
ISO 27001: ¿Qué es y cómo obtener la certificación
Cualquier responsable de seguridad que haya pasado una tarde revisando controles de acceso y requisitos legales sabe que la línea entre cumplir con un estándar y cumplir con una ley puede ser difusa. ISO 27001 es el estándar internacional para sistemas de gestión de seguridad de la información (SGSI) más adoptado del mundo, con más de 30.000 organizaciones certificadas según estimaciones del sector. En esta guía exploramos qué significa realmente tener esta certificación, cómo se relaciona con el GDPR y qué pasos concretos necesitas para implementarla.
Norma internacional: ISO/IEC 27001:2022 ·
Última revisión: 2022 ·
Dominios de control: 4 ·
Controles en Anexo A: 93 ·
Organizaciones certificadas estimadas: más de 30.000 ·
Año de publicación original: 2005
Resumen rápido
- El número exacto de organizaciones certificadas varía según la fuente consultada
- Los salarios promedio para profesionales certificados dependen de la ubicación y la experiencia
- Las organizaciones deben migrar a ISO/IEC 27001:2022 antes de 2025
- Creciente integración con requisitos de GDPR para empresas en la UE
A continuación, los datos clave de ISO 27001.
| Atributo | Valor |
|---|---|
| Norma | ISO/IEC 27001:2022 |
| Última revisión | 2022 |
| Controles | 93 en 4 dominios |
| Año original | 2005 |
| Primera revisión | 2013 |
| Enfoque | Sistema de gestión de seguridad de la información (SGSI) |
| Certificación | Sí, por organismos acreditados |
| Aplicabilidad | Cualquier organización, independientemente de su tamaño o sector |
¿Qué significa tener ISO 27001?
Definición de ISO 27001
ISO/IEC 27001 es el estándar internacional para sistemas de gestión de seguridad de la información (SGSI) más conocido del mundo, según la Organización Internacional de Normalización (ISO, organismo emisor del estándar) (ISO). Define los requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI, adoptando un enfoque basado en riesgo para proteger la confidencialidad, integridad y disponibilidad de la información, como detalla A-LIGN (organismo de certificación acreditado).
- Proporciona un marco sistemático para gestionar riesgos de seguridad de la información
- Es aplicable a cualquier organización, sin importar su tamaño o sector
- Se centra en la mejora continua del SGSI
Para una empresa tecnológica en Madrid, tener ISO 27001 no es solo un sello: significa que ha documentado quién accede a qué datos, cómo los protege y qué hacer cuando algo falla. Es la diferencia entre tener políticas y tener un sistema vivo.
Beneficios de la certificación
La certificación ISO 27001 ofrece ventajas concretas para organizaciones de cualquier tamaño, como describen NSF (organismo de certificación y auditoría) (NSF). Entre los beneficios más citados destacan la protección de datos sensibles, la mejora de la reputación corporativa y una ventaja competitiva en licitaciones que exigen garantías de seguridad.
- Protección de datos y reducción de incidentes de seguridad
- Cumplimiento de requisitos legales y regulatorios, incluido el GDPR
- Confianza de clientes y socios comerciales
La certificación no solo protege los datos, sino que también posiciona a la organización frente a clientes y reguladores.
¿Cuál es la diferencia entre GDPR e ISO 27001?
¿Es ISO 27001 lo mismo que GDPR?
No, no son equivalentes, aunque pueden complementarse. El GDPR es el Reglamento (UE) 2016/679 sobre protección de datos personales, según EUR-Lex (portal oficial de legislación de la UE), y tiene 99 artículos y 173 considerandos, como resume GDPR.eu (recurso informativo sobre el reglamento). ISO 27001, en cambio, es un estándar certificable de gestión de seguridad. Como aclara la propia ISO (organismo emisor del estándar), se solapan en gestión de riesgos y controles, pero no son intercambiables.
Cuatro diferencias, un patrón: mientras el GDPR es una ley que impone obligaciones con sanciones, ISO 27001 es un marco voluntario que demuestra buenas prácticas. El GDPR protege datos personales; ISO 27001 protege todo tipo de información. El GDPR se aplica a organizaciones que tratan datos de ciudadanos UE; ISO 27001, a cualquier organización. El GDPR no es certificable como tal; ISO 27001 sí.
| Aspecto | ISO 27001 | GDPR |
|---|---|---|
| Naturaleza | Estándar internacional voluntario | Reglamento europeo de obligado cumplimiento |
| Alcance | Seguridad de la información (confidencialidad, integridad, disponibilidad) | Protección de datos personales de ciudadanos de la UE |
| Certificación | Sí, mediante auditoría externa | No es certificable; requiere cumplimiento legal |
| Sanciones | Pérdida de certificación | Multas de hasta 20 millones € o 4% de facturación anual |
| Enfoque | Gestión de riesgos y mejora continua | Derechos de los titulares de datos y obligaciones del responsable |
| Marco temporal | Ciclos de revisión y renovación | Vigencia continua desde 2018 |
La implicación: para una consultora española que maneje datos de clientes europeos, tener ISO 27001 no exime del cumplimiento del GDPR, pero proporciona los controles y la documentación que facilitan demostrar ese cumplimiento. El estándar actúa como infraestructura técnica y organizativa de la ley.
