En breve: La norma ISO 27001 se actualizó en 2022 y el principal cambio está en el Anexo A, que pasa de 114 a 93 controles reorganizados en cuatro grupos (organizativos, personas, físicos y tecnológicos) con 11 controles nuevos. El periodo de transición lo fijó el IAF en tres años desde la publicación y ya ha finalizado. Si tu organización tenía un certificado bajo la versión 2013, lo más prudente es comprobar su estado con tu entidad certificadora, porque un certificado no migrado deja de ser válido. En este artículo te explico por qué hay una nueva versión, qué cambia, el plazo, los pasos para transicionar y qué ocurre si no lo haces a tiempo.
Por qué hay una nueva versión de ISO 27001
La versión anterior, ISO/IEC 27001:2013, se mantuvo vigente casi una década. En ese periodo el panorama de la seguridad de la información cambió mucho: la adopción masiva de servicios en la nube, el trabajo en remoto, las amenazas dirigidas y la presión regulatoria hicieron que algunos controles se quedaran cortos o repartidos de forma poco práctica.
Por eso se publicó ISO/IEC 27001:2022. No es una norma completamente distinta: el núcleo del sistema de gestión de seguridad de la información (las cláusulas 4 a 10, sobre contexto, liderazgo, planificación, soporte, operación, evaluación del desempeño y mejora) se mantiene prácticamente igual, con retoques menores de redacción. El cambio de fondo está en el Anexo A, que se alinea con la nueva edición de los controles publicada en ISO/IEC 27002:2022.
En mi experiencia acompañando a empresas en estos procesos, conviene entenderlo así: la estructura del sistema de gestión sigue siendo la misma, lo que se reordena y moderniza es el catálogo de controles que aplicas para tratar tus riesgos.
Qué cambia entre ISO 27001:2013 y 2022
El cambio más visible y el que más trabajo genera es la reorganización del Anexo A. Donde antes había 114 controles repartidos en 14 dominios, ahora hay 93 controles agrupados en cuatro grandes temas. No es que se hayan eliminado de golpe 21 controles: muchos se han fusionado o consolidado, otros se han redactado de nuevo y se han incorporado 11 controles que antes no existían como tales.
Estos son los cuatro grupos en los que se estructura ahora el Anexo A:
| Grupo de controles | Enfoque | Nº de controles |
|---|---|---|
| Organizativos | Políticas, roles, gestión de proveedores, gestión de incidentes, continuidad | 37 |
| Personas | Concienciación, responsabilidades, teletrabajo, acuerdos de confidencialidad | 8 |
| Físicos | Seguridad de instalaciones, equipos, soportes y áreas seguras | 14 |
| Tecnológicos | Control de accesos, criptografía, registro, desarrollo seguro, configuración | 34 |
Además de la nueva agrupación, cada control de la versión 2022 incorpora atributos (por ejemplo, tipo de control, propiedades de seguridad, conceptos de ciberseguridad o capacidades operativas) que ayudan a filtrarlos y clasificarlos. Es una ayuda práctica, no un requisito obligatorio.
Los 11 controles nuevos
Lo que de verdad obliga a revisar tu sistema son los controles que se han añadido, porque reflejan riesgos que en 2013 apenas se contemplaban. Entre ellos están la inteligencia de amenazas (threat intelligence), la seguridad de la información para el uso de servicios en la nube, la preparación de las TIC para la continuidad de negocio, la monitorización de la seguridad física, la gestión de la configuración, el borrado de información, el enmascaramiento de datos, la prevención de fuga de datos (DLP), la monitorización de actividades, el filtrado web y la codificación segura.
Cada uno de estos controles nuevos puede suponer documentación, procedimientos o herramientas que tu organización quizá no tenía formalizadas. Por eso la transición no es solo un cambio de etiquetas: es una oportunidad para revisar de verdad cómo gestionas la seguridad.
El plazo de transición de ISO 27001:2013 a 2022
Aquí está la parte que más preguntas genera. Cuando se publica una nueva versión de una norma certificable, el IAF (el foro internacional que coordina a los organismos de acreditación) fija un periodo de transición para que las organizaciones ya certificadas migren su certificado de forma ordenada.
Para ISO/IEC 27001:2022, el IAF estableció un periodo de transición de tres años contados desde la publicación de la norma. Ese plazo ya ha finalizado. Es decir, las organizaciones que tenían un certificado bajo la versión 2013 debían haber completado su auditoría de transición dentro de esa ventana.
