¿Qué es ISO/IEC 27001:2022?
ISO/IEC 27001:2022 es la norma internacional para Sistemas de Gestión de Seguridad de la Información (SGSI). Establece los requisitos para diseñar, implementar, mantener y mejorar continuamente un sistema que proteja la confidencialidad, integridad y disponibilidad de los activos de información de una organización.
La versión 2022 reorganizó el Anexo A: de 114 controles agrupados en 14 secciones (versión 2013) pasó a 93 controles en 4 categorías nuevas: organizacionales (37), de personas (8), físicos (14) y tecnológicos (34). Empresas certificadas bajo la versión 2013 tienen hasta octubre de 2025 para migrar.
No es una norma de tecnología ni de cumplimiento normativo específico — es una norma de gestión. Lo que evalúa el auditor externo es si la organización entiende sus riesgos de información, los gestiona con un sistema coherente y mejora continuamente.
¿Para quién es relevante ISO 27001 en México?
Por experiencia de auditoría, las empresas mexicanas que más necesitan ISO 27001 son:
- Empresas tecnológicas y SaaS que venden a clientes corporativos USA, UE o LATAM. Es uno de los requisitos más frecuentes en RFPs y procesos de due diligence.
- BPO y centros de servicios compartidos que procesan datos personales o financieros de terceros.
- Fintech y empresas con licencias CNBV que están sujetas a requisitos regulatorios de seguridad.
- Empresas que manejan datos personales bajo LFPDPPP o GDPR. La extensión ISO 27701 complementa específicamente la gestión de privacidad.
- Proveedores estratégicos de gobierno mexicano en licitaciones que exigen sistemas de gestión certificados.
- Empresas industriales con propiedad intelectual sensible (manufactura especializada, biotech, defensa).
Cómo elegir un organismo de certificación ISO 27001 en México
La elección del organismo de certificación (OC) determina la validez de tu certificado, la calidad técnica de la auditoría y la experiencia operativa del proceso. Estos son los 7 criterios técnicos que recomendamos evaluar:
1. Acreditación vigente bajo ISO/IEC 17021-1
Es el criterio no negociable. El OC debe estar acreditado por un organismo nacional de acreditación reconocido. En México, MAAC (Mexican Accreditation Association) acredita organismos de certificación bajo ISO/IEC 17021-1. Verifica que el alcance de la acreditación incluya específicamente ISO 27001 — algunos OCs están acreditados para 9001 pero no para 27001.
2. Imparcialidad estricta (no consultoría)
Por ISO 17021, un organismo de certificación NO puede ofrecer servicios de consultoría o implementación a las empresas que va a certificar. Si un OC te ofrece "paquete completo de implementación + certificación", está violando imparcialidad y el certificado emitido tiene riesgo de invalidación. Servicios complementarios SÍ permitidos: diagnóstico de madurez, capacitación oficial (PECB), auditoría previa.
3. Competencia técnica de los auditores
ISO 27001 es una norma técnicamente compleja. Los auditores deben tener competencia demostrable en seguridad de la información — no basta con ser auditor ISO 9001. Pregunta por las credenciales: certificaciones PECB Lead Auditor ISO 27001, ISC2, ISACA, o equivalentes. También pregunta cuántas certificaciones ISO 27001 ha realizado el OC en el último año.
4. Transparencia de precios y alcance
Pide cotización con desglose detallado: Etapa 1, Etapa 2, viáticos (si aplican), emisión del certificado, auditorías de seguimiento anuales (años 2 y 3), recertificación (año 4). Una cotización opaca o que mezcla certificación con consultoría es señal de problema. ONCE México publica rangos referenciales públicamente.
5. Tiempos realistas de auditoría
Por IAF MD 5 (documento mandatorio), los tiempos mínimos de auditoría dependen del tamaño de la organización. Una empresa de 50 empleados requiere típicamente 3-5 días de auditoría inicial. Si un OC ofrece auditorías significativamente más cortas, está incumpliendo los mínimos IAF — el certificado puede ser cuestionado.
6. Presencia geográfica y operativa
Para empresas con múltiples ubicaciones, conviene un OC con presencia en las regiones donde operas. Reduce costos de viáticos y facilita logística. ONCE México opera principalmente en CDMX, Estado de México, Querétaro y otras zonas industriales clave.
7. Reconocimiento del certificado en tus mercados objetivo
Si tu empresa exporta o vende a clientes en mercados específicos (USA, UE, LATAM, Asia), verifica que el certificado emitido sea reconocido en esos mercados. Los acuerdos multilaterales (ej. IAF MLA cuando aplica) facilitan reconocimiento internacional. Pregunta al OC por casos previos en tu industria y geografía objetivo.
Proceso de certificación ISO 27001 paso a paso
El proceso completo, desde decisión hasta certificado emitido, tiene 6 fases:
Fase 1: Diagnóstico inicial (gap analysis)
1-2 meses. Evaluación contra los requisitos de la norma. Identificación de brechas en políticas, controles del Anexo A, procesos operativos. ONCE puede realizar este diagnóstico como servicio independiente (compatible con ISO 17021).
Fase 2: Implementación del SGSI
3-9 meses. Diseño y operación del sistema de gestión: política, análisis de riesgos, Statement of Applicability (SoA) con los 93 controles, procedimientos operativos. Esta fase NO la hace ONCE — por imparcialidad, la implementación corre a cargo de tu equipo interno o de un consultor independiente.
Fase 3: Operación con registros (mínimo 3 meses)
El SGSI debe estar operando y generando evidencias antes de la auditoría externa. Esto incluye auditorías internas, revisión por la dirección, gestión de incidentes y acciones correctivas.
Fase 4: Auditoría Etapa 1
Revisión documental por parte del auditor líder ONCE. Evalúa la madurez del sistema, completitud de documentos críticos y disposición para Etapa 2. Identificación de cualquier no-conformidad bloqueante antes de la auditoría in situ. Duración típica: 1-2 días.
Fase 5: Auditoría Etapa 2
Verificación operativa en sitio. El auditor evalúa la implementación efectiva de los controles, entrevistas con personal, revisión de evidencias, gestión de riesgos en operación real. Duración típica para empresas de 50-200 empleados: 3-5 días según IAF MD 5.
Fase 6: Emisión del certificado + auditorías de seguimiento
Cierre de cualquier no-conformidad de Etapa 2, decisión técnica de certificación y emisión del certificado con validez de 3 años. Anualmente se realizan auditorías de seguimiento de alcance reducido. Al término del tercer año, auditoría de recertificación.
ISO 27001 vs SOC 2 vs NIST CSF — ¿cuál necesitas?
Estas tres opciones suelen evaluarse juntas en empresas mexicanas que venden a USA o tienen exigencias regulatorias internacionales. La diferencia práctica:
| Esquema | Tipo | Validez | Reconocimiento |
|---|---|---|---|
| ISO 27001:2022 | Certificación internacional con auditoría externa | 3 años | Global (especialmente Europa, LATAM, Asia) |
| SOC 2 Type II | Reporte de atestación por CPA (no certificación) | 12 meses | Principalmente USA |
| NIST CSF | Marco de referencia (no genera certificado) | N/A | USA gobierno y sector crítico |
Si tu empresa vende exclusivamente en USA y a tech startups: SOC 2 Type II suele ser suficiente. Si vendes a Europa, LATAM o gobiernos: ