu\u00e9 sirve e importancia | Factorial\",\"isPartOf\":{\"@id\":\"https:\/\/factorial.es\/blog\/#website\"},\"datePublished\":\"2026-06-15T09:55:18+00:00\",\"dateModified\":\"2026-06-16T10:25:06+00:00\",\"description\":\"\u00bfTienes dudas sobre la ISO 27001? Te explicamos todo lo que tienes que saber. \u00a1Entra y desc\u00fabrelo!\",\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/factorial.es\/blog\/iso-27001\/\"]}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/factorial.es\/blog\/#website\",\"url\":\"https:\/\/factorial.es\/blog\/\",\"name\":\"Factorial\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\/\/factorial.es\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/factorial.es\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"es\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/factorial.es\/blog\/#organization\",\"name\":\"All-in-one business management software - Factorial\",\"url\":\"https:\/\/factorial.es\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/factorial.es\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/factorial.es\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png\",\"contentUrl\":\"https:\/\/factorial.es\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png\",\"width\":946,\"height\":880,\"caption\":\"All-in-one business management software - Factorial\"},\"image\":{\"@id\":\"https:\/\/factorial.es\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/\",\"https:\/\/twitter.com\/factorialapp\",\"https:\/\/www.linkedin.com\/company\/factorialhr\",\"https:\/\/www.youtube.com\/@factorialmedia\",\"https:\/\/www.instagram.com\/factorial\/#\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/factorial.es\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014\",\"name\":\"Enrique Quiroga\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/factorial.es\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g\",\"caption\":\"Enrique Quiroga\"},\"url\":\"https:\/\/factorial.es\/blog\/author\/enrique-quiroga\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"ISO 27001: qu\u00e9 es, para qu\u00e9 sirve e importancia | Factorial","description":"\u00bfTienes dudas sobre la ISO 27001? Te explicamos todo lo que tienes que saber. \u00a1Entra y desc\u00fabrelo!","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/factorial.es\/blog\/iso-27001\/","og_locale":"es_ES","og_type":"article","og_title":"ISO 27001: qu\u00e9 es, para qu\u00e9 sirve e importancia","og_description":"\u00bfTienes dudas sobre la ISO 27001? Te explicamos todo lo que tienes que saber. \u00a1Entra y desc\u00fabrelo!","og_url":"https:\/\/factorial.es\/blog\/iso-27001\/","og_site_name":"Factorial","article_publisher":"https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/","article_published_time":"2026-06-15T09:55:18+00:00","article_modified_time":"2026-06-16T10:25:06+00:00","og_image":[{"width":1800,"height":976,"url":"https:\/\/factorialhr.com\/wp-content\/uploads\/2026\/06\/12125907\/iso-27001.png","type":"image\/png"}],"author":"Enrique Quiroga","twitter_card":"summary_large_image","twitter_creator":"@factorialapp","twitter_site":"@factorialapp","twitter_misc":{"Written by":"Enrique Quiroga","Est. reading time":"17 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/factorial.es\/blog\/iso-27001\/#article","isPartOf":{"@id":"https:\/\/factorial.es\/blog\/iso-27001\/"},"author":{"name":"Enrique Quiroga","@id":"https:\/\/factorial.es\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014"},"headline":"ISO 27001: qu\u00e9 es, para qu\u00e9 sirve e importancia","datePublished":"2026-06-15T09:55:18+00:00","dateModified":"2026-06-16T10:25:06+00:00","mainEntityOfPage":{"@id":"https:\/\/factorial.es\/blog\/iso-27001\/"},"wordCount":3930,"publisher":{"@id":"https:\/\/factorial.es\/blog\/#organization"},"articleSection":["ISO 27001"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/factorial.es\/blog\/iso-27001\/","url":"https:\/\/factorial.es\/blog\/iso-27001\/","name":"ISO 27001: qu\u00e9 es, para qu\u00e9 sirve e importancia | Factorial","isPartOf":{"@id":"https:\/\/factorial.es\/blog\/#website"},"datePublished":"2026-06-15T09:55:18+00:00","dateModified":"2026-06-16T10:25:06+00:00","description":"\u00bfTienes dudas sobre la ISO 27001? Te explicamos todo lo que tienes que saber. \u00a1Entra y desc\u00fabrelo!","inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/factorial.es\/blog\/iso-27001\/"]}]},{"@type":"WebSite","@id":"https:\/\/factorial.es\/blog\/#website","url":"https:\/\/factorial.es\/blog\/","name":"Factorial","description":"","publisher":{"@id":"https:\/\/factorial.es\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/factorial.es\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/factorial.es\/blog\/#organization","name":"All-in-one business management software - Factorial","url":"https:\/\/factorial.es\/blog\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/factorial.es\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/factorial.es\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png","contentUrl":"https:\/\/factorial.es\/wp-content\/uploads\/2023\/07\/18155144\/factorial-logo.png","width":946,"height":880,"caption":"All-in-one business management software - Factorial"},"image":{"@id":"https:\/\/factorial.es\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/people\/Factorial\/100064908455810\/","https:\/\/twitter.com\/factorialapp","https:\/\/www.linkedin.com\/company\/factorialhr","https:\/\/www.youtube.com\/@factorialmedia","https:\/\/www.instagram.com\/factorial\/#"]},{"@type":"Person","@id":"https:\/\/factorial.es\/blog\/#\/schema\/person\/576a40f0f266777ab73068c097d59014","name":"Enrique Quiroga","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/factorial.es\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/fcc26a14dc327372e37434cfc64f3917?s=96&d=identicon&r=g","caption":"Enrique Quiroga"},"url":"https:\/\/factorial.es\/blog\/author\/enrique-quiroga\/"}]}},"_links":{"self":[{"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/posts\/192006"}],"collection":[{"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/users\/352"}],"replies":[{"embeddable":true,"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/comments?post=192006"}],"version-history":[{"count":10,"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/posts\/192006\/revisions"}],"predecessor-version":[{"id":192220,"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/posts\/192006\/revisions\/192220"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/media\/192088"}],"wp:attachment":[{"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/media?parent=192006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/categories?post=192006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/factorial.es\/blog\/wp-json\/wp\/v2\/tags?post=192006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}