Sabes que necesitas ISO 27001. Tal vez un cliente te lo pidió, o quieres adelantarte antes de que sea un bloqueador de ventas. Pero antes de buscar proveedor y pedir cotizaciones, la pregunta más práctica es: ¿qué tan lejos está tu empresa de cumplir los requisitos de ISO 27001? En este artículo te explico qué pide la norma en lenguaje directo, sin jerga de auditor, y te ayudo a estimar qué tanto trabajo te falta. Si eres CTO o Director de TI de una empresa SaaS o de tecnología, esto te va a ahorrar semanas de investigación.
Puntos clave
- ISO 27001 tiene dos bloques de requisitos: las cláusulas 4-10 (sistema de gestión) y el Anexo A (93 controles de seguridad)
- No necesitas cumplir los 93 controles: solo los que apliquen según tu evaluación de riesgos
- La empresa SaaS típica ya cumple 40-60% de los controles técnicos sin saberlo
- La brecha más común está en documentación y procesos formales, no en tecnología
- Un diagnóstico gratuito te dice exactamente qué te falta y cuánto esfuerzo implica
La estructura de ISO 27001: dos bloques que debes entender
Antes de listar requisitos, necesitas entender cómo está organizada la norma. ISO 27001:2022 tiene dos partes fundamentales:
Cláusulas 4 a 10: el sistema de gestión
Estas cláusulas definen cómo debe funcionar tu Sistema de Gestión de Seguridad de la Información (SGSI). Son requisitos de gestión, no técnicos. Hablan de liderazgo, planificación, recursos, operación y mejora continua. Si tu empresa ya tiene ISO 9001, muchos de estos requisitos ya los cumples.
Anexo A: los 93 controles de seguridad
El Anexo A es una lista de 93 controles organizados en 4 categorías: organizacionales, de personas, físicos y tecnológicos. La norma no te pide implementar todos. Te pide hacer una evaluación de riesgos y seleccionar los controles que aplican a tu contexto. Los que no apliquen, los justificas en un documento llamado Declaración de Aplicabilidad (SoA).
Requisitos del sistema de gestión (cláusulas 4-10)
Estos son los requisitos de ISO 27001 que toda empresa debe cumplir, sin excepción. Los explico en lenguaje práctico:
| Cláusula | Qué pide | En la práctica |
|---|---|---|
| 4. Contexto | Entender tu organización y las expectativas de las partes interesadas | Documento que describe tu empresa, tus clientes, regulaciones que te aplican y el alcance del SGSI |
| 5. Liderazgo | Compromiso de la dirección y política de seguridad | Una política de seguridad firmada por dirección y roles de responsabilidad asignados |
| 6. Planificación | Evaluación de riesgos, objetivos y plan de tratamiento | Matriz de riesgos con probabilidad e impacto, plan de acción y la SoA |
| 7. Soporte | Recursos, competencia, comunicación y documentación | Plan de capacitación, registros de competencia y control de documentos |
| 8. Operación | Implementar el plan de tratamiento de riesgos | Evidencia de que los controles seleccionados funcionan en la práctica |
| 9. Evaluación | Monitoreo, auditoría interna y revisión por dirección | Al menos una auditoría interna y una revisión por dirección documentadas |
| 10. Mejora | Acciones correctivas y mejora continua | Proceso para manejar no conformidades y evidencia de mejoras implementadas |
Documentos que ISO 27001 exige como mínimo
Una de las preguntas más frecuentes es: ¿cuántos documentos necesito? ISO 27001:2022 es más flexible que versiones anteriores, pero hay un conjunto mínimo que el auditor va a buscar:
- Alcance del SGSI - Define qué procesos, ubicaciones y sistemas están incluidos
- Política de seguridad de la información - Compromiso de la dirección con la seguridad
- Metodología de evaluación de riesgos - Cómo identificas y evalúas riesgos
- Evaluación de riesgos - La evaluación en sí, con activos, amenazas y niveles de riesgo
- Plan de tratamiento de riesgos - Qué vas a hacer con cada riesgo identificado
- Declaración de Aplicabilidad (SoA) - Qué controles del Anexo A aplicas y por qué
- Objetivos de seguridad de la información - Metas medibles alineadas con la política
- Registros de competencia - Evidencia de que tu equipo está capacitado
- Procedimiento de control de documentos - Cómo gestionas versiones y aprobaciones
- Registros de operación - Evidencia de que los controles funcionan día a día
- Programa y resultados de auditoría interna - Al menos una auditoría interna completa
- Actas de revisión por la dirección - Evidencia de que la dirección revisa el SGSI
- Registro de no conformidades y acciones correctivas - Cómo manejas los hallazgos
Además, dependiendo de los controles que selecciones del Anexo A, necesitarás procedimientos específicos. Por ejemplo: política de control de acceso, procedimiento de respaldo, plan de continuidad de negocio, política de uso aceptable, entre otros.
Los 93 controles del Anexo A: qué aplica a tu empresa
El Anexo A de ISO 27001:2022 organiza los controles en 4 categorías. No tienes que implementar los 93, pero sí debes justificar en tu SoA por qué excluyes alguno. Para una empresa SaaS o de tecnología, estos son los más relevantes:
Controles organizacionales (37 controles)
Son los controles de gestión: políticas, roles, responsabilidades, gestión de activos, control de acceso lógico, relaciones con proveedores, gestión de incidentes. La mayoría aplica a cualquier empresa que maneje datos sensibles.
Controles de personas (8 controles)
Abarcan la seguridad relacionada con empleados: selección de personal, términos de empleo, capacitación en seguridad, proceso disciplinario y desvinculación. Si tienes un proceso de contratación básico y una política de uso de recursos, ya cubres parte de esto.
Controles físicos (14 controles)
Protección de instalaciones, equipos y medios. Si tu operación es 100% cloud y no manejas servidores físicos, varios de estos controles no aplican o se simplifican significativamente. Esto es una ventaja para empresas digitales.
Controles tecnológicos (34 controles)
Aquí es donde las empresas de tecnología usualmente llevan ventaja: autenticación, criptografía, respaldos, monitoreo de logs, gestión de vulnerabilidades, seguridad en desarrollo, protección contra malware. Si ya sigues buenas prácticas de DevOps y seguridad, probablemente cumples más de la mitad.
¿Qué tan preparada está una empresa SaaS típica?
Después de acompañar a decenas de empresas de tecnología en su certificación, este es el panorama típico que encontramos en el diagnóstico inicial:
| Área | Estado típico | Esfuerzo para cumplir |
|---|---|---|
| Controles técnicos (respaldos, cifrado, monitoreo, accesos) | 50-70% implementado | Bajo - Formalizar lo que ya hacen |
| Documentación (políticas, procedimientos, registros) | 10-30% documentado | Alto - Es la brecha más grande |
| Evaluación de riesgos | Informal o inexistente | Medio - Necesita metodología formal |
| Gestión de proveedores | Acuerdos básicos sin evaluación de seguridad | Medio - Requiere evaluación y SLAs |
| Capacitación en seguridad | Informal o ad-hoc | Medio - Necesita programa formal y registros |
| Gestión de incidentes | Se atienden cuando ocurren, sin proceso formal | Medio - Necesita procedimiento y registros |
| Auditoría interna | No existe | Alto - Necesita planificarse y ejecutarse |
La buena noticia: la mayoría de las empresas de tecnología ya hacen mucho de lo que ISO 27001 pide. El reto no es implementar controles nuevos, sino documentar y sistematizar lo que ya hacen. Es la diferencia entre "tenemos respaldos automatizados" y "tenemos una política de respaldos documentada, con periodicidad definida, pruebas de restauración y responsables asignados".
Lo que ISO 27001 no te pide (y muchos creen que sí)
Hay mitos que espantan a las empresas innecesariamente. Esto es lo que ISO 27001 no requiere:
- No necesitas un SOC (Centro de Operaciones de Seguridad): Las empresas pequeñas y medianas pueden monitorear seguridad con herramientas estándar y procesos claros.
- No necesitas un CISO de tiempo completo: Un responsable de seguridad de la información puede ser un rol asignado a alguien que ya trabaja en la empresa.
- No necesitas implementar los 93 controles: Solo los que apliquen según tu evaluación de riesgos. Los demás se excluyen justificadamente en la SoA.
- No necesitas herramientas costosas: La norma no prescribe tecnología específica. Puedes cumplir con herramientas open source o las que ya tienes.
- No necesitas un ejército de documentos: ISO 27001:2022 enfatiza que la documentación debe ser proporcionada al tamaño y complejidad de tu organización.
- No necesitas certificar toda la empresa: Puedes certificar un proceso, un producto o una unidad de negocio específica.
Pasos concretos para preparar tu empresa
Si después de leer los requisitos de ISO 27001 quieres empezar a prepararte, este es el camino práctico:
1. Haz un diagnóstico inicial
Antes de cualquier otra cosa, necesitas saber dónde estás. Un gap analysis compara tu estado actual contra cada requisito de la norma e identifica las brechas específicas. Puedes hacerlo internamente o pedirle a un organismo de certificación como ONCE México que lo haga sin costo.
2. Define el alcance
Decide qué vas a certificar. Para una empresa SaaS, un buen alcance inicial podría ser: "Diseño, desarrollo y operación de la plataforma [nombre] y los servicios asociados de soporte al cliente". Un alcance bien definido acelera todo el proceso.
3. Asigna un responsable
Alguien tiene que liderar el proyecto. No necesita ser un experto en ISO 27001, pero sí alguien con autoridad para tomar decisiones, acceso a la dirección y tiempo asignado para el proyecto. En empresas pequeñas, el CTO o Director de TI suele asumir este rol.
