Cada vez más empresas tecnológicas mexicanas descubren la ISO 27001 de la peor forma: un cliente del sector financiero les pide el certificado como condición para firmar el contrato. Si tu empresa maneja datos de terceros —fintech, SaaS, desarrollo a la medida, procesamiento de información— tarde o temprano un banco, una aseguradora o una dependencia de gobierno te va a exigir evidencia de que proteges esa información. Esta guía explica por qué los clientes del sector financiero exigen ISO 27001, qué cubre la norma y cómo puede certificarse una empresa tecnológica o pyme en México.
Puntos clave
- La ISO 27001 certifica un Sistema de Gestión de Seguridad de la Información (SGSI), no un producto ni un servidor.
- Banca, fintech y gobierno la exigen como parte de su due diligence de proveedores: reduce su riesgo y acelera la aprobación.
- El valor del certificado está en que lo emite un organismo acreditado e independiente, no en el documento en sí.
- Una pyme tecnológica puede certificarse acotando bien el alcance del SGSI; no necesita ser una corporación.
- ONCE no implementa el sistema: lo audita y certifica (imparcialidad ISO/IEC 17021).
Qué es la ISO 27001
La ISO 27001 es la norma internacional para la seguridad de la información. No certifica un firewall ni un software concreto: certifica que tu organización tiene un Sistema de Gestión de Seguridad de la Información (SGSI) funcionando —es decir, un conjunto de políticas, procesos y controles para identificar riesgos sobre tu información y gestionarlos de forma sistemática.
La idea de fondo es simple: la seguridad no es comprar herramientas, es gestionar el riesgo. Por eso la norma exige que partas de un análisis de riesgos propio y, a partir de ahí, decidas qué controles aplicas, cómo los operas y cómo demuestras que funcionan. Cuando un tercero acreditado audita ese sistema y confirma que cumple, emite el certificado ISO 27001.
Por qué la exigen banca, fintech y gobierno
Los clientes del sector financiero manejan dinero y datos personales bajo regulación estricta. Si te contratan como proveedor, tu seguridad se convierte en su riesgo: una fuga en tu sistema es una fuga en su cadena. Por eso, antes de firmar, ejecutan un proceso de due diligence de proveedores en el que evalúan cómo proteges la información que les vas a manejar.
Aquí es donde la ISO 27001 se vuelve un atajo. En lugar de auditarte ellos mismos —algo lento y costoso para ambas partes—, aceptan el certificado de un organismo acreditado como evidencia objetiva de que tienes controles en marcha. Eso desbloquea contratos que de otro modo se atascan en revisiones de seguridad interminables.
Los escenarios típicos en México:
- Fintech y banca: proveedores de software, procesamiento de pagos o datos deben demostrar controles de seguridad antes de la integración.
- Gobierno y licitaciones: cada vez más bases incluyen la ISO 27001 como requisito o como criterio de evaluación. Lo desarrollamos en certificación ISO en licitaciones de gobierno.
- Empresas que manejan datos personales: clientes corporativos exigen el certificado a sus proveedores de TI para cubrir sus propias obligaciones de privacidad.
En todos los casos el patrón es el mismo: no certificarte te deja fuera de la lista de proveedores elegibles.
Qué cubre la ISO 27001: el SGSI y sus controles
La norma tiene dos grandes partes. La primera son los requisitos del sistema de gestión: contexto de la organización, liderazgo, evaluación de riesgos, objetivos, operación, evaluación del desempeño y mejora continua. Es el "esqueleto" del SGSI y es obligatorio.
La segunda es el Anexo A, un catálogo de controles de referencia que seleccionas según tu análisis de riesgos. En la versión vigente (ISO 27001:2022) los controles se agrupan en cuatro temas:
- Organizativos: políticas, roles, gestión de proveedores, clasificación de la información.
- De personas: concientización, responsabilidades, manejo de altas y bajas.
- Físicos: control de acceso a instalaciones y equipos.
- Tecnológicos: control de accesos, cifrado, respaldo, monitoreo, gestión de vulnerabilidades.
Lo importante: no aplicas todos los controles "porque sí". Aplicas los que tu evaluación de riesgos justifica, y documentas esa decisión en la declaración de aplicabilidad. Eso hace que la norma funcione igual de bien para una corporación que para una pyme tecnológica.
Cómo certificarse una empresa tecnológica o pyme
Una pyme no necesita ser un banco para certificarse. La clave es acotar bien el alcance: definir qué parte de la organización y qué servicios cubre el SGSI (por ejemplo, "la plataforma SaaS y su operación", no toda la empresa). Un alcance bien delimitado hace el proyecto manejable. El camino, a grandes rasgos:
1. Análisis de brechas (diagnóstico)
Compara lo que ya haces contra los requisitos de la norma para saber dónde estás parado. Puedes empezar con un autodiagnóstico para tener una primera lectura.
2. Definición del alcance y del SGSI
Delimita qué cubre la certificación, realiza el análisis de riesgos y selecciona los controles del Anexo A que correspondan.
3. Implementación y operación
Pones a funcionar políticas y controles, y los operas durante unas semanas para generar evidencia. Esta fase la realiza tu equipo interno o un consultor independiente —no el organismo de certificación, por imparcialidad.
4. Auditoría de certificación
El organismo acreditado audita en dos etapas: primero revisa documentación y madurez, luego verifica la operación real del SGSI. Si cumple, emite el certificado, con seguimientos anuales para mantenerlo.
Antes de elegir con quién certificarte, vale la pena leer cómo elegir una certificadora ISO confiable en México: el valor de tu certificado depende de que el organismo esté acreditado ante un miembro del IAF.
Preguntas frecuentes
¿Por qué los clientes del sector financiero exigen ISO 27001?
Porque manejan datos sensibles bajo regulación y hacen due diligence de sus proveedores. La ISO 27001 les da evidencia, validada por un organismo acreditado independiente, de que tienes un SGSI funcionando. Eso reduce su riesgo y acelera la aprobación del contrato.
¿Qué cubre la certificación ISO 27001?
Certifica un Sistema de Gestión de Seguridad de la Información (SGSI): análisis de riesgos, políticas, roles, gestión de incidentes y mejora continua. El Anexo A reúne los controles de referencia —organizativos, de personas, físicos y tecnológicos— que seleccionas según tu evaluación de riesgos.
¿Cuánto tarda una pyme tecnológica en certificarse en ISO 27001?
En una pyme con procesos acotados suele tomar de cuatro a ocho meses: análisis de brechas, definición del alcance y del SGSI, operación de los controles para generar evidencia y la auditoría de certificación en dos etapas. El tiempo depende del alcance y de la madurez previa en seguridad.
¿ONCE puede implementar el SGSI y certificarlo?
No. Por imparcialidad (ISO/IEC 17021), el organismo no puede implementar el sistema y luego certificarlo. ONCE es un organismo de certificación acreditado que audita tu SGSI y, si cumple, emite el certificado. La implementación la realiza tu equipo o un consultor independiente; ONCE apoya con diagnósticos, capacitación y certificación.
¿Tus clientes te piden ISO 27001?
ONCE México es un organismo de certificación acreditado. Solicita una cotización o haz un autodiagnóstico para conocer el camino a tu certificación ISO 27001.