¿Qué es la ISO 27001?
La ISO/IEC 27001 es la norma internacional que define los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI): el marco de políticas, controles y procesos que una empresa usa para proteger la confidencialidad, la integridad y la disponibilidad de la información. La versión vigente es la ISO/IEC 27001:2022, y la empresa puede buscar la certificación para demostrar a un cliente o socio que el sistema está implementado y funciona.
Cómo funciona un SGSI según la ISO 27001
La norma no entrega una lista fija de herramientas para comprar, exige un sistema de gestión: identificar el riesgo, aplicar controles, medir y mejorar, de forma continua.
Mapee el riesgo a la información
La empresa identifica sus activos de información (datos, sistemas, procesos) y los riesgos que amenazan su confidencialidad, integridad o disponibilidad.
Aplique los controles del Anexo A
Elija, entre los 93 controles del Anexo A, agrupados en cuatro temas (organizacionales, de personas, físicos y tecnológicos), los que atienden cada riesgo mapeado.
Documente y opere el sistema
Políticas, roles, capacitación y evidencia de que los controles realmente funcionan en el día a día, no solo en el papel.
Audite y certifique
Un organismo certificador independiente evalúa el sistema. Al aprobar, la empresa recibe un certificado válido por tres años, con auditorías de mantenimiento en ese intervalo.
Fuente: ISO/IEC 27001:2022 (International Organization for Standardization).
Qué cubren los controles de la ISO 27001
- Controles organizacionales Política de seguridad, roles y responsabilidades, gestión de proveedores, respuesta a incidentes: la columna de gobernanza del sistema.
- Controles de personas Selección, capacitación de concientización, acuerdo de confidencialidad, qué cambia cuando alguien entra o sale de la empresa.
- Controles físicos Acceso a instalaciones, protección de equipos, descarte seguro de medios: la seguridad que no es digital.
- Controles tecnológicos Control de acceso, cifrado, backup, monitoreo, protección contra malware: la capa técnica que Zamak entrega en el día a día.
Por qué la certificación se volvió criterio de compra
La ISO 27001 dejó de ser un diferencial y se convirtió en requisito en procesos de compra: clientes enterprise, aseguradoras cibernéticas y socios de datos cada vez más piden el certificado antes de firmar. El crecimiento demuestra esa presión: el número de certificados válidos en el mundo casi se duplicó en un año, de 48.671 en 2023 a 96.709 en 2024. El certificado tiene una vigencia de tres años, pero exige auditorías de mantenimiento en ese intervalo, así que no es un sello que se gana y se olvida, es un sistema que debe seguir funcionando o la certificación puede suspenderse.
Cómo se prepara una empresa para la ISO 27001
El camino hacia el certificado sigue etapas previsibles:
- Haga un análisis de brechas (gap analysis)Compare lo que la empresa ya tiene contra los controles del Anexo A para conocer la distancia real hasta la certificación.
- Priorice por riesgo, no por la lista completaNo todo control aplica a toda empresa. La norma pide justificar la exclusión de un control, no implementarlos todos a ciegas.
- Construya la evidencia, no solo la políticaUn auditor no certifica una política bonita en papel, certifica un control que se demuestra en funcionamiento, con registro.
- Elija el organismo certificador y agende la auditoríaLa certificación la realiza un organismo acreditado e independiente, en dos etapas: revisión documental y auditoría de campo.
En la práctica
La pregunta que separa una política de seguridad de un SGSI real: si un auditor pidiera hoy la evidencia de que un control específico funcionó el mes pasado, ¿la empresa tendría el registro listo?
Cómo apoya Zamak el camino hacia la ISO 27001
Zamak Technologies entrega la parte técnica que exige la ISO 27001 (control de acceso, backup, monitoreo, respuesta a incidentes) y apoya el mapeo de controles y la gestión de evidencia sobre una plataforma de cumplimiento, dentro de la Gobernanza y Conformidad del Método Zamak. El Compliance Audit Express muestra, en minutos, la distancia actual hasta la certificación.