Ir al contenido
Gobernanza y Conformidad

¿Qué es la ISO 27001?

La ISO/IEC 27001 es la norma internacional que define los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI): el marco de políticas, controles y procesos que una empresa usa para proteger la confidencialidad, la integridad y la disponibilidad de la información. La versión vigente es la ISO/IEC 27001:2022, y la empresa puede buscar la certificación para demostrar a un cliente o socio que el sistema está implementado y funciona.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona un SGSI según la ISO 27001

La norma no entrega una lista fija de herramientas para comprar, exige un sistema de gestión: identificar el riesgo, aplicar controles, medir y mejorar, de forma continua.

1

Mapee el riesgo a la información

La empresa identifica sus activos de información (datos, sistemas, procesos) y los riesgos que amenazan su confidencialidad, integridad o disponibilidad.

2

Aplique los controles del Anexo A

Elija, entre los 93 controles del Anexo A, agrupados en cuatro temas (organizacionales, de personas, físicos y tecnológicos), los que atienden cada riesgo mapeado.

3

Documente y opere el sistema

Políticas, roles, capacitación y evidencia de que los controles realmente funcionan en el día a día, no solo en el papel.

4

Audite y certifique

Un organismo certificador independiente evalúa el sistema. Al aprobar, la empresa recibe un certificado válido por tres años, con auditorías de mantenimiento en ese intervalo.

Fuente: ISO/IEC 27001:2022 (International Organization for Standardization).

Qué cubren los controles de la ISO 27001

  • Controles organizacionales Política de seguridad, roles y responsabilidades, gestión de proveedores, respuesta a incidentes: la columna de gobernanza del sistema.
  • Controles de personas Selección, capacitación de concientización, acuerdo de confidencialidad, qué cambia cuando alguien entra o sale de la empresa.
  • Controles físicos Acceso a instalaciones, protección de equipos, descarte seguro de medios: la seguridad que no es digital.
  • Controles tecnológicos Control de acceso, cifrado, backup, monitoreo, protección contra malware: la capa técnica que Zamak entrega en el día a día.

Por qué la certificación se volvió criterio de compra

96.709
certificados ISO 27001 válidos en el mundo en 2024, según el ISO Survey 2024
+98%
crecimiento en el número de certificados entre 2023 (48.671) y 2024 (96.709)
93
controles del Anexo A, agrupados en 4 temas, en la versión 2022 de la norma

La ISO 27001 dejó de ser un diferencial y se convirtió en requisito en procesos de compra: clientes enterprise, aseguradoras cibernéticas y socios de datos cada vez más piden el certificado antes de firmar. El crecimiento demuestra esa presión: el número de certificados válidos en el mundo casi se duplicó en un año, de 48.671 en 2023 a 96.709 en 2024. El certificado tiene una vigencia de tres años, pero exige auditorías de mantenimiento en ese intervalo, así que no es un sello que se gana y se olvida, es un sistema que debe seguir funcionando o la certificación puede suspenderse.

Cómo se prepara una empresa para la ISO 27001

El camino hacia el certificado sigue etapas previsibles:

  1. Haga un análisis de brechas (gap analysis)Compare lo que la empresa ya tiene contra los controles del Anexo A para conocer la distancia real hasta la certificación.
  2. Priorice por riesgo, no por la lista completaNo todo control aplica a toda empresa. La norma pide justificar la exclusión de un control, no implementarlos todos a ciegas.
  3. Construya la evidencia, no solo la políticaUn auditor no certifica una política bonita en papel, certifica un control que se demuestra en funcionamiento, con registro.
  4. Elija el organismo certificador y agende la auditoríaLa certificación la realiza un organismo acreditado e independiente, en dos etapas: revisión documental y auditoría de campo.

En la práctica

La pregunta que separa una política de seguridad de un SGSI real: si un auditor pidiera hoy la evidencia de que un control específico funcionó el mes pasado, ¿la empresa tendría el registro listo?

Cómo apoya Zamak el camino hacia la ISO 27001

Zamak Technologies entrega la parte técnica que exige la ISO 27001 (control de acceso, backup, monitoreo, respuesta a incidentes) y apoya el mapeo de controles y la gestión de evidencia sobre una plataforma de cumplimiento, dentro de la Gobernanza y Conformidad del Método Zamak. El Compliance Audit Express muestra, en minutos, la distancia actual hasta la certificación.

Preguntas frecuentes sobre la ISO 27001

¿La ISO 27001 es una ley o una norma voluntaria?
Es una norma voluntaria, no una ley. La empresa busca la certificación porque un cliente, un contrato o un mercado lo exige, o porque quiere formalizar su propia gestión de seguridad, no por obligación legal.
¿Cuál es la diferencia entre ISO 27001 y SOC 2?
La ISO 27001 certifica el sistema de gestión de seguridad de la información como un todo, con un certificado emitido por un organismo acreditado. El SOC 2 es un informe de auditoría sobre controles específicos, emitido por un contador independiente. Las empresas que venden a EE. UU. suelen escuchar más sobre SOC 2; las que venden a Europa o Asia, más sobre ISO 27001.
¿Debo implementar los 93 controles del Anexo A?
No. La norma pide evaluar cada control contra el riesgo mapeado y justificar formalmente la exclusión de los que no aplican, en un documento llamado Declaración de Aplicabilidad.
¿Cuánto dura el certificado?
Tres años, pero con auditorías de mantenimiento (surveillance) en ese intervalo. No es un sello permanente.
¿Una empresa pequeña puede certificarse?
Sí. La norma es genérica y aplica a organizaciones de cualquier tamaño o sector; el esfuerzo es proporcional al tamaño y la complejidad del sistema, no fijo.
¿La certificación ISO 27001 es de la empresa o de un producto?
Del sistema de gestión de la empresa (o de un alcance definido de ella), no de un producto aislado. Por eso el alcance declarado en el certificado importa tanto como el sello mismo.

Términos relacionados

Amenazas y Ataques
Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Conformidad
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake