La perspectiva de Cyber Academy
ISO 27001 es el marco certificable que los auditores utilizan para evaluar la seguridad de la información. La revisión de 2022 redujo el Anexo A a 93 controles distribuidos en cuatro categorías (organizativas, de personas, físicas y tecnológicas). El SGSI se sostiene o cae por la Declaración de Aplicabilidad y las evidencias de operación. Todo el mundo lo referencia; pocos lo gestionan bien.
Qué certifica realmente la ISO/IEC 27001
La ISO/IEC 27001 es la norma internacional que especifica los requisitos de un sistema de gestión de la seguridad de la información, o SGSI. El certificado no afirma que sus sistemas sean inviolables. Afirma que un organismo acreditado examinó cómo identifica los riesgos de información, decide qué hacer al respecto y mantiene esa decisión en funcionamiento bajo la supervisión de la dirección. La norma se basa en el ciclo Plan-Do-Check-Act, por lo que la certificación nunca es un evento puntual: usted se compromete con un ritmo recurrente de apreciación del riesgo, tratamiento, auditoría interna, revisión por la dirección y acción correctiva.
Una confusión habitual es tratar los controles del Anexo A como si fueran la norma. No lo son. Los requisitos certificables residen en las cláusulas numeradas del sistema de gestión (contexto, liderazgo, planificación, apoyo, operación, evaluación del desempeño, mejora). El Anexo A es un conjunto de referencia de controles entre los que usted selecciona. Puede superar una auditoría sin implementar todos los controles, siempre que su Declaración de aplicabilidad justifique lo que excluyó y sus evidencias respalden lo que conservó.
La revisión de 2022 y los temas de controles
La revisión de 2022 reorganizó el Anexo A en cuatro temas en lugar de los anteriores catorce dominios. Los temas agrupan los controles según el tipo de elemento que se protege o gobierna:
- Los controles organizativos abarcan políticas, relaciones con proveedores, inteligencia de amenazas y seguridad de la información en la gestión de proyectos.
- Los controles relativos a las personas abarcan la verificación, las condiciones de empleo, la concienciación y el proceso disciplinario.
- Los controles físicos abarcan las áreas seguras, los equipos, el escritorio despejado y la eliminación de soportes.
- Los controles tecnológicos abarcan la gestión de accesos, la criptografía, el registro de eventos, el desarrollo seguro y la gestión de configuraciones.
Si se certificó bajo la versión anterior, el trabajo de transición es en su mayor parte un ejercicio de reasignación: recartografiar su Declaración de aplicabilidad frente al nuevo conjunto de controles, confirmar que nada se cayó por las brechas creadas por controles fusionados o nuevamente introducidos, y actualizar las referencias de evidencia. Las cláusulas del sistema de gestión cambiaron mucho menos que el anexo.
Cómo se sitúa junto a sus vecinas
La ISO 27001 es el ancla certificable de una familia. La ISO 27002 ofrece orientación de implementación para los mismos controles del Anexo A, pero no es certificable por sí sola; los auditores recurren a ella cuando quieren cuestionar la calidad con la que opera un control, no simplemente si existe. La ISO 27005 aporta un método para la apreciación del riesgo de seguridad de la información que la cláusula 6 exige pero deja deliberadamente abierto. El SGSI es la máquina en funcionamiento que la norma certifica, y la SoA es su artefacto controlado central.
En el lado de las personas, el trabajo se divide en dos disciplinas complementarias. Los implementadores construyen y operan el sistema de gestión. Los auditores planifican y dirigen las auditorías que lo ponen a prueba, trabajando conforme a la orientación de auditoría de la ISO 19011. La mayoría de las funciones de seguridad maduras necesitan ambas mentalidades, incluso cuando una sola persona lleva los dos sombreros al principio.
Qué hacen realmente los profesionales
Operar bien la ISO 27001, en lugar de simplemente superar el certificado, se ve así en la práctica:
- Definir el alcance con honestidad. Un alcance demasiado amplio lo sepulta en evidencias; uno demasiado estrecho no engaña a nadie y socava el certificado.
- Realizar una apreciación del riesgo y un plan de tratamiento reales, y mantenerlos vigentes a medida que cambian el negocio y el panorama de amenazas.
- Mantener la Declaración de aplicabilidad como un documento vivo vinculado a evidencias reales, no como una hoja de cálculo completada una sola vez para el auditor.
- Operar las auditorías internas y las revisiones por la dirección según el calendario, y cerrar las acciones correctivas con pruebas en lugar de promesas.
- Tratar las auditorías de seguimiento y el ciclo de recertificación como continuidad, no como simulacros separados.
Frequently asked questions
01¿Es la ISO 27001 un requisito legal?
No. La ISO 27001 es una norma voluntaria, no una ley. Las organizaciones la adoptan porque clientes, reguladores o contratos exigen una garantía de seguridad demostrable, y un certificado de un tercero es la forma más limpia de proporcionarla.
02¿Cuál es la diferencia entre la ISO 27001 y la ISO 27002?
La ISO 27001 es la norma certificable con los requisitos del sistema de gestión y los controles de referencia del Anexo A. La ISO 27002 es orientación de implementación para esos controles y no puede certificarse por sí sola. Usted se certifica frente a la 27001 y se apoya en la 27002 para el detalle operativo.
03¿Tengo que implementar todos los controles del Anexo A?
No. Usted selecciona los controles en función de su apreciación del riesgo y documenta la justificación en la Declaración de aplicabilidad, incluidos los que excluya. El auditor comprueba que su selección está justificada y que los controles que conservó están operando genuinamente.
04¿Cuánto tiempo sigue siendo válida la certificación?
Un certificado se desarrolla en un ciclo plurianual con auditorías de seguimiento periódicas en el intermedio, seguidas de una auditoría de recertificación completa. El calendario exacto lo fija su organismo de certificación, pero el principio es continuo: usted mantiene el SGSI durante todo el tiempo, no solo en el momento de la auditoría.
05¿Significa la certificación que no podemos ser vulnerados?
No. La certificación confirma que opera un sistema de gestión basado en el riesgo y que opera los controles que seleccionó. Reduce y gestiona el riesgo; no lo elimina. La respuesta a incidentes y la mejora continua forman parte de la norma precisamente porque las brechas siguen siendo posibles.