Qué es ISO 27001: todo lo que necesitas saber sobre seguridad de la información

ISO 27001 es la norma internacional para sistemas de gestión de seguridad de la información (SGSI). Es el estándar de referencia para cualquier organización que quiera demostrar que protege de forma sistemática la confidencialidad, integridad y disponibilidad de la información que gestiona.

Con el aumento exponencial de los ciberataques, las filtraciones de datos y los requisitos regulatorios de protección de información (como el RGPD en Europa o la Ley Federal de Protección de Datos en México), ISO 27001 ha pasado de ser una norma técnica para empresas de TI a un requisito práctico para cualquier organización que maneje datos sensibles de clientes, empleados o socios.

Qué protege ISO 27001

ISO 27001 no protege solo la infraestructura tecnológica. Protege la información en todas sus formas: digital, en papel, en comunicaciones verbales, en procesos de negocio. El concepto central es la tríada CIA: Confidencialidad (solo acceden quienes deben), Integridad (la información es precisa y completa) y Disponibilidad (la información está accesible cuando se necesita).

Qué exige ISO 27001

La versión vigente es ISO/IEC 27001:2022. La norma exige que la organización establezca, implemente, mantenga y mejore continuamente un SGSI. Los requisitos incluyen definir el alcance del sistema, identificar los activos de información y sus riesgos, implementar controles de seguridad apropiados y medir su efectividad.

ISO 27001 incluye un Anexo A con 93 controles de seguridad organizados en cuatro dominios: controles organizacionales, controles de personas, controles físicos y controles tecnológicos. La organización no está obligada a implementar todos — debe seleccionar los controles aplicables según su evaluación de riesgos y justificar los que excluye.

• —Política de seguridad de la información aprobada por la dirección
• —Inventario y clasificación de activos de información
• —Evaluación y tratamiento de riesgos de seguridad de la información
• —Declaración de aplicabilidad (los controles seleccionados y sus justificaciones)
• —Control de accesos: quién puede acceder a qué información
• —Gestión de incidentes de seguridad de la información
• —Continuidad del negocio y recuperación ante desastres
• —Gestión de proveedores con acceso a información sensible

A quién aplica ISO 27001

Cualquier organización que procese información sensible. Esto incluye empresas de tecnología y software (la adopción más obvia), pero también servicios financieros, salud, educación, manufactura con propiedad intelectual, firmas legales y contables, empresas que gestionan datos de clientes de cualquier sector.

En el mercado actual, ISO 27001 se está convirtiendo en un requisito para vender a grandes corporaciones, especialmente en sectores regulados. Muchas empresas exigen que sus proveedores demuestren certificación ISO 27001 antes de darles acceso a sus sistemas o datos.

ISO 27001 no garantiza que nunca tendrás un incidente de seguridad. Garantiza que tienes los controles, los procesos y la cultura para minimizar la probabilidad y el impacto.

ISO 27001 vs. otras regulaciones de seguridad de datos

ISO 27001 no reemplaza el cumplimiento regulatorio (como la Ley Federal de Protección de Datos Personales en México o el RGPD en la UE), pero sí lo facilita significativamente. Un SGSI bien implementado cubre gran parte de los controles que esas regulaciones exigen, y la certificación puede servir como evidencia de diligencia debida ante reguladores.

Cuánto tiempo toma certificarse en ISO 27001

Para una empresa mediana que parte desde cero, el proceso típico toma entre 9 y 18 meses. Los factores que más influyen en el tiempo son la madurez de los controles de seguridad existentes, el tamaño del alcance definido, la disponibilidad del equipo de TI y seguridad, y el nivel de sensibilidad de la información que maneja la organización. Con una plataforma de gestión con IA, los tiempos se pueden reducir considerablemente al automatizar la documentación y el seguimiento de controles.