Como las fechas concretas de cierre, las prórrogas excepcionales y los calendarios de auditoría pueden variar según el organismo y el caso, mi recomendación es clara: consulta el plazo vigente y el estado real de tu certificado con tu entidad certificadora. Es la única fuente que te dará la situación exacta de tu certificado, sin suposiciones. Y si todavía no estás certificado y empiezas ahora, lo harás directamente sobre la versión 2022, así que esta preocupación no te afecta.
Pasos para hacer la transición
Si tu sistema sigue documentado sobre la versión 2013, el camino para migrarlo es bastante previsible. Estos son los pasos que sigo cuando acompaño una transición:
- Análisis de diferencias (gap analysis). Comparas tu sistema actual con los requisitos de la versión 2022, control a control. Identificas qué se mantiene, qué se ha fusionado, qué hay que reescribir y qué controles nuevos te aplican.
- Actualizar el análisis de riesgos. Revisas tu evaluación y tratamiento de riesgos a la luz de los nuevos controles y de las amenazas actuales (nube, fuga de datos, amenazas dirigidas).
- Actualizar la declaración de aplicabilidad (SoA). Es el documento clave de la transición. Tienes que rehacerlo sobre los 93 controles de la versión 2022, justificando cuáles aplicas, cuáles excluyes y por qué.
- Implantar los controles nuevos. Pones en marcha procedimientos, políticas o herramientas para los controles que antes no tenías formalizados, según corresponda a tu organización.
- Actualizar la documentación y formar al equipo. Ajustas políticas, procedimientos y registros, y te aseguras de que las personas implicadas conocen los cambios.
- Auditoría interna. Antes de la visita de la certificadora, conviene pasar una auditoría interna ISO para detectar desviaciones y corregirlas a tiempo.
- Auditoría de transición. Tu certificadora realiza la auditoría que verifica que tu sistema cumple la versión 2022. Puede coincidir con una auditoría de seguimiento o de renovación, según tu ciclo.
Si necesitas apoyo para ordenar este proceso, en consultoría ISO ayudamos a planificar la transición y a preparar la documentación sin que el día a día de la empresa se resienta.
Qué pasa si no transicionas a tiempo
Esta es la consecuencia que conviene tener muy clara: si el periodo de transición termina y no has migrado, tu certificado bajo la versión 2013 deja de ser válido. No se convierte automáticamente en 2022 ni se prorroga por sí solo.
En la práctica, perder la validez del certificado puede afectar a tu reputación, a licitaciones donde se exige la certificación vigente y a contratos con clientes que la incluyen como requisito. Recuperarla suele implicar volver a pasar por el proceso de certificación, con el coste y el tiempo que eso conlleva. Por eso, si tienes cualquier duda sobre el estado de tu certificado, lo primero es hablar con tu certificadora cuanto antes.
Recomendaciones para una transición sin sobresaltos
De todo lo que he visto en estos procesos, estas son las recomendaciones que más valor aportan:
- No lo dejes para el final. La transición se hace mejor con margen, integrándola en una auditoría de seguimiento o renovación ya prevista.
- Empieza por el análisis de diferencias. Te da una foto realista del esfuerzo y evita sorpresas en los controles nuevos.
- Cuida la declaración de aplicabilidad. Es el documento que mejor refleja la madurez de tu sistema y el que más mira el auditor.
- Elige bien a tu auditor. Trabaja con una certificadora acreditada por ENAC para que tu certificado tenga reconocimiento real.
- Presupuesta con realismo. Si te preguntas cuánto cuesta certificarse en ISO 27001 o transicionar, ten en cuenta horas internas, posibles herramientas y la propia auditoría.
Conclusión
La transición de ISO 27001:2013 a 2022 no es un mero cambio de fecha en el certificado: es una revisión a fondo del Anexo A, con 93 controles reorganizados en cuatro grupos y 11 controles nuevos que reflejan los riesgos actuales. El periodo de transición fijado por el IAF fue de tres años desde la publicación y ya ha finalizado, así que lo más sensato es comprobar el estado real de tu certificado con tu entidad certificadora y, si procede, planificar la migración cuanto antes. Hacerlo con método (gap analysis, riesgos, SoA, controles nuevos y auditoría) convierte una obligación en una mejora real de tu seguridad.
Si quieres que revisemos juntos en qué punto está tu sistema y cómo afrontar la transición sin frenar tu actividad, escríbeme y lo vemos.