ISO 27001: controles de seguridad clave para la certificación

ISO/IEC 27001:2022 es el estándar internacional para Sistemas de Gestión de Seguridad de la Información (SGSI). Define los requisitos para proteger los activos de información mediante un enfoque sistemático basado en riesgos. Aunque técnicamente es voluntario, es efectivamente obligatorio para pymes que venden a clientes empresariales, clientes del sector público, bancos e industrias reguladas en Europa y Latinoamérica. A 2024, cerca de 96.709 organizaciones en más de 150 países tienen certificados válidos — incluyendo el 65% de los proveedores de servicios TI.

Los controles técnicos más importantes para la gestión de vulnerabilidades son A.8.8 (Gestión de vulnerabilidades técnicas), que exige la identificación, evaluación y remediación sistemática de vulnerabilidades en todos los activos. Estrechamente relacionados están A.5.9 (Inventario de activos — no puede evaluar lo que no sabe que tiene), A.8.16 (Actividades de monitoreo — detección continua de comportamiento anómalo) y A.5.7 (Inteligencia de amenazas — conocimiento proactivo de amenazas emergentes). Juntos, estos cuatro controles representan la evidencia técnica que los auditores examinan con más cuidado en organizaciones tecnológicas.

Las plataformas de gestión de superficie de ataque (ASM) abordan directamente los controles que la mayoría de los auditores ISO 27001 en organizaciones tecnológicas examinan con más rigor: A.8.8, A.8.16, A.5.9 y A.5.7. Sin ASM, las organizaciones dependen de escaneos puntuales y hojas de cálculo de activos mantenidas manualmente — que los auditores cada vez más consideran evidencia insuficiente de cumplimiento continuo. SeguriScan proporciona la evidencia semanal automatizada que acorta la preparación de auditoría, reduce los hallazgos de auditorías de vigilancia y demuestra un SGSI operativo en lugar de uno documentado pero no probado.

Para una organización pequeña a mediana, espere de 4 a 6 meses para estar listo para auditoría: esto cubre la implementación del SGSI, la evaluación de riesgos y la documentación. Luego permita de 2 a 3 meses para el proceso de auditoría en dos etapas (Etapa 1 revisión de documentación, Etapa 2 evaluación in situ). El plazo total es típicamente de 6 a 9 meses. Las organizaciones más complejas pueden necesitar de 12 a 18 meses. Las herramientas de automatización — particularmente para los controles técnicos como inventario de activos y gestión de vulnerabilidades — pueden reducir significativamente el tiempo de preparación al eliminar la recopilación manual de evidencia.

ISO 27001 en sí no está impuesto por ley, pero la Directiva NIS2 de la UE (efectiva desde octubre de 2024) exige a entidades esenciales e importantes en 18 sectores críticos implementar medidas de seguridad equivalentes a un SGSI — e ISO 27001 es la vía de implementación reconocida. El RGPD también reconoce ISO 27001 como evidencia de 'medidas técnicas y organizativas apropiadas' bajo el Artículo 32. En la práctica, los departamentos de compras gubernamentales de la UE y el Reino Unido exigen cada vez más certificación válida a los proveedores tecnológicos, haciéndolo efectivamente obligatorio para cualquier pyme que aspire a contratos del sector público o de industrias reguladas.

ISO 27001:2022 reorganizó los 14 dominios de control anteriores en cuatro temas: Organizacional (5.1–5.37), Personas (6.1–6.8), Físico (7.1–7.14) y Tecnológico (8.1–8.34). El número total de controles se redujo de 114 a 93, con 11 nuevos controles añadidos — incluyendo A.5.7 (Inteligencia de amenazas) y A.8.16 (Actividades de monitoreo), ambos directamente relevantes para ASM. El plazo de transición desde el estándar de 2013 pasó el 31 de octubre de 2025: cualquier organización aún en el estándar anterior debe reiniciar la certificación desde cero. Una enmienda de febrero de 2024 (Amd 1:2024) también exige a las organizaciones considerar el cambio climático como factor de riesgo contextual en su SGSI.