Historia real.
Un responsable de seguridad al que formé el año pasado me contó esto: llevaba tres meses en su empresa. Su predecesor se había ido. La entrega consistió en una carpeta compartida. Dentro: 200 documentos, un registro de riesgos de 2022, una política de seguridad de la información que hacía referencia a GDPR pero no a ISO27001, y una Declaración de Aplicabilidad con el nombre de otra empresa todavía en el pie de página.
Su jefe le dijo: «Tenemos la recertificación en seis meses. Tú la lideras».
Sonrió. Asintió. Llegó a casa y empezó a actualizar su LinkedIn.
Si has estado cerca de una implementación de ISO27001, alguna versión de esta historia probablemente te resulta familiar. Quizás no heredaste un desastre. Quizás estás construyendo desde cero. Pero la sensación es la misma: la norma te dice qué debe existir. Nunca te dice cómo construirlo.
Este artículo trata sobre ese vacío. Y sobre cómo cerrarlo.
El documento que todos fingen entender
ISO/IEC 27001:2022 tiene 30 páginas. Está muy bien estructurada. Las cláusulas 4 a 10, el Anexo A, 93 controles, 34 subcláusulas obligatorias. Se lee como un conjunto de instrucciones claras.
Hasta que intentas seguirlas.
«La organización debe determinar las cuestiones externas e internas relevantes para su propósito». Perfecto. ¿Cómo se traduce eso en la práctica? ¿Un taller? ¿Un análisis PESTLE? ¿Una conversación con el CEO tomando un café? La norma no lo dice.
«La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad de la información». Muy bien. ¿Cualitativo o cuantitativo? ¿Escala de tres puntos o de cinco? ¿Cómo defines «probable» para que IT y finanzas estén de acuerdo? ¿Cómo evitas que la columna de propietario del riesgo diga «Dave» para todo? La norma no lo dice.
«La organización debe elaborar una Declaración de Aplicabilidad». Estupendo. Pero ¿qué hace que una SoA sea buena? ¿Qué nivel de detalle deben tener las justificaciones? ¿Qué cuenta como evidencia de implementación? ¿Cómo evitas que se convierta en una hoja de cálculo de 93 filas con «Sí, implementado» y nada detrás? La norma, sencillamente, no lo dice.
Esto no es un defecto. ISO27001 es deliberadamente neutral en cuanto a tecnología, sector y tamaño. Tiene que serlo. Pero esa neutralidad genera un vacío entre quienes entienden la norma y quienes pueden implementarla realmente. Y ese vacío es donde las carreras se estancan, los proyectos fracasan y las auditorías se tuercen.
Cinco formas en que he visto morir implementaciones de ISO 27001
Llevo suficiente tiempo como CISO para haber visto los mismos errores una y otra vez. No porque la gente sea incompetente. Porque nadie les enseñó la metodología.
- El registro de riesgos que en realidad es una hoja de cálculo de opiniones.
Todo el mundo se sienta en una sala. Alguien dice «ransomware» y todos asienten. Probabilidad: alta. Impacto: alto. Propietario del riesgo: IT. Siguiente riesgo. Así durante tres horas. El resultado es una lista de preocupaciones puntuadas por intuición, sin ninguna metodología documentada detrás. El auditor pregunta «¿cómo definisteis vuestra escala de impacto?» y la sala queda en silencio.
- La SoA copiada de internet.
No me lo estoy inventando. He revisado Declaraciones de Aplicabilidad donde la columna de justificación dice «implementado» para cada control, la columna de evidencias está en blanco, y las propiedades del documento siguen mostrando el autor original de una empresa completamente diferente. Tu SoA es la primera parada del auditor. Si es un copia-pega, la auditoría termina antes de empezar.
- El ISMS que vive en una carpeta de SharePoint y en ningún otro sitio.
Políticas que nadie ha leído. Procedimientos que nadie sigue. Un inventario de activos al que le faltan dos departamentos. Una revisión por la dirección que tuvo lugar una vez, dieciocho meses atrás, y nunca tuvo seguimiento. Esto es cumplimiento sobre el papel. Marca casillas en una hoja de cálculo, pero se desmorona en el momento en que alguien pregunta: «muéstrame cómo funciona esto en la práctica».
- La auditoría que pilla a todos desprevenidos.
La Etapa 1 es la revisión documental. La Etapa 2 es la evidencia operacional. La mayoría de los equipos se preparan para una y entran en pánico con la otra. Tienen documentos impecables pero no pueden demostrar que los controles están en funcionamiento. O tienen controles operativos pero no pueden presentar el rastro de evidencias. Al auditor no le importa qué brecha tienes: ambas son no conformidades.
- El consejo directivo que cree que ISO 27001 es un firewall.
Pides presupuesto. El CFO dice «ya compramos el firewall». Intentas explicar que ISO 27001 es un sistema de gestión, no una compra tecnológica. El CFO mira el móvil. Esto es un fallo de respaldo directivo, y mata más implementaciones que cualquier brecha técnica.
