ISO 27001:2022: Sistema de Gestión de Seguridad de la Información
ISO 27001:2022: guía completa de implementación del SGSI, controles del Anexo A (93 controles en 4 temas), proceso de certificación (Stage 1 y Stage 2), mapping con ENS y NIS2, metodología de análisis de riesgos y errores comunes.
Por qué ISO 27001 importa en 2026
ISO 27001 es el estándar internacional de referencia para la gestión de la seguridad de la información. No es un checklist de controles técnicos ni una certificación de producto. Es un marco de gestión que obliga a las organizaciones a tratar la seguridad como un proceso continuo, medible y auditable. En un contexto donde regulaciones como ENS, NIS2 y DORA exigen evidencias de madurez en ciberseguridad, ISO 27001 se ha convertido en el denominador común que permite demostrar cumplimiento ante múltiples marcos simultáneamente.
La versión 2022 (ISO/IEC 27001:2022) trajo cambios significativos respecto a la edición de 2013: una reestructuración completa del Anexo A, reducción de 114 a 93 controles, agrupación en 4 temas en lugar de 14 dominios, e incorporación de 11 controles nuevos que reflejan amenazas actuales (threat intelligence, seguridad en la nube, prevención de fugas de datos, entre otros).
Este artículo cubre la implementación real de un SGSI conforme a ISO 27001:2022, desde el ciclo PDCA hasta el proceso de certificación, incluyendo el mapping con ENS y NIS2 que es relevante para organizaciones que operan en España y la UE.
Historia y evolución de ISO 27001
La norma tiene sus raíces en el estándar británico BS 7799, publicado en 1995 por el BSI (British Standards Institution). Su evolución ha sido progresiva:
- 1995 (BS 7799-1). Primera publicación con controles de seguridad de la información. Orientada a buenas prácticas, sin marco de gestión formal.
- 1998 (BS 7799-2). Introdujo el concepto de SGSI (Sistema de Gestión de Seguridad de la Información) y el ciclo PDCA. Este fue el paso de "lista de controles" a "sistema de gestión".
- 2005 (ISO/IEC 27001:2005). Primera versión internacional. Adoptó BS 7799-2 como base y estableció ISO 27001 como norma certificable a nivel global.
- 2013 (ISO/IEC 27001:2013). Reestructuración conforme al Anexo SL de ISO (estructura de alto nivel compartida con ISO 9001, ISO 14001, etc.). 114 controles en 14 dominios.
- 2022 (ISO/IEC 27001:2022). Versión actual. Actualización del Anexo A con 93 controles en 4 temas. Incorpora amenazas modernas: cloud, threat intelligence, DLP, desarrollo seguro, privacidad. Las organizaciones certificadas en 2013 tuvieron plazo hasta octubre 2025 para migrar.
La estructura de alto nivel (Anexo SL/Armonized Structure) es clave: permite integrar ISO 27001 con otros sistemas de gestión (calidad, medio ambiente, continuidad de negocio) en un único sistema integrado.
El SGSI: qué es y qué no es
Un SGSI (Sistema de Gestión de Seguridad de la Información) es un conjunto de políticas, procedimientos, procesos y controles que una organización establece para gestionar los riesgos de seguridad de la información de forma sistemática.
Lo que un SGSI es:
- Un marco de gestión basado en riesgos que se adapta al contexto de cada organización.
- Un ciclo continuo de mejora (no un proyecto con fecha de fin).
- Un sistema documentado que produce evidencias auditables.
- Un compromiso de la alta dirección con la seguridad de la información.
Lo que un SGSI no es:
- Un producto de software que se instala y configura.
- Un conjunto fijo de controles técnicos que aplican igual a todas las organizaciones.
- Un ejercicio de documentación sin implementación real.
- Un proyecto que se completa y se olvida hasta la siguiente auditoría.
El error más frecuente es tratar ISO 27001 como un ejercicio documental. Los auditores en Stage 2 verifican implementación real, no solo la existencia de documentos.
El ciclo PDCA aplicado a seguridad
ISO 27001 adopta el ciclo Plan-Do-Check-Act (PDCA) de Deming como estructura fundamental del SGSI:
Plan (Planificar)
Establecer el contexto de la organización, definir el alcance del SGSI, realizar el análisis de riesgos, seleccionar controles del Anexo A y producir la Declaración de Aplicabilidad (SoA).
Actividades concretas:
- Análisis del contexto interno y externo (cláusula 4.1).