4. Obtén el compromiso de la dirección
Sin esto, el proyecto se estanca. La dirección debe entender qué implica la certificación, aprobar el presupuesto y comunicar al equipo que es una prioridad. No basta con decir "adelante": necesitan participar activamente en la revisión por la dirección.
5. Haz la evaluación de riesgos
Identifica tus activos de información (datos, sistemas, personas, proveedores), las amenazas a las que están expuestos y la probabilidad e impacto de cada riesgo. Esto define qué controles del Anexo A vas a implementar.
6. Documenta lo que ya haces
Antes de crear documentos nuevos, formaliza tus prácticas actuales. ¿Ya tienes controles de acceso? Documéntalos. ¿Haces respaldos? Escribe la política. ¿Capacitas a tu equipo? Registra las sesiones. Mucho del trabajo es poner en papel lo que ya existe.
7. Cierra las brechas
Con el diagnóstico en mano, implementa los controles faltantes. Prioriza por riesgo: los controles que protegen tus activos más críticos van primero. No intentes hacerlo todo a la vez.
8. Realiza la auditoría interna
Es un requisito obligatorio antes de la auditoría de certificación. Puedes hacerla con personal interno capacitado o contratar un auditor externo. El objetivo es identificar hallazgos y corregirlos antes de la auditoría formal.
Errores que retrasan la certificación
Estos son los tropiezos más comunes que vemos en empresas que se preparan para ISO 27001:
- Sobredocumentar: Crear 200 páginas de procedimientos que nadie lee ni sigue. La documentación debe ser útil y proporcional.
- Copiar plantillas genéricas: Las políticas deben reflejar tu operación real. Un auditor detecta documentos genéricos inmediatamente.
- Delegar todo a TI: ISO 27001 no es solo un proyecto de tecnología. Involucra a RRHH, legal, operaciones y dirección.
- Posponer la evaluación de riesgos: Todo lo demás depende de esto. Si la retrasas, retrasas todo el proyecto.
- Ignorar a los proveedores: Si usas AWS, Google Cloud o cualquier servicio SaaS para datos sensibles, necesitas evaluar la seguridad de esos proveedores.
- No hacer la auditoría interna con seriedad: Es tu oportunidad de encontrar problemas antes que el auditor de certificación. Aprovéchala.
¿Cuánto tiempo necesitas para estar listo?
El tiempo depende de tu punto de partida y del modelo que elijas:
- Empresa con buenas prácticas de seguridad, sin documentación formal: 3-4 meses con acompañamiento
- Empresa con seguridad básica y algunas políticas: 4-6 meses
- Empresa empezando de cero en seguridad: 6-9 meses
Con el modelo integrado de ONCE México, el proceso se optimiza porque no hay tiempos muertos entre implementación y auditoría. El equipo que te guía en la preparación es del mismo organismo que certifica, así que no hay desconexiones. Conoce los costos y tiempos detallados para planear tu inversión.
Preguntas frecuentes
¿Cuáles son los requisitos mínimos para certificarse en ISO 27001?
Los requisitos mínimos incluyen: compromiso de la alta dirección, definición del alcance del SGSI, evaluación de riesgos documentada, Declaración de Aplicabilidad (SoA), política de seguridad, objetivos medibles, controles implementados del Anexo A según tu evaluación de riesgos, al menos una auditoría interna realizada y una revisión por la dirección documentada.
¿Necesito un equipo de seguridad dedicado?
No necesariamente. En empresas pequeñas y medianas, un responsable de seguridad de la información con apoyo de TI y dirección puede ser suficiente. Lo importante es que alguien lidere el SGSI y tenga autoridad para tomar decisiones. El rol puede combinarse con otras responsabilidades.
¿Cuántos documentos necesito para ISO 27001?
ISO 27001:2022 requiere como mínimo unos 15-20 documentos obligatorios. Sin embargo, la norma permite flexibilidad en el formato y extensión. Lo importante es que la documentación sea útil, refleje tu operación real y sea proporcional al tamaño de tu organización. No se trata de cantidad sino de calidad.
¿Una empresa SaaS pequeña puede certificarse?
Sí. ISO 27001 está diseñada para ser escalable. Empresas desde 10 empleados se han certificado exitosamente. La clave es definir un alcance apropiado y adaptar los controles a tu tamaño y riesgo real. Muchas SaaS pequeñas se certifican precisamente para desbloquear ventas a clientes corporativos.
¿Cómo sé si mi empresa está lista para ISO 27001?
La forma más precisa es mediante un diagnóstico o gap analysis que compare tu estado actual contra los requisitos de la norma. Esto identifica las brechas específicas y el esfuerzo necesario para cerrarlas. ONCE México ofrece este diagnóstico sin costo para que tengas claridad antes de invertir.
¿Quieres saber exactamente qué le falta a tu empresa?
En ONCE México somos un organismo de certificación acreditado. Hacemos un diagnóstico gratuito que te dice qué tan lejos estás de cumplir ISO 27001 y cuánto esfuerzo implica. Sin compromiso.