ISO 27001: qué es, qué requisitos exige la certificación y si tu organización la necesita

La norma ISO 27001 es la norma internacional para los sistemas de gestión de la seguridad de la información. Se trata de la certificación de seguridad más reconocida a nivel mundial, aceptada por clientes empresariales, organismos reguladores y aseguradoras como prueba de un enfoque sistemático y auditado para la gestión de los riesgos de seguridad de la información.

Según el informe «State of the MSP» de Kaseya de 2026, el cumplimiento normativo y la presentación de informes figuran entre las diez principales necesidades de servicio de los clientes de los MSP en 2026, y la norma ISO 27001 es la certificación que más suelen exigir los equipos de compras de las empresas . Descarga el informe completo.

Para los equipos de TI y los proveedores de servicios gestionados (MSP), la norma ISO 27001 reviste importancia en dos aspectos: como norma de seguridad interna que merece la pena adoptar y como requisito que los clientes empresariales imponen cada vez más a sus proveedores de servicios. Comprender qué exige la norma y determinar si la certificación oficial es realmente necesaria o si el cumplimiento de los requisitos sin ella aporta un valor equivalente es el punto de partida de toda buena decisión. Las herramientas de cumplimiento normativo de Kaseya facilitan la evaluación de las deficiencias respecto a la norma ISO 27001 y la recopilación de pruebas para las organizaciones en cada etapa de ese proceso de decisión.

¿Qué es la norma ISO 27001?

La norma ISO/IEC 27001 es una norma internacional publicada conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). En ella se especifican los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información (SGSI), un marco estructurado para identificar y gestionar los riesgos de seguridad de la información en toda la organización.

La norma ISO 27001 no es una lista de controles de seguridad específicos, sino una norma sobre sistemas de gestión. La norma exige que una organización cuente con un proceso documentado de gestión de riesgos, aplique controles adecuados a los riesgos que haya identificado, evalúe el rendimiento de su SGSI y lo mejore continuamente. La certificación la expide un organismo de certificación externo acreditado tras una auditoría formal.

La norma ISO 27001:2022 es la versión vigente, publicada en octubre de 2022. El plazo de octubre de 2025 para que las organizaciones realizaran la transición desde la norma ISO 27001:2013 ya ha vencido. Cualquier certificado ISO 27001 válido debe hacer referencia a la versión de 2022. Los equipos de compras de las empresas deben tratar con cautela a las organizaciones que sigan citando la norma de 2013, ya que esas certificaciones ya no se consideran válidas.

La adopción de esta norma ha aumentado considerablemente. Según la Encuesta ISO de 2024, el número de certificados ISO 27001 válidos a nivel mundial alcanzó casi los 97 000, lo que supone un aumento sustancial con respecto a años anteriores, ya que las organizaciones de los sectores de los servicios financieros, la tecnología y la sanidad consideran cada vez más la certificación como un requisito básico de seguridad.

ISO 27001 frente a ISO 27002

Estas dos normas se complementan y a menudo se confunden.

La norma ISO 27001 especifica los requisitos de un SGSI y lo que debe incluir el sistema de gestión para poder obtener la certificación. Es la norma según la cual se certifica a las organizaciones.

La norma ISO 27002 ofrece orientación sobre cómo implementar los controles de seguridad de la información enumerados en el anexo A de la norma ISO 27001. Se trata de un documento de referencia, no de una norma certificable. Las organizaciones obtienen la certificación ISO 27001 utilizando la norma ISO 27002 como guía de implementación.

Piensa en la norma ISO 27001 como la especificación (lo que debes tener) y en la norma ISO 27002 como la guía de implementación (cómo ponerla en práctica). Para superar una auditoría de la norma ISO 27001 no es necesario aplicar directamente la norma ISO 27002, pero sus orientaciones resultan muy útiles en la práctica para cualquier organización que se enfrente por primera vez a la implementación de controles.