- Identificación de partes interesadas y sus requisitos (cláusula 4.2).
- Definición del alcance del SGSI (cláusula 4.3).
- Metodología de evaluación de riesgos (cláusula 6.1.2).
- Plan de tratamiento de riesgos con controles seleccionados (cláusula 6.1.3).
- Declaración de Aplicabilidad (SoA): documento que lista los 93 controles del Anexo A, indica cuáles aplican y cuáles no (con justificación de exclusión).
Do (Hacer)
Implementar el plan de tratamiento de riesgos: desplegar controles, formar al personal, establecer procesos operativos y generar registros.
- Implementar los controles seleccionados en la SoA.
- Programas de concienciación y formación (cláusula 7.3).
- Gestión de la documentación (cláusula 7.5).
- Comunicación interna y externa (cláusula 7.4).
- Planificación y control operacional (cláusula 8.1).
Check (Verificar)
Monitorizar, medir, analizar y evaluar el rendimiento del SGSI.
- Auditorías internas (cláusula 9.2).
- Revisión por la dirección (cláusula 9.3).
- Monitorización y medición de controles (cláusula 9.1).
- Evaluación periódica de riesgos ante cambios en el contexto.
Act (Actuar)
Tomar acciones correctivas y de mejora continua basándose en los hallazgos de la fase Check.
- No conformidades y acciones correctivas (cláusula 10.1).
- Mejora continua del SGSI (cláusula 10.2).
- Actualización de la evaluación de riesgos y la SoA.
Metodología de análisis de riesgos
ISO 27001 no prescribe una metodología de riesgos específica. Exige que la organización defina y aplique una metodología que sea reproducible, comparable y que considere confidencialidad, integridad y disponibilidad. Las metodologías más utilizadas:
| Metodología | Origen | Enfoque | Complejidad |
|---|---|---|---|
| MAGERIT v3 | España (CCN) | Activos, amenazas, salvaguardas | Alta |
| OCTAVE Allegro | Carnegie Mellon (USA) | Centrada en activos críticos | Media |
| ISO 27005 | ISO | Guía genérica de gestión de riesgos | Media |
| NIST SP 800-30 | NIST (USA) | Amenazas, vulnerabilidades, impacto | Media-Alta |
| FAIR | The Open Group | Cuantitativa (financiera) | Alta |
| EBIOS RM | ANSSI (Francia) | Escenarios de riesgo estratégico | Media-Alta |
Para organizaciones en España que deben cumplir también con el ENS, MAGERIT v3 es la elección natural porque el CCN la reconoce oficialmente y la herramienta PILAR facilita tanto el análisis ENS como ISO 27001 simultáneamente.
El proceso de evaluación de riesgos sigue estos pasos:
- Identificación de activos. Qué información y sistemas soportan los procesos de negocio dentro del alcance del SGSI.
- Identificación de amenazas. Qué eventos adversos pueden afectar a cada activo (acceso no autorizado, malware, desastres naturales, errores humanos, etc.).
- Identificación de vulnerabilidades. Qué debilidades existen que las amenazas podrían explotar.
- Evaluación de impacto. Qué consecuencia tendría la materialización de cada riesgo (financiera, reputacional, legal, operativa).
- Evaluación de probabilidad. Qué tan probable es que ocurra, considerando controles existentes.
- Nivel de riesgo. Combinación de impacto y probabilidad.
- Tratamiento. Para cada riesgo: mitigar (implementar controles), transferir (seguros, contratos), evitar (eliminar la actividad) o aceptar (si el riesgo residual está dentro del apetito de riesgo).
Anexo A: los 93 controles en 4 temas
La reestructuración de 2022 reorganizó los controles de 14 dominios a 4 temas claros. Cada control tiene atributos que facilitan su clasificación: tipo (preventivo, detectivo, correctivo), propiedad de seguridad (confidencialidad, integridad, disponibilidad), concepto de ciberseguridad (identificar, proteger, detectar, responder, recuperar) y dominio operacional.
Tema A.5: Controles organizativos (37 controles)
Cubren políticas, roles, responsabilidades, relaciones con terceros, gestión de activos y cumplimiento.
| ID | Control | Descripción resumida |
|---|---|---|
| A.5.1 | Políticas de seguridad de la información | Definir, aprobar, comunicar y revisar políticas |
| A.5.2 | Roles y responsabilidades | Asignar y comunicar roles de seguridad |
| A.5.3 | Segregación de funciones | Separar funciones en conflicto |
| A.5.4 | Responsabilidades de la dirección | Compromiso demostrable de la alta dirección |
| A.5.5 | Contacto con autoridades | Procedimientos de contacto con reguladores y CERTs |
| A.5.6 | Contacto con grupos especiales | Relación con comunidades de seguridad y foros |
| A.5.7 | Threat intelligence | NUEVO. Recopilar y analizar inteligencia de amenazas |
| A.5.8 | Seguridad en la gestión de proyectos | Integrar seguridad en la metodología de proyectos |
| A.5.9 | Inventario de información y activos | Mantener inventario actualizado |
| A.5.10 | Uso aceptable de información y activos | Definir reglas de uso |
| A.5.11 | Devolución de activos | Al finalizar empleo o contrato |
| A.5.12 | Clasificación de la información | Esquema de clasificación (pública, interna, confidencial, secreta) |
| A.5.13 | Etiquetado de la información | Procedimientos de etiquetado coherentes con clasificación |
| A.5.14 | Transferencia de información | Reglas y acuerdos para transferencias |
| A.5.15 | Control de acceso | Política de control de acceso basada en necesidad de conocer |
| A.5.16 | Gestión de identidades | Gestión del ciclo de vida de identidades |
| A.5.17 | Información de autenticación | Gestión segura de contraseñas y credenciales |
| A.5.18 | Derechos de acceso | Provisión, revisión y revocación |
| A.5.19 | Seguridad en relaciones con proveedores | Requisitos de seguridad en contratos |
| A.5.20 | Seguridad en acuerdos con proveedores | Cláusulas contractuales específicas |
| A.5.21 | Gestión de la seguridad en la cadena de suministro TIC | Requisitos para la cadena completa |
| A.5.22 | Monitorización y revisión de proveedores | Auditoría y seguimiento continuo |
| A.5.23 | Seguridad en servicios cloud | NUEVO. Gestión de la seguridad en entornos cloud |
| A.5.24 | Planificación de gestión de incidentes | Procedimientos de respuesta a incidentes |
| A.5.25 | Evaluación y decisión sobre eventos de seguridad | Triaje y clasificación |
| A.5.26 | Respuesta a incidentes de seguridad | Procedimientos de respuesta |
| A.5.27 | Aprendizaje de incidentes | Lecciones aprendidas y mejora |
| A.5.28 | Recogida de evidencias | Preservación forense |
| A.5.29 | Seguridad durante disrupciones | Continuidad de seguridad en crisis |
| A.5.30 | Preparación TIC para continuidad de negocio | NUEVO. Planes de continuidad TIC |
| A.5.31 | Requisitos legales y contractuales | Identificación de requisitos aplicables |
| A.5.32 | Derechos de propiedad intelectual | Cumplimiento de licencias y PI |
| A.5.33 | Protección de registros | Protección según requisitos legales |
| A.5.34 | Privacidad y protección de datos personales | Cumplimiento RGPD y normativa aplicable |
| A.5.35 | Revisión independiente de seguridad | Auditorías independientes periódicas |
| A.5.36 | Cumplimiento de políticas y normas de seguridad | Verificación de cumplimiento interno |
| A.5.37 | Procedimientos operativos documentados | Documentar y mantener procedimientos |
Tema A.6: Controles de personas (8 controles)
Relacionados con el ciclo de vida del empleado y la concienciación.
| ID | Control | Descripción resumida |
|---|---|---|
| A.6.1 | Investigación de antecedentes | Verificaciones previas a la contratación |
| A.6.2 | Términos y condiciones de empleo | Obligaciones de seguridad en contratos |
| A.6.3 | Concienciación, educación y formación | Programas regulares de formación |
| A.6.4 | Proceso disciplinario | Consecuencias por incumplimiento |
| A.6.5 | Responsabilidades tras finalización del empleo | Obligaciones post-salida |
| A.6.6 | Acuerdos de confidencialidad | NDAs y compromisos de no divulgación |
| A.6.7 | Trabajo remoto | NUEVO. Seguridad en teletrabajo |
| A.6.8 | Reporte de eventos de seguridad | Obligación de notificar eventos |
Tema A.7: Controles físicos (14 controles)
Seguridad del perímetro físico, áreas seguras y equipamiento.
| ID | Control | Descripción resumida |
|---|---|---|
| A.7.1 | Perímetros de seguridad física | Definición de zonas seguras |
| A.7.2 | Controles de entrada física | Acceso controlado a instalaciones |
| A.7.3 | Seguridad de oficinas, salas e instalaciones | Protección de espacios de trabajo |
| A.7.4 | Monitorización de seguridad física | NUEVO. Vigilancia y detección de intrusión física |
| A.7.5 | Protección contra amenazas ambientales | Fuego, inundación, terremoto |
| A.7.6 | Trabajo en áreas seguras | Controles para zonas de alta seguridad |
| A.7.7 | Escritorio y pantalla limpios | Clear desk / clear screen policy |
| A.7.8 | Ubicación y protección de equipos | Instalación segura de hardware |
| A.7.9 | Seguridad de activos fuera de las instalaciones | Portátiles, dispositivos móviles |
| A.7.10 | Medios de almacenamiento | Gestión segura del ciclo de vida |
| A.7.11 | Servicios de soporte | Protección de suministro eléctrico, climatización |
| A.7.12 | Seguridad del cableado | Protección física del cableado de red y eléctrico |
| A.7.13 | Mantenimiento de equipos | Mantenimiento preventivo y correctivo |
| A.7.14 | Eliminación o reutilización segura de equipos | Borrado seguro antes de reasignar o desechar |
Tema A.8: Controles tecnológicos (34 controles)
Los más relevantes para equipos técnicos y SOC. Cubren endpoints, redes, desarrollo, criptografía y operaciones.
| ID | Control | Descripción resumida |
|---|---|---|
| A.8.1 | Dispositivos de usuario final | Gestión segura de endpoints |
| A.8.2 | Derechos de acceso privilegiado | Gestión de cuentas con privilegios elevados |
| A.8.3 | Restricción de acceso a la información | Principio de mínimo privilegio |
| A.8.4 | Acceso al código fuente | Control de acceso a repositorios |
| A.8.5 | Autenticación segura | MFA, políticas de contraseñas robustas |
| A.8.6 | Gestión de la capacidad | Planificación de capacidad y rendimiento |
| A.8.7 | Protección contra malware | Antimalware, EDR, controles preventivos |
| A.8.8 | Gestión de vulnerabilidades técnicas | Escaneo, priorización y parcheo |
| A.8.9 | Gestión de la configuración | NUEVO. Baselines, hardening, configuration management |
| A.8.10 | Eliminación de información | Borrado seguro conforme a clasificación |
| A.8.11 | Enmascaramiento de datos | NUEVO. Masking, anonimización, pseudonimización |
| A.8.12 | Prevención de fuga de datos | NUEVO. DLP (Data Loss Prevention) |
| A.8.13 | Copias de seguridad | Política de backup, pruebas de restauración |
| A.8.14 | Redundancia de instalaciones de procesamiento | Alta disponibilidad |
| A.8.15 | Registro de eventos (logging) | Logs de auditoría, retención, protección de integridad |
| A.8.16 | Actividades de monitorización | NUEVO. SIEM, SOC, detección de anomalías |
| A.8.17 | Sincronización de relojes | NTP, trazabilidad temporal |
| A.8.18 | Uso de programas de utilidad con privilegios | Control de herramientas administrativas |
| A.8.19 | Instalación de software en sistemas operativos | Control de instalación y actualizaciones |
| A.8.20 | Seguridad de redes | Segmentación, firewalls, IDS/IPS |
| A.8.21 | Seguridad de servicios de red | Acuerdos de nivel de servicio de seguridad |
| A.8.22 | Segregación de redes | Separación de segmentos por criticidad |
| A.8.23 | Filtrado web | NUEVO. Control de acceso a sitios web |
| A.8.24 | Uso de criptografía | Política de cifrado, gestión de claves |
| A.8.25 | Ciclo de vida de desarrollo seguro | SDLC seguro, security by design |
| A.8.26 | Requisitos de seguridad de aplicaciones | Requisitos de seguridad en el desarrollo |
| A.8.27 | Principios de arquitectura e ingeniería segura | Patrones de diseño seguro |
| A.8.28 | Desarrollo seguro de código | NUEVO. Coding standards, SAST, revisión de código |
| A.8.29 | Testing de seguridad en desarrollo y aceptación | DAST, pentesting, QA de seguridad |
| A.8.30 | Desarrollo externalizado | Seguridad con proveedores de desarrollo |
| A.8.31 | Separación de entornos | Dev, test, pre, producción separados |
| A.8.32 | Gestión de cambios | Proceso de cambios controlado |
| A.8.33 | Información de test | Protección de datos usados en pruebas |