Lo que realmente funciona
Toda implementación exitosa de ISO 27001 en la que he participado tiene los mismos ingredientes. No es magia. Solo metodología.
Un alcance claro con una justificación documentada. No «todo» sin explicación. No artificialmente estrecho para evitar complejidad. Un alcance que tenga sentido para la organización, con límites que se puedan explicar a un auditor en dos minutos.
Una metodología de evaluación de riesgos repetible y defendible. Escalas definidas. Criterios calibrados. Distinción clara entre amenazas, vulnerabilidades y riesgos. Propietarios que realmente entienden lo que poseen. Documentación que un auditor pueda seguir sin que estés a su lado explicándola.
Una SoA que cuenta una historia. No un ejercicio de marcar casillas. Cada control tiene una justificación que conecta con la evaluación de riesgos. Las exclusiones están explicadas, no dejadas en blanco. La evidencia de implementación está referenciada, no asumida.
Una dirección que entiende lo que está firmando. Revisiones por la dirección que producen decisiones, no solo actas. Una política de seguridad que el CEO ha leído de verdad. Una asignación de recursos que refleja el alcance del ISMS, no solo el presupuesto de IT.
Una preparación de auditoría que empieza el Día 1, no la semana anterior. Cada documento, cada registro, cada proceso diseñado desde el principio para generar evidencias. Porque si no puedes demostrar que ocurrió, no ocurrió.
Para eso sirven los 5 días
Del 11 al 15 de mayo. Online. En inglés. Un grupo en directo, limitado a 6 participantes, construido en torno a la metodología de implementación que utilizo en proyectos reales.
Esto no es un recorrido por la norma. La norma puedes leerla tú mismo. Esto es el sistema operativo que hay detrás: cómo iniciar el proyecto, cómo estructurar la evaluación de riesgos, cómo redactar la SoA, cómo seleccionar y desplegar controles, cómo configurar el seguimiento y la medición, cómo prepararse para la auditoría de certificación; todo ello paso a paso, con ejercicios y casos prácticos en cada etapa.
DíaContenidoLunesISO 27001 en contexto. Iniciación de la implementación. Comprensión de la organización, su contexto y las partes interesadas. Definición y justificación del alcance del ISMS.MartesObtener el respaldo de la dirección. Analizar lo que ya tienes. Redactar la política de seguridad. Construir la metodología de evaluación de riesgos. La Declaración de Aplicabilidad.MiércolesSelección y diseño de controles del Anexo A. Despliegue de controles adecuados. Gestión documental. Comunicación, competencia y concienciación. Operación de la seguridad.JuevesSeguimiento y medición. Auditoría interna. Revisión por la dirección. Gestión de no conformidades. Mejora continua. Preparación para la Etapa 1 y la Etapa 2.
El viernes sales con una metodología que puedes aplicar la semana siguiente, y una credencial que lo acredita.
Quién imparte esto
Yo. Christophe. CISO en activo, fundador de Cyber Academy.
No enseño ISO 27001 porque haya leído un libro sobre ello. Lo enseño porque lo implemento. Cuando hablo de evaluación de riesgos, es porque he facilitado sesiones en sala. Cuando hablo de preparación de auditorías, es porque he preparado organizaciones para la Etapa 1 y la Etapa 2 y he observado lo que el auditor hace realmente. Cuando alguien en el curso dice «mi registro de riesgos es un desastre», no le doy una respuesta teórica. Le doy lo que yo haría si estuviera sentado en su silla el lunes.
Esa es la diferencia entre formación y una presentación de diapositivas.
La garantía
Completa el curso. Presenta el examen. Si no lo superas, te devolvemos la tarifa de formación.
Sin condiciones más allá de completar el programa y presentarse al examen. Sin letra pequeña. Lo llamamos Certificado o Reembolsado, y lo decimos en serio.
¿Por qué? Porque la metodología funciona. La tasa de aprobados lo demuestra. Y si estás invirtiendo una semana de tu tiempo y el dinero de tu empresa, mereces saber que el proveedor apuesta por el mismo resultado que tú.
Los detalles
Curso: ISO/IEC 27001:2022 Lead Implementer, PECB Certified
Fechas: 11–15 de mayo de 2026
Formato: Online en directo. Interactivo. Sin grabación.
Idioma: Inglés
CPD: 31 créditos
Repetición gratuita: Dentro de los 12 meses siguientes
Tu turno
Si estás en medio de una implementación y estás atascado, este es el curso que te desatasca.
Si te han pedido que lideres un proyecto y no tienes metodología, este te da una.
Si eres consultor y necesitas la credencial que respalde lo que ya sabes, este te certifica.
Si heredaste una carpeta de SharePoint y una plegaria, este es tu plan de rescate de cinco días.
¿Preguntas? Escríbeme directamente. Sin equipo de ventas. Sin chatbot. Solo yo.
Christophe
