La mayoría de las organizaciones no fracasan en los proyectos ISO por los controles o la documentación. Fracasan porque no comprenden la relación entre los estándares.
ISO 27001, 27002, 27005, 31000 y ahora 42001 parecen relacionados; pero cada uno desempeña un papel diferente. Confundirlos hace que su gobernanza se desmorone. Mapearlos correctamente lo simplifica todo.
A continuación, el mapa preciso y probado en campo de la jungla ISO.
Los estándares ISO no son libros que compiten entre sí. Forman un sistema de gobernanza, cada uno cubriendo una capa diferente:
- 27001 → los requisitos
- 27002 → la guía de implementación
- 27005 → la metodología de riesgos
- 31000 → la filosofía de riesgo empresarial
- 42001 → requisitos de gobernanza de IA
Una vez que se comprende esta jerarquía, ISO deja de ser papeleo y se convierte en un plano para la gobernanza de seguridad, riesgos e IA.
1. ISO 27001: los requisitos fundamentales (el «qué»)
ISO 27001 es su ancla. Define qué debe lograr su Sistema de Gestión de Seguridad de la Información (SGSI).
Proporciona:
- Cláusulas (4–10) = requisitos de gobernanza
- Anexo A = conjunto de controles de referencia
- Criterios de certificación
- La estructura obligatoria del sistema de gestión
Lo que NO ofrece:
- Cómo implementar los controles
- Hasta qué profundidad debe llegar cada control
- Una metodología de riesgos
- Orientación técnica
Por eso existen otros estándares a su alrededor.
Piense en 27001 como el esqueleto.
2. ISO 27002: el manual de implementación (el «cómo»)
ISO 27002 no es un estándar de certificación. Es la guía detallada de controles que respalda el Anexo A de 27001.
Cada control de 27001 → explicado en 27002.
Lo que ofrece 27002:
- Objetivos de control
- Orientación para la implementación
- Expectativas de madurez
- Ejemplos
- Alineación con otros marcos (NIST, CIS, cloud, SaaS)
Lo que NO ofrece 27002:
- Requisitos de gobernanza
- Metodología de riesgos
- Criterios de cumplimiento
27002 es su caja de herramientas.27001 es su reglamento.
3. ISO 27005: el motor de riesgos (el «cómo pensar sobre el riesgo»)
ISO 27001 exige realizar evaluaciones de riesgos; pero no indica cómo hacerlo.
ISO 27005 cubre esta laguna.
27005 ofrece:
- Una metodología completa de gestión de riesgos
- Pasos para la identificación de riesgos
- Modelos de impacto y probabilidad
- Opciones de tratamiento
- Monitorización continua de riesgos
- Alineación con las Cláusulas 6 y 8 de 27001
Por qué importa en la práctica:
Si la evaluación de riesgos es débil, todo el SGSI se derrumba durante la auditoría.
27005 = el cerebro del SGSI.
4. ISO 31000: la filosofía de gobernanza del riesgo (el «por qué»)
ISO 31000 no es específico para la ciberseguridad. Es el estándar global para la gestión de riesgos empresariales.
Las organizaciones utilizan 31000 para:
- alinear el riesgo cibernético con el riesgo empresarial
- construir una taxonomía de riesgos coherente
- estandarizar la gobernanza
- definir el apetito y la tolerancia al riesgo
- conectar el riesgo de negocio → riesgo TIC → riesgo operacional
En términos sencillos:
27005 = método de riesgo operacional 31000 = cultura de riesgo empresarial
27005 es su método. 31000 es su mentalidad.
5. ISO 42001: el nuevo sistema de gobernanza de IA (el «SGSI de IA»)
ISO 42001 es el primer estándar global de sistema de gestión de IA. Funciona como ISO 27001 pero para la gobernanza de IA.
Lo que introduce 42001:
- Métodos de evaluación de riesgos de IA
- Gobernanza de datos y calidad de conjuntos de datos
- Controles del ciclo de vida del modelo
- Requisitos de supervisión humana
- Monitorización de sesgos y deriva
- Gobernanza para proveedores de IA
- Gestión de incidentes por fallos de IA
- Documentación para la explicabilidad
- Alineación con el AI Act de la UE
42001 es el puente entre GRC y el desarrollo de IA.
Cómo encaja 42001 en la jungla ISO:
- 27001 → seguridad de la información
- 42001 → gobernanza de la inteligencia
Juntos: la organización se vuelve segura, resiliente Y responsable en materia de IA.
6. El mapa real: cómo interactúa cada estándar
Este es el modelo mental claro que utilizan los mejores responsables de GRC:
Capa 1: marco de gobernanza
ISO 27001 → Seguridad de la información ISO 42001 → Gobernanza de IA
Estos establecen los requisitos y forman la columna vertebral certificable.
Capa 2: orientación para la implementación
ISO 27002 → Cómo implementar los controles del Anexo A (seguridad) Anexos de ISO 42001 → Cómo operar la gobernanza de IA
Estos son los manuales.
Capa 3: metodología de riesgos
ISO 27005 → Método de riesgo operacional para seguridad ISO 31000 → Principios de riesgo a escala empresarial
Estos son los motores de riesgo.
Capa 4: controles, evidencias y aseguramiento
Todos los estándares confluyen en:
- políticas
- procedimientos
- evidencias
- registros de riesgos
- pistas de auditoría
- monitorización continua
Este es el sistema operativo.
7. La conclusión práctica: lo que realmente necesita aplicar
Así es como los equipos de GRC deben utilizar los estándares en la práctica:
- Use 27001 como plano de gobernanza
- Use 27002 para definir sus controles
- Use 27005 para ejecutar sus evaluaciones de riesgos
- Use 31000 para alinear el riesgo cibernético con el riesgo empresarial
- Use 42001 para prepararse ante las obligaciones del AI Act
Esto le proporciona un modelo de gobernanza unificado que funciona para auditorías ISO, NIS2, DORA, GDPR y el AI Act.
Reflexión final
La jungla ISO parece complicada hasta que se comprende una verdad:
27001 y 42001 le dicen qué construir.27002 y 27005 le dicen cómo construirlo.31000 le dice por qué importa.
Domine este mapa y ISO dejará de ser un laberinto; se convierte en un motor de gobernanza que escala con su negocio, sus riesgos y sus ambiciones en IA.
Si desea dominar ISO 27001, 27002, 27005, 31000 y 42001, y construir un sistema de gobernanza unificado preparado para NIS2, DORA, GDPR y el AI Act, eso es exactamente lo que enseñamos en los programas de certificación PECB de Cyber Academy.