| A.8.34 | Protección durante auditorías de sistemas | Minimizar impacto de auditorías técnicas |
Los 11 controles nuevos en 2022
La versión 2022 introdujo 11 controles que no existían en la edición de 2013. Reflejan la evolución del panorama de amenazas y la adopción de cloud y trabajo remoto:
| Control | Tema | Relevancia |
|---|---|---|
| A.5.7 Threat intelligence | Organizativo | Directamente alineado con CTI y plataformas como MalwareIntel |
| A.5.23 Seguridad cloud | Organizativo | Esencial con la adopción masiva de IaaS/PaaS/SaaS |
| A.5.30 Preparación TIC para continuidad | Organizativo | Complementa ISO 22301 |
| A.6.7 Trabajo remoto | Personas | Post-pandemia, crítico |
| A.7.4 Monitorización física | Físico | Videovigilancia, sensores, alarmas |
| A.8.9 Gestión de configuración | Tecnológico | Baselines, hardening, drift detection |
| A.8.11 Enmascaramiento de datos | Tecnológico | RGPD, privacidad en entornos de test |
| A.8.12 Prevención de fuga de datos (DLP) | Tecnológico | Control de exfiltración |
| A.8.16 Actividades de monitorización | Tecnológico | SIEM, SOC, detección continua |
| A.8.23 Filtrado web | Tecnológico | Proxy, categorización, bloqueo |
| A.8.28 Desarrollo seguro de código | Tecnológico | SAST, linting de seguridad, revisión |
El control A.5.7 (Threat Intelligence) es particularmente relevante: obliga a las organizaciones a recopilar y analizar información sobre amenazas para informar sus controles de seguridad. Esto incluye suscripción a feeds de IOCs, seguimiento de campañas activas, análisis de TTPs relevantes para el sector y compartición de inteligencia con comunidades y CERTs.
Hoja de ruta de implementación (8 fases)
Una implementación típica de ISO 27001 sigue estas fases. El plazo varía entre 6 y 18 meses según el tamaño y madurez de la organización.
Fase 1: Compromiso de la dirección y análisis de contexto (semanas 1-3)
Obtener el compromiso formal de la alta dirección (cláusula 5.1). Analizar el contexto interno y externo (4.1), identificar partes interesadas (4.2) y definir el alcance preliminar del SGSI (4.3). Resultado: acta de compromiso, análisis de contexto documentado, alcance preliminar.
Fase 2: Definición del alcance y política de seguridad (semanas 3-5)
Definir el alcance definitivo del SGSI: qué procesos, ubicaciones, sistemas y datos cubre. Redactar la política de seguridad de la información de alto nivel. Resultado: documento de alcance, política de seguridad aprobada por la dirección.
Fase 3: Evaluación de riesgos (semanas 5-10)
Seleccionar y documentar la metodología de riesgos. Inventariar activos de información. Identificar amenazas y vulnerabilidades. Evaluar impacto y probabilidad. Calcular niveles de riesgo y determinar el apetito de riesgo. Resultado: registro de riesgos con evaluación completa.
Fase 4: Plan de tratamiento de riesgos y SoA (semanas 10-14)
Seleccionar controles del Anexo A para cada riesgo inaceptable. Producir la Declaración de Aplicabilidad (SoA): lista de los 93 controles con justificación de inclusión/exclusión. Definir el plan de tratamiento con responsables y plazos. Resultado: SoA y plan de tratamiento aprobados.
Fase 5: Implementación de controles (semanas 14-30)
Desplegar los controles seleccionados: políticas, procedimientos, configuraciones técnicas, formación. Esta es la fase más larga y donde se produce la mayor inversión. Resultado: controles operativos, evidencias de implementación.
Fase 6: Formación y concienciación (continua desde semana 10)
Programas de formación específicos por rol. Campañas de concienciación (phishing simulado, comunicaciones internas). Formación del equipo de auditoría interna. Resultado: registros de formación, métricas de participación.
Fase 7: Auditoría interna y revisión por la dirección (semanas 30-36)
Realizar al menos una auditoría interna completa del SGSI (9.2). Ejecutar la revisión por la dirección (9.3) con los resultados de la auditoría, métricas de rendimiento y estado de acciones correctivas. Resultado: informe de auditoría interna, acta de revisión por la dirección, acciones correctivas.
Fase 8: Auditoría de certificación (semanas 36-42)
Contratar una entidad de certificación acreditada. Pasar Stage 1 y Stage 2 (ver sección siguiente). Resultado: certificado ISO 27001.
Proceso de certificación
La certificación la realiza un organismo acreditado (en España, acreditados por ENAC). El proceso tiene dos etapas formales, más auditorías de seguimiento y recertificación.
Stage 1 (auditoría documental)
El auditor revisa la documentación del SGSI sin visitar las operaciones en profundidad. Verifica que los documentos obligatorios existen y son coherentes:
- Alcance del SGSI.
- Política de seguridad de la información.
- Metodología de evaluación de riesgos.
- Evaluación de riesgos documentada.
- Plan de tratamiento de riesgos.
- Declaración de Aplicabilidad (SoA).
- Objetivos de seguridad medibles.
- Evidencias de competencia del personal.
- Procedimiento de auditoría interna y su informe.
- Acta de revisión por la dirección.
- Procedimiento de acciones correctivas.
Stage 1 suele durar 1-2 días para organizaciones medianas. El auditor emite un informe con hallazgos y recomendaciones. Si hay no conformidades mayores, se deben resolver antes de Stage 2.
Stage 2 (auditoría de implementación)
Se realiza entre 1 y 3 meses después de Stage 1. El auditor verifica que los controles están realmente implementados y funcionando. Incluye:
- Entrevistas con personal clave (CISO, administradores de sistemas, desarrolladores, RRHH).
- Revisión de evidencias operativas (logs, registros de acceso, informes de incidentes, resultados de escaneos de vulnerabilidades).
- Verificación de controles técnicos in situ.
- Muestreo de registros de formación, gestión de cambios, copias de seguridad.
- Validación de la gestión de incidentes con casos reales o simulados.
Stage 2 dura entre 3 y 10 días según el alcance y tamaño de la organización. Los hallazgos se clasifican como:
- No conformidad mayor. Fallo sistémico o ausencia completa de un requisito. Bloquea la certificación hasta su resolución.
- No conformidad menor. Fallo puntual que no compromete la eficacia del SGSI. Debe resolverse en un plazo acordado (normalmente 90 días).
- Observación. Oportunidad de mejora sin incumplimiento.
Auditorías de seguimiento (anuales)
Tras la certificación, el organismo realiza auditorías de seguimiento anuales (típicamente al final del primer y segundo año). Cubren un subconjunto de controles y verifican que el SGSI sigue operativo y mejorando. Si se detectan no conformidades mayores sin resolver, se puede suspender el certificado.
Recertificación (cada 3 años)
Al finalizar el ciclo de 3 años, se realiza una auditoría de recertificación completa (similar a Stage 2 pero evaluando también la mejora continua demostrada durante el ciclo).
Mapping ISO 27001 con ENS
Para organizaciones españolas que deben cumplir tanto ISO 27001 como ENS (porque trabajan con la administración pública), el solapamiento es significativo. El CCN ha publicado guías de correspondencia (CCN-STIC 825) que facilitan el mapping:
| Área | ISO 27001:2022 | ENS (RD 311/2022) |
|---|---|---|
| Marco de gestión | Cláusulas 4-10 (requisitos SGSI) | Marco organizativo (org.1-org.4) |
| Política de seguridad | A.5.1 Políticas | org.1 Política de seguridad |
| Análisis de riesgos | 6.1.2 Evaluación de riesgos | org.2 Normativa de seguridad + MAGERIT |
| Control de acceso | A.5.15-A.5.18, A.8.2-A.8.5 | op.acc (todo el marco de acceso) |
| Gestión de incidentes | A.5.24-A.5.28 | op.exp.7 Gestión de incidentes |
| Continuidad | A.5.29-A.5.30 | op.cont (continuidad del servicio) |
| Auditoría | 9.2 Auditoría interna | op.exp.8 Auditoría de seguridad |
| Criptografía | A.8.24 | mp.com.2 (cifrado) + mp.info.4 |
| Monitorización | A.8.15-A.8.16 | op.exp.8 + op.mon (monitorización) |
| Desarrollo seguro | A.8.25-A.8.31 | mp.sw (protección de aplicaciones) |
| Gestión de vulnerabilidades | A.8.8 | op.exp.4 Mantenimiento y actualizaciones |
| Protección de red | A.8.20-A.8.22 | mp.com (protección de comunicaciones) |
Diferencias clave:
- ENS es prescriptivo. Dice exactamente qué medidas implementar para cada nivel (Básico, Medio, Alto). ISO 27001 es flexible: la organización selecciona controles según su análisis de riesgos.
- ENS tiene niveles. Las medidas varían según la categoría del sistema. ISO 27001 no tiene niveles: aplicas lo que tu análisis de riesgos determine.
- ENS exige herramientas CCN. Para nivel Alto, herramientas como PILAR, INES y ANA son prácticamente obligatorias. ISO 27001 no prescribe herramientas.
- ENS es obligatorio en el sector público. ISO 27001 es voluntaria (aunque frecuentemente exigida contractualmente).
La buena noticia: una organización certificada en ISO 27001 cubre aproximadamente el 70-80% de los requisitos de ENS Alto. Los gaps suelen estar en medidas específicas del CCN (herramientas PILAR/INES, guías CCN-STIC concretas, certificación de productos).
Mapping ISO 27001 con NIS2
NIS2 (Directiva 2022/2555) exige medidas de ciberseguridad que se alinean sustancialmente con ISO 27001. La correspondencia:
| Requisito NIS2 (Art. 21) | Controles ISO 27001:2022 |
|---|---|
| Políticas de análisis de riesgos y seguridad | 6.1, A.5.1 |
| Gestión de incidentes | A.5.24 a A.5.28 |
| Continuidad de negocio y gestión de crisis | A.5.29, A.5.30 |
| Seguridad de la cadena de suministro | A.5.19 a A.5.22 |
| Seguridad en adquisición, desarrollo y mantenimiento | A.8.25 a A.8.31 |
| Evaluación de eficacia de medidas | 9.1, 9.2, 9.3 |
| Prácticas de ciberhigiene y formación | A.6.3 |
| Políticas de criptografía | A.8.24 |
| Seguridad de RRHH y control de acceso | A.5.15 a A.5.18, A.6.1 a A.6.8, A.8.2 a A.8.5 |
| Autenticación multifactor | A.8.5 |
ISO 27001 no cubre directamente:
- Notificación obligatoria de incidentes en 24/72 horas. ISO 27001 exige gestión de incidentes, pero no prescribe plazos de notificación a autoridades. NIS2 sí.
- Sanciones administrativas. ISO 27001 no tiene régimen sancionador (es voluntaria). NIS2 prevé multas de hasta 10M EUR o 2% de facturación.
- Responsabilidad de la alta dirección. NIS2 establece responsabilidad personal de los directivos. ISO 27001 exige compromiso de la dirección, pero sin consecuencias legales directas.
- Supervisión activa por autoridades. NIS2 prevé inspecciones y auditorías por la autoridad competente. ISO 27001 es auditada por organismos privados de certificación.
En la práctica: una certificación ISO 27001 es la base más sólida para demostrar cumplimiento de NIS2, pero debe complementarse con los procedimientos específicos de notificación a autoridades y la gobernanza que NIS2 exige a nivel directivo.
Errores comunes en la implementación
Tras años de auditorías y certificaciones, estos son los errores que más frecuentemente provocan no conformidades o certificaciones superficiales:
1. Tratar la implementación como un proyecto documental. Crear 200 documentos que nadie lee ni aplica. Los auditores de Stage 2 verifican implementación real: entrevistan al personal, revisan logs, comprueban configuraciones.
2. Definir un alcance demasiado amplio o demasiado estrecho. Un alcance que cubre toda la organización sin necesidad genera costes desproporcionados. Un alcance que excluye sistemas críticos genera gaps de seguridad reales.
3. Copiar la SoA de otra organización. La Declaración de Aplicabilidad debe reflejar tu análisis de riesgos específico. Un control excluido sin justificación válida es una no conformidad automática.
4. No involucrar a la dirección más allá de la firma. La revisión por la dirección (9.3) es un requisito auditado. Si la dirección no puede explicar los riesgos principales del SGSI, es una señal de alerta para el auditor.
5. Auditoría interna de baja calidad. Usar auditores internos sin formación o que no sean independientes del área auditada. La auditoría interna debe encontrar hallazgos reales, no ser un trámite.
6. No medir la eficacia de los controles. Implementar un control y no medir si funciona. Ejemplo: desplegar un SIEM pero no revisar las alertas, o tener política de parcheo pero no medir el tiempo medio de parcheo.
7. Ignorar la gestión de cambios en el SGSI. El SGSI debe actualizarse cuando cambian los riesgos (nueva tecnología, nuevo proveedor cloud, nuevo requisito regulatorio, incidente de seguridad). Un SGSI estático es un SGSI muerto.
8. Subestimar la formación y concienciación. Tener un programa de formación con asistencia del 30% no cumple A.6.3. Los auditores verifican que el personal conoce la política de seguridad y sabe reportar incidentes.
Estimación de costes y plazos
Los costes varían significativamente según tamaño, sector y madurez de la organización. Estas son estimaciones para el mercado español:
| Concepto | PYME (50-100 emp.) | Mediana (100-500 emp.) | Grande (500+ emp.) |
|---|---|---|---|
| Consultoría de implementación | 15.000-35.000 EUR | 30.000-80.000 EUR | 60.000-200.000 EUR |
| Auditoría de certificación (Stage 1+2) | 5.000-15.000 EUR | 10.000-30.000 EUR | 25.000-80.000 EUR |
| Herramientas (GRC, SIEM, DLP) | 5.000-20.000 EUR/año | 15.000-60.000 EUR/año | 50.000-300.000 EUR/año |
| Coste interno (personal dedicado) | 1 persona parcial | 1-2 personas | 2-5 personas + CISO |
| Auditoría de seguimiento anual | 3.000-8.000 EUR | 6.000-15.000 EUR | 12.000-40.000 EUR |
| Plazo de implementación | 6-9 meses | 9-12 meses | 12-18 meses |
Factores que aumentan el coste:
- Múltiples ubicaciones físicas o países.
- Sector regulado (financiero, sanitario, defensa) con requisitos adicionales.
- Baja madurez de seguridad previa (necesidad de implementar controles desde cero).
- Integración con otros marcos (ENS, NIS2, DORA, SOC 2 Type II).
Factores que reducen el coste:
- Certificaciones previas (ISO 9001, ENS) que comparten estructura de gestión.
- Uso de herramientas GRC que automatizan la generación de evidencias.
- Personal interno con formación en ISO 27001 Lead Implementer/Auditor.
Recursos y referencias
Normas y estándares
- ISO/IEC 27001:2022. Norma certificable. Disponible en iso.org (de pago).
- ISO/IEC 27002:2022. Guía de implementación de controles. Complemento imprescindible del Anexo A.
- ISO/IEC 27005:2022. Gestión de riesgos de seguridad de la información.
- ISO 22301:2019. Continuidad de negocio (complemento para A.5.29-A.5.30).
Guías del CCN (España)
- CCN-STIC 825. Correspondencia ENS e ISO 27001.
- CCN-STIC 804. Guía de implantación del ENS (comparte metodología con ISO 27001).
- PILAR. Herramienta de análisis de riesgos del CCN, soporta MAGERIT e ISO 27005.
Organismos de certificación acreditados (España)
- AENOR. El mayor organismo de certificación en España para ISO 27001.
- BSI Group. Origen de la norma (BS 7799), presencia global.
- Bureau Veritas, TUV, DNV, SGS. Organismos internacionales con delegación en España.
- ENAC. Entidad Nacional de Acreditación. Verifica que los organismos de certificación son competentes.
Formación profesional
- ISO 27001 Lead Implementer (PECB/BSI). Para quienes lideran la implementación del SGSI.
- ISO 27001 Lead Auditor (PECB/BSI/IRCA). Para auditores internos y externos.
- CISM (ISACA). Certified Information Security Manager, complemento de gestión.
- CISSP (ISC2). Certificación técnica que cubre los controles del Anexo A en profundidad.
Relación con CTI y MalwareIntel
El control A.5.7 (Threat Intelligence) exige que las organizaciones recopilen y analicen inteligencia sobre amenazas relevantes para su sector. Plataformas como MalwareIntel proporcionan exactamente este tipo de inteligencia: familias de malware activas, IOCs asociados, TTPs documentados en MITRE ATT&CK y campañas con atribución a actores. Integrar feeds de threat intelligence en el SGSI no es solo una buena práctica: en la versión 2022, es un control explícito del Anexo A.
Preguntas frecuentes
Artículos relacionados
ENS Alto: Requisitos Técnicos de Ciberseguridad para Organizaciones
NIS2: Nueva Directiva Europea de Ciberseguridad y sus Obligaciones (2024-2026)
DORA: Resiliencia Operativa Digital para el Sector Financiero
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.