La ISO 27001 es el estándar internacional de referencia para la seguridad de la información. En un entorno donde los ciberataques a empresas se multiplican cada año, donde el RGPD exige medidas técnicas y organizativas de protección de datos, y donde el Esquema Nacional de Seguridad obliga a los proveedores del sector público, la certificación ISO 27001 se ha convertido en un activo estratégico de primer orden para las empresas españolas. En esta guía pillar cubro la versión vigente (ISO 27001:2022) con requisitos, costes, FAQ, caso real y checklist para que tomes la decisión con criterio.
¿Qué es un SGSI y por qué necesitas uno?
Un Sistema de Gestión de Seguridad de la Información (SGSI) es el conjunto de políticas, procedimientos, controles técnicos y procesos de gestión que una organización establece para proteger la confidencialidad, integridad y disponibilidad de su información. No se trata solo de tecnología: un SGSI abarca personas, procesos y tecnología de forma integrada.
La ISO 27001 proporciona el marco para establecer, implementar, mantener y mejorar continuamente un SGSI. Su enfoque se basa en la gestión de riesgos: identificas los riesgos que amenazan tu información, evalúas su probabilidad e impacto, seleccionas los controles adecuados para reducir el riesgo a un nivel aceptable y monitorizas que todo funcione.
Novedades de ISO 27001:2022
La versión 2022 actualizó el Anexo A de controles, pasando de 114 controles organizados en 14 dominios a 93 controles organizados en 4 temas:
- Controles organizativos (37 controles): políticas, roles, gestión de riesgos, terceros, cumplimiento.
- Controles de personas (8 controles): selección, formación, disciplinaria, salida.
- Controles físicos (14 controles): seguridad de instalaciones, equipos, suministros, residuos.
- Controles tecnológicos (34 controles): control de acceso, cifrado, redes, copias, gestión de vulnerabilidades.
Los controles nuevos respecto a la versión 2013 incluyen:
- Inteligencia de amenazas.
- Seguridad de la información para el uso de servicios en la nube.
- Preparación de las TIC para la continuidad del negocio.
- Monitorización de la seguridad física.
- Gestión de la configuración.
- Eliminación de la información.
- Enmascaramiento de datos.
- Prevención de fuga de datos (DLP).
- Actividades de monitorización.
- Filtrado web.
- Codificación segura.
El análisis de riesgos: corazón del SGSI
El análisis de riesgos es el ejercicio central de ISO 27001. A diferencia del ENS, que referencia específicamente MAGERIT, ISO 27001 permite usar cualquier metodología reconocida. Las más utilizadas son:
- ISO 27005: guía específica para riesgos de seguridad de la información.
- ISO 31000: marco general de gestión de riesgos.
- MAGERIT: especialmente útil si también necesitas cumplir el ENS.
- OCTAVE.
El proceso incluye la identificación de activos de información, la identificación de amenazas y vulnerabilidades, la evaluación del impacto y la probabilidad, el cálculo del nivel de riesgo, la selección del tratamiento del riesgo (mitigar, transferir, aceptar o evitar) y la determinación del riesgo residual.
La Declaración de Aplicabilidad (SOA)
La Declaración de Aplicabilidad es un documento obligatorio que relaciona los 93 controles del Anexo A con su estado de implementación en la organización. Para cada control, debes indicar:
- Si aplica o no aplica con justificación documentada.
- Estado de implementación (no implementado, parcial, completo).
- Evidencias disponibles.
Es el documento puente entre el análisis de riesgos y la implementación de controles, y es uno de los primeros documentos que revisan los auditores. Una SOA mal hecha es la causa #1 de problemas en la auditoría externa.
Tabla comparativa: ISO 27001 vs ENS vs RGPD
| Criterio | ISO 27001 | ENS (Esquema Nacional Seguridad) | RGPD |
|---|---|---|---|
| Ámbito | Internacional, voluntario | España, obligatorio sector público y sus proveedores | UE, obligatorio si tratas datos personales |
| Foco | Seguridad de toda la información | Información del sector público | Datos personales específicamente |
| Certificable | Sí, por entidad acreditada ENAC | Sí, por entidad acreditada ENAC | No certificable (sí mecanismos como Esquema BCR) |
| Análisis de riesgos | Metodología libre (ISO 27005/31000/MAGERIT) | MAGERIT obligatorio | Implícito (PIA / DPIA en casos específicos) |
| Controles | 93 (Anexo A 2022) | Medidas según categoría Básica/Media/Alta | Medidas técnicas y organizativas (Art. 32) |
| Coste implantación PYME | 12.000-30.000 € | 8.000-25.000 € | Variable |
| Reconocimiento mercado | Muy alto, global | Imprescindible sector público España | Mandatorio, no diferenciador |
| Sanción por incumplimiento | Pérdida certificado y contratos | Imposibilidad de contratar con sector público | Hasta 4% facturación global / 20M€ |
Relación con ENS, RGPD y NIS2
ISO 27001 se complementa con tres marcos regulatorios especialmente relevantes en España:
ENS
Comparte muchos controles con ISO 27001 pero difiere en alcance (internacional vs nacional) y en la metodología de análisis de riesgos. La implantación simultánea puede generar ahorros del 30-40% respecto a implantarlas por separado.