Requisitos de la certificación ISO 27001

Los requisitos de certificación se recogen en las cláusulas 4 a 10. Para obtener la certificación, es necesario cumplir con todos ellos.

Cláusula 4, Contexto de la organización: Definir el alcance del SGSI. Identificar los aspectos internos y externos que lo afectan, las partes interesadas con requisitos en materia de seguridad de la información y los activos de información que entran dentro de su alcance.

Cláusula 5, Liderazgo: La alta dirección debe demostrar un compromiso activo con el SGSI. Esto implica respaldar una política de seguridad de la información documentada, asignar funciones y responsabilidades, y garantizar que el programa cuente con los recursos adecuados.

Cláusula 6, Planificación: Realizar una evaluación formal de los riesgos para la seguridad de la información. Identificar los riesgos que afectan a los activos de información, evaluar su probabilidad y su posible impacto, y elaborar un plan de gestión de riesgos en el que se documente cómo se abordará cada riesgo, ya sea aceptándolo, mitigándolo, transfiriéndolo o evitándolo.

Cláusula 7, Apoyo: Confirmar que el SGSI cuenta con los recursos necesarios, que el personal posee las competencias adecuadas, que se mantiene de forma activa la concienciación sobre las responsabilidades en materia de seguridad y que la documentación se controla adecuadamente.

Cláusula 8, Operación: Aplicar el plan de tratamiento de riesgos. Es aquí donde se implementan los controles del anexo A y donde se llevan a cabo efectivamente las actividades de seguridad operativa descritas en el plan.

Cláusula 9, Evaluación del rendimiento: Supervisar y medir el rendimiento del SGSI en relación con los objetivos definidos. Realizar auditorías internas. La dirección debe revisar el SGSI a intervalos planificados.

Cláusula 10, Mejora: Abordar cualquier incumplimiento que surja, adoptar medidas correctivas y mejorar continuamente el SGSI a lo largo del tiempo.

La auditoría de certificación consta de dos fases. La fase 1 consiste en una revisión de la documentación: ¿existe el SGSI y está diseñado adecuadamente? La fase 2 evalúa la implementación: ¿funciona realmente el SGSI tal y como se ha diseñado? Tras la certificación inicial, se realizan auditorías de seguimiento anuales, y una auditoría de recertificación completa al cabo de tres años.

Para las organizaciones que parten de un nivel básico bajo, el proceso completo, desde la evaluación de las deficiencias hasta la certificación del SGSI, suele durar entre seis y dieciocho meses y requiere una inversión considerable en servicios profesionales, tiempo de los recursos internos y herramientas.

Anexo A: las 93 medidas de seguridad

El anexo A de la norma ISO 27001:2022 contiene 93 controles organizados en cuatro temas.

Controles organizativos (37): políticas, funciones y responsabilidades, inteligencia sobre amenazas, seguridad de la información en la gestión de proyectos, relaciones con los proveedores, procedimientos de gestión de incidentes y planes de continuidad del negocio.

Medidas relacionadas con el personal (8): selección previa a la contratación, condiciones laborales relacionadas con la seguridad de la información, formación y sensibilización en materia de seguridad, procedimientos disciplinarios y políticas de teletrabajo.

Medidas de control físico (14): perímetros de seguridad física, seguridad de los equipos, políticas de «escritorio despejado» y «pantalla despejada», y eliminación segura de los equipos.

Controles tecnológicos (34): control de acceso, mecanismos de autenticación, gestión de claves criptográficas, prácticas de desarrollo seguro, gestión de vulnerabilidades, supervisión de la seguridad de la red, copias de seguridad y recuperación, registro de eventos y cifrado.

No todos los 93 controles son obligatorios para todas las organizaciones. La Declaración de aplicabilidad (SoA) es un documento obligatorio en el que la organización registra qué controles se aplican a su ámbito de aplicación y perfil de riesgo, y justifica cualquier exclusión. Los controles se excluyen cuando realmente no son aplicables a las operaciones de la organización, y no con el fin de reducir el esfuerzo de cumplimiento. Un auditor examinará minuciosamente las exclusiones.

Certificación frente a adecuación: ¿cuándo merece la pena obtener una certificación oficial?

La certificación ISO 27001 supone una inversión considerable. El proceso completo, que abarca el análisis de deficiencias, el desarrollo del SGSI, la auditoría interna, las auditorías de certificación de las fases 1 y 2 y la supervisión continua, suele requerir entre seis y dieciocho meses de trabajo y un presupuesto real.

Sin duda, merece la pena obtener una certificación oficial cuando:

• Los clientes empresariales lo exigen. Las grandes organizaciones de los sectores de los servicios financieros, la sanidad y la administración pública están convirtiendo cada vez más la certificación ISO 27001 en un criterio de selección de proveedores. Si los clientes clave o los clientes potenciales lo exigen, el argumento comercial es claro. Perder un contrato o quedar excluido de un proceso de licitación antes incluso de que comience la negociación es un riesgo real para los proveedores que no cuentan con la certificación.
• La armonización normativa así lo exige. Ciertas normativas sectoriales de la UE y el Reino Unido hacen referencia a la norma ISO 27001 como mecanismo de cumplimiento aceptable. Para las organizaciones sujetas a dichos regímenes, la certificación puede ser la vía más clara para demostrar el cumplimiento.
• La diferenciación en el mercado lo justifica. En mercados competitivos en los que los clientes empresariales evalúan a múltiples proveedores, la certificación ISO 27001 es una señal de madurez en materia de seguridad de la que carecen muchos competidores.

La acreditación sin certificación oficial puede ser suficiente cuando:

• El principal motivo es la mejora de la seguridad interna. La implantación de la estructura del SGSI, la realización de una evaluación de riesgos y la aplicación de los controles adecuados aportan la mayor parte de los beneficios en materia de seguridad sin necesidad de una auditoría de certificación.
• La organización está trabajando para obtener la certificación, pero aún no está preparada. Implantar el SGSI de forma gradual con vistas a una auditoría de certificación es una estrategia válida, sobre todo para las organizaciones más pequeñas o aquellas que cuentan con recursos internos limitados en materia de cumplimiento normativo.

Un ejemplo práctico: un proveedor de servicios gestionados (MSP) que gestione 200 terminales de clientes y que compita por un contrato de servicios financieros en el segmento de medianas empresas encontrará, con toda seguridad, la certificación ISO 27001 en la lista de requisitos de los proveedores. En cambio, ese mismo MSP que preste servicios de asistencia informática general a pymes podría descubrir que demostrar su cumplimiento de las normas, mediante políticas documentadas y una evaluación de riesgos completa, satisface lo que los clientes realmente demandan.

ISO 27001 para proveedores de servicios gestionados (MSP)

La norma ISO 27001 reviste especial importancia para los MSP por dos razones bien diferenciadas.

Los MSP como riesgo para la cadena de suministro. Las empresas han aprendido, a raíz de incidentes de gran repercusión en la cadena de suministro, que los MSP representan una importante superficie de ataque para sus entornos. La certificación ISO 27001 es la prueba reconocida de que un MSP cuenta con un programa de seguridad sistemático y auditado. Los MSP que busquen contratos con grandes empresas, o que deseen conservar a sus clientes empresariales actuales a medida que maduran los procesos de contratación, se encontrarán cada vez más con que la certificación es un requisito de facto.

La encuesta «State of Information Security» de ISMS.online de 2025 reveló que la mayoría de las organizaciones habían sufrido al menos un incidente de seguridad relacionado con terceros o proveedores durante el año anterior. Los equipos de compras se han dado cuenta. Los proveedores de servicios gestionados (MSP) que carecen de programas de seguridad estructurados están quedando descartados de las negociaciones antes incluso de que el equipo de ventas entre en escena.

Los MSP que prestan servicios de cumplimiento normativo a sus clientes. Los MSP que ayudan a sus clientes a alcanzar la conformidad con la norma ISO 27001 o a obtener la certificación deben conocerla lo suficientemente bien como para realizar evaluaciones de deficiencias, orientar en la implementación de controles y preparar a los clientes para las auditorías. Se trata de una categoría de servicios en expansión. Las empresas del mercado medio constituyen uno de los segmentos de más rápido crecimiento que buscan la certificación ISO 27001, y muchas de ellas carecen de los conocimientos técnicos internos necesarios para hacerlo por sí mismas.

Compliance Manager GRC la evaluación de la norma ISO 27001/2 dentro de su biblioteca de marcos, lo que permite a los proveedores de servicios gestionados (MSP) gestionar las evaluaciones de deficiencias de la norma ISO 27001 de sus clientes, la asignación de controles y la recopilación de pruebas desde una plataforma centralizada. Un MSP que gestione simultáneamente la preparación para la norma ISO 27001 de varios clientes se beneficia considerablemente de una herramienta estructurada frente al uso de hojas de cálculo improvisadas y unidades compartidas.

Cómo se relaciona la norma ISO 27001 con otros marcos

Una de las ventajas prácticas de la norma ISO 27001 es su compatibilidad con otros marcos normativos importantes. El esfuerzo de implementación se multiplica: una organización que establezca un SGSI sólido conforme a la norma ISO 27001 habrá cumplido, al mismo tiempo, con gran parte de otras obligaciones de cumplimiento.

Marco de Seguridad de la Información del NIST (NIST CSF). Gran similitud. Ambos son enfoques basados en el riesgo centrados en la gestión sistemática de la seguridad de la información. Una organización con certificación ISO 27001 comprobará que la mayoría de los requisitos del NIST CSF ya están cubiertos por su SGSI. El marco del NIST no otorga certificaciones, pero es ampliamente utilizado como referencia, especialmente por organizaciones que tienen contratos o clientes del Gobierno de los Estados Unidos.

SOC 2. Existe un solapamiento considerable en las áreas de control, especialmente en lo que se refiere al control de acceso, el registro de actividades, la gestión de cambios y la disponibilidad. La metodología de auditoría y el formato del informe difieren considerablemente, pero la certificación ISO 27001 acelera de manera significativa la preparación para SOC 2. Las organizaciones suelen optar por ambas.

RGPD. La norma ISO 27001 aborda muchos de los requisitos de seguridad técnicos y organizativos del RGPD. Un SGSI conforme a la norma ISO 27001 ofrece pruebas sólidas del cumplimiento de la obligación establecida en el artículo 32 de aplicar medidas de seguridad adecuadas. Los requisitos específicos del RGPD en materia de privacidad van más allá, ya que abarcan los derechos de los interesados, la base jurídica y las evaluaciones de impacto relativas a la protección de datos, pero el SGSI proporciona la base de seguridad.

Controles CIS. Los controles del Anexo A de la norma ISO 27001 se corresponden en gran medida con los controles CIS. Las organizaciones que hayan implementado los controles CIS IG2 o IG3 habrán cumplido una parte significativa de los requisitos del Anexo A y, por lo tanto, deberían encontrar la auditoría de certificación más manejable.

NIS 2. Las medidas de seguridad del artículo 21 de la NIS 2 se ajustan en gran medida al enfoque del SGSI (Sistema de Gestión de la Seguridad de la Información) de la norma ISO 27001. La certificación ISO 27001 no equivale al cumplimiento de la NIS 2, pero proporciona una base sólida y satisface gran parte de los requisitos que exigen los organismos reguladores en materia de gestión de la seguridad documentada y sistemática.

Para obtener una comparación más amplia de la norma ISO 27001 con respecto a SOC 2, NIST y PCI DSS, consulte «Principales normas de cumplimiento y sus diferencias».

Descubra cómo Compliance Manager GRC la evaluación y la gestión del cumplimiento de la norma ISO 27001.