¿Es difícil el examen de ISO 27001?
Requisitos para el examen
El examen de certificación para roles como Lead Implementer o Lead Auditor tiene un nivel de dificultad medio-alto, según la experiencia reportada por profesionales del sector. Para presentarse, los candidatos deben completar una formación específica de 5 días (40 horas) con un organismo acreditado, seguida de un examen escrito que evalúa el conocimiento del estándar, los controles del Anexo A y la metodología de auditoría.
- Formación obligatoria de 40 horas en un curso acreditado
- Examen tipo test con preguntas sobre el estándar, el SGSI y la auditoría
- Experiencia laboral previa recomendada (al menos 2 años en seguridad de la información)
Quien se presenta al examen sin haber gestionado un proyecto real de seguridad encontrará las preguntas abstractas. Quien ya ha implementado controles en su organización, las encontrará familiares. La diferencia está en la práctica, no en la memoria.
Salario esperado para profesionales certificados
Los salarios para profesionales certificados en ISO 27001 varían según el rol y la ubicación geográfica. Según datos de mercado recogidos por portales de empleo, los rangos típicos en Europa oscilan entre 40.000 y 80.000 € anuales. Un auditor líder puede esperar entre 50.000 y 70.000 €, mientras que un responsable de seguridad de la información (CISO) certificado puede superar los 90.000 € en mercados como Alemania, Reino Unido o Países Bajos.
- Auditor líder ISO 27001: 50.000 – 70.000 €/año
- Consultor de seguridad: 45.000 – 65.000 €/año
- Responsable de cumplimiento: 55.000 – 80.000 €/año
- CISO certificado: 80.000 – 120.000 €/año
La preparación práctica es el mejor predictor de éxito en la certificación.
¿Qué son los controles de ISO 27001?
Anexo A de ISO 27001:2022
La versión 2022 de ISO 27001 incluye un anexo con 93 controles agrupados en 4 dominios, un cambio significativo respecto a la versión de 2013 que contenía 114 controles en 14 dominios, como documenta la ficha oficial de ISO (organismo emisor del estándar). Estos dominios son: organizacional, personas, físico y tecnológico. La implementación de estos controles es parte fundamental del SGSI.
- Dominio organizacional (37 controles): políticas, roles, gestión de riesgos
- Dominio de personas (8 controles): concienciación, selección, acuerdos de confidencialidad
- Dominio físico (14 controles): perímetros, equipos, instalaciones
- Dominio tecnológico (34 controles): gestión de acceso, criptografía, seguridad en redes
Muchas organizaciones caen en la trampa de aplicar los 93 controles como una lista de compra. El SGSI no funciona así: cada control debe elegirse y adaptarse según los riesgos específicos de la empresa. Aplicar controles innecesarios es tan ineficaz como omitir los críticos.
Requisitos del SGSI
El SGSI definido por ISO 27001 incluye requisitos de planificación, soporte, operación, evaluación del desempeño y mejora, como explica Hyperproof (plataforma de gestión de cumplimiento). La organización debe establecer una política de seguridad, asignar roles, evaluar riesgos, definir un plan de tratamiento, implementar controles y realizar auditorías internas periódicas.
- Política de seguridad de la información
- Evaluación y tratamiento de riesgos
- Declaración de aplicabilidad (SoA)
- Auditorías internas y revisión por dirección
Estos requisitos forman la columna vertebral del SGSI y deben documentarse y mantenerse.
¿Cómo obtener la certificación ISO 27001?
Pasos para la implementación
El proceso de implementación de ISO 27001 sigue una secuencia estructurada que comienza con la planificación y termina con la certificación externa. Diversas guías de implementación, como la de GRC Solutions (consultora de cumplimiento) y la de Iterasec (especialista en seguridad para empresas TI), coinciden en las siguientes fases:
- Planificación: Definir el alcance del SGSI, obtener el compromiso de la dirección y formar un equipo de implementación.
- Análisis de brechas: Evaluar el estado actual frente a los requisitos de ISO 27001 para identificar carencias.
- Evaluación de riesgos: Identificar, analizar y evaluar los riesgos de seguridad de la información, según el enfoque descrito por URM Consulting (consultora especializada en gestión de riesgos).
- Diseño del SGSI: Definir políticas, procedimientos, roles y responsabilidades para gestionar los riesgos identificados.
- Implementación de controles: Aplicar los controles seleccionados del Anexo A según la Declaración de Aplicabilidad.
- Formación y concienciación: Capacitar al personal en las nuevas políticas y procedimientos.
- Auditoría interna: Realizar una auditoría interna completa para verificar que el SGSI funciona y cumple los requisitos.
- Revisión por dirección: La alta dirección evalúa el desempeño del SGSI y propone mejoras.
- Certificación externa: Un organismo acreditado realiza la auditoría inicial; si es exitosa, emite la certificación válida por 3 años.
La implementación es un proyecto de largo plazo que requiere compromiso organizacional.
Requisitos para ser auditor líder
El rol de auditor líder ISO 27001 requiere formación específica y experiencia demostrable. Los organismos de certificación exigen completar un curso de 5 días (40 horas) sobre metodología de auditoría, seguido de un examen. Además, se requiere experiencia laboral en seguridad de la información (típicamente 3-5 años) y haber participado como mínimo en 3 auditorías completas como auditor en formación.
- Formación: Curso de auditor líder ISO 27001 (40 horas)
- Experiencia: Mínimo 3 años en seguridad de la información
- Práctica: Participación en al menos 3 auditorías completas
- Renovación: Formación continua cada 3 años para mantener la certificación
“ISO/IEC 27001 es el estándar de sistemas de gestión de seguridad de la información más conocido del mundo y define requisitos para un SGSI.”
Organización Internacional de Normalización (ISO, organismo emisor del estándar)
“ISO 27001 se usa frecuentemente como base para controles de seguridad que apoyan cumplimiento, auditoría y mejora continua.”
“GDPR.eu describe el GDPR como una ley europea de privacidad y seguridad de datos con cientos de páginas de requisitos para organizaciones dentro y fuera de la UE.”
“ISO 27001 y GDPR se solapan en gestión de riesgos, controles y gobernanza, pero no son equivalentes.”
Organización Internacional de Normalización (ISO, organismo emisor del estándar)
El verdadero reto para las organizaciones españolas no es elegir entre ISO 27001 y GDPR, sino entender que ambos marcos se refuerzan mutuamente. NSF (organismo de certificación) lo resume así: el estándar proporciona el “cómo” técnico y organizativo, mientras que el reglamento marca el “qué” legal. Ignorar uno deja a la empresa expuesta; integrarlos la prepara para cualquier auditoría. Para el responsable de cumplimiento en una empresa española con operaciones en la UE, la decisión es clara: implementar ISO 27001 como base para demostrar cumplimiento del GDPR, o enfrentar el riesgo de sanciones que pueden alcanzar los 20 millones de euros.
Para profundizar en los requisitos y el proceso de certificación, recomendamos consultar esta guía completa de ISO 27001 que detalla cada paso.
Preguntas frecuentes
¿ISO 27001 es obligatorio por ley?
No, ISO 27001 es un estándar voluntario. No existe ninguna ley que exija su certificación. Sin embargo, muchas organizaciones lo adoptan porque facilita el cumplimiento de regulaciones como el GDPR o porque clientes y licitaciones lo requieren.
¿Quién puede realizar la certificación?
La certificación debe ser emitida por un organismo de certificación acreditado, como AENOR, BSI, SGS, TÜV Rheinland o Bureau Veritas. Estos organismos realizan auditorías externas para verificar que el SGSI cumple con todos los requisitos del estándar.
¿Cuánto dura la validez de la certificación?
La certificación ISO 27001 es válida por 3 años, durante los cuales se realizan auditorías de seguimiento anuales (supervisión). Al final del tercer año, se lleva a cabo una auditoría de renovación completa para mantener la certificación.
¿Se puede integrar ISO 27001 con ISO 9001?
Sí, ambos estándares comparten la estructura de alto nivel (HLS) definida por ISO, lo que facilita su integración en un sistema de gestión unificado. Muchas organizaciones certificadas en ISO 9001 (gestión de calidad) añaden ISO 27001 aprovechando procesos ya existentes.
¿Qué diferencia hay entre ISO 27001 y SOC 2?
ISO 27001 es un estándar internacional certificable que se centra en el SGSI. SOC 2 es un informe de auditoría estadounidense (emitido según los estándares AICPA) que evalúa controles en cinco criterios de confianza (seguridad, disponibilidad, integridad, confidencialidad y privacidad). Mientras ISO 27001 es más general y aplicable globalmente, SOC 2 es más común en el mercado estadounidense y en empresas SaaS.
¿Cuánto tiempo toma implementar ISO 27001?
El tiempo de implementación varía según el tamaño y la madurez de la organización. Para una pyme, el proceso suele durar entre 6 y 12 meses. Para una gran empresa con múltiples sedes, puede extenderse de 12 a 24 meses. La fase más larga suele ser la evaluación de riesgos y la implementación de controles correctivos.
¿Qué pasa si no cumplo con los controles?
Durante una auditoría de certificación, el auditor puede emitir no conformidades mayores o menores si se detectan incumplimientos. Las no conformidades mayores impiden la certificación hasta que se corrijan. Las menores requieren un plan de acción correctiva. Si no se subsanan, la certificación puede suspenderse o retirarse.