RGPD
ISO 27001 proporciona el marco de medidas técnicas y organizativas que el Reglamento exige para proteger datos personales. La certificación ISO 27001 es la mejor evidencia de cumplimiento del principio de responsabilidad proactiva del RGPD.
NIS2
La Directiva europea de seguridad de redes y sistemas de información (transpuesta en España en 2025) [[DATO-VERIFICAR]]. ISO 27001 cubre la mayoría de los requisitos de gestión de riesgos y notificación de incidentes exigidos a operadores esenciales e importantes.
[[CTA-INTERNAL:/cumplimiento/ens/ens-vs-iso-27001-comparativa/]] Consulta mi artículo comparativo ENS vs ISO 27001 para entender las diferencias y cuándo necesitas ambas certificaciones.
Costes de certificación ISO 27001
Los costes son superiores a los de ISO 9001 debido a la complejidad técnica del SGSI:
- PYME de 10 a 50 empleados: coste total de consultoría más certificación entre 12.000 y 30.000 euros.
- Empresas de 50 a 250 empleados: entre 25.000 y 60.000 euros.
- Empresas mayores: puede superar los 40.000 euros solo en consultoría.
Financiación con Kit Consulting
El Kit Consulting puede financiar hasta 18.000 euros del asesoramiento en ciberseguridad para empresas de 10 a 249 empleados, cubriendo las tres categorías (básico, avanzado y preparación para certificación) que se alinean directamente con un proyecto de ISO 27001.
[[CTA-INTERNAL:/cumplimiento/ciberseguridad/kit-consulting-ciberseguridad-iso-27001/]] Consulta mi guía del Kit Consulting ciberseguridad e ISO 27001 para financiar tu certificación.
Proceso de implantación: 6 fases en 9-14 meses
- Diagnóstico inicial y gap analysis (4-6 semanas): inventario de activos, evaluación frente a los 93 controles.
- Análisis de riesgos (6-10 semanas): metodología elegida, identificación de amenazas y vulnerabilidades, valoración, tratamiento.
- Diseño SGSI y SOA (4-6 semanas): políticas, procedimientos, SOA con justificación de cada control.
- Implementación de controles técnicos y organizativos (12-20 semanas): la fase más larga y costosa, especialmente para los controles tecnológicos.
- Auditoría interna y revisión por la dirección (3-4 semanas).
- Auditoría de certificación (4-6 semanas): fase 1 documental + fase 2 presencial con entidad acreditada por ENAC.
Caso real: una empresa de software de 22 empleados
Una empresa de desarrollo de software a medida (22 empleados, Las Palmas) decidió certificarse en ISO 27001 por presión de tres clientes corporativos que comenzaron a exigirla en renovaciones contractuales.
Proceso:
- Diagnóstico inicial: 38% de cumplimiento de los 93 controles antes del proyecto.
- Análisis de riesgos: 64 riesgos identificados, 12 en zona roja.
- Inversiones técnicas adicionales: MFA corporativo, DLP en correo, segmentación de red, EDR, gestión de logs centralizada (12.500 € adicionales a la consultoría).
- Duración total: 11 meses.
- Coste total año 1: 26.800 € (consultoría 15.000 € + tecnología 8.500 € + certificadora 3.300 €).
- Kit Consulting recuperado: 14.000 € [[DATO-VERIFICAR]].
Resultado:
- Mantuvieron los tres clientes (volumen anual conjunto 280.000 €).
- Ganaron dos nuevos clientes corporativos en sectores regulados.
- Incidente de phishing en el mes 8 contenido con éxito gracias a controles implantados (sin pérdida de datos).
Mini-glosario
- SGSI: Sistema de Gestión de Seguridad de la Información.
- CID: Confidencialidad, Integridad, Disponibilidad. Pilares de la seguridad de la información.
- SOA: Statement of Applicability, Declaración de Aplicabilidad de los controles.
- Anexo A: lista de controles de seguridad de ISO 27001 (93 en la versión 2022).
- MAGERIT: metodología de análisis de riesgos del Centro Criptológico Nacional español.
- NIS2: Directiva (UE) 2022/2555 sobre medidas para un alto nivel común de ciberseguridad.
- DLP: Data Loss Prevention, tecnologías de prevención de fuga de datos.
- MFA: Multi-Factor Authentication, autenticación multifactor.
- EDR: Endpoint Detection and Response, detección y respuesta en puestos finales.
- Riesgo residual: riesgo que queda después de aplicar los controles.
Preguntas frecuentes
¿Necesito ISO 27001 si ya cumplo el RGPD?
Sí, son complementarios. El RGPD es una obligación legal que afecta solo a datos personales. ISO 27001 protege toda la información de tu empresa (datos personales, propiedad intelectual, información comercial, código fuente). Además, la certificación ISO 27001 es la mejor evidencia de cumplimiento del principio de responsabilidad proactiva del RGPD.
¿Cuánto tarda la certificación?
Entre 9 y 14 meses para una primera certificación, dependiendo del punto de partida. Empresas con una madurez técnica buena (controles ya implantados, gestión de IT estructurada) pueden bajar a 6-8 meses; empresas que parten de cero pueden alargar a 14-18 meses.
¿Qué pasa si suspendo la auditoría externa?
Las NC mayores requieren plan de acción y auditoría complementaria en 90 días. NO suele significar perder todo el proyecto: la certificadora te da plazo para subsanar. Coste adicional típico: 1.500-3.500 € por la auditoría complementaria.
¿Puedo aplicar a ISO 27001 sin ser empresa tecnológica?
Sí, y cada vez más sectores la implantan: servicios profesionales (despachos de abogados, asesorías), sanidad privada, formación, fabricación con propiedad intelectual sensible, organismos de investigación. Cualquier empresa que maneje información valiosa puede beneficiarse.
¿Cómo se relaciona con NIS2?
NIS2 (transpuesta en España en 2025) obliga a "operadores esenciales" e "importantes" a implementar medidas de gestión de riesgos de ciberseguridad. ISO 27001 cubre la mayoría de esas medidas. Si tu empresa está en el ámbito NIS2 (energía, transporte, sanidad, infraestructuras digitales, banca, agua, residuos, alimentación, química, espacio, ciertos servicios postales y de gestión de residuos, fabricación de dispositivos médicos críticos, etc.), ISO 27001 es prácticamente obligatoria en la práctica.
¿Es válida la certificación en otros países?
Sí. ISO 27001 es una norma internacional y el certificado emitido por una entidad acreditada ENAC es reconocido en todos los países firmantes de IAF MLA (mutual recognition agreement). Esto incluye prácticamente todos los países OCDE. Relacionado: Certificación ISO España: Organismos y Costes Comparados.
¿Cuánto cuesta mantener el certificado anualmente?
Coste recurrente típico:
- Auditoría de seguimiento anual: 1.500-4.000 €.
- Consultoría de mantenimiento (opcional): 200-600 €/mes.
- Renovaciones técnicas, actualizaciones, formación continua: variable según tamaño.
Total típico PYME: 4.000-10.000 €/año.
Checklist: 10 pasos para implantar ISO 27001
- Define alcance del SGSI (qué información, qué procesos, qué ubicaciones).
- Inventario completo de activos de información.
- Elige metodología de análisis de riesgos (ISO 27005 o MAGERIT si compartes con ENS).
- Realiza análisis de riesgos completo con valoraciones objetivas.
- Selecciona controles aplicables y elabora SOA.
- Implanta controles organizativos, de personas, físicos y tecnológicos.
- Forma a todos los empleados en sus responsabilidades de seguridad.
- Mide indicadores de seguridad durante al menos 3 meses antes de la auditoría externa.
- Realiza una auditoría interna completa y resuelve hallazgos.
- Supera fase 1 y fase 2 con entidad acreditada por ENAC.
[[CTA-CONTACT]] ¿Necesitas implantar ISO 27001 en tu empresa? Hablamos y te ofrezco un diagnóstico de seguridad de la información sin compromiso, con la estrategia más eficiente para tu organización.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría Interna ISO: Guía Completa con Valor Real.
¿Necesitas ayuda con esto?
Trabaja conmigo en Implantación y certificación ISO
Consultoría a medida en implantación y certificación ISO. Primera sesión sin coste.
Agendar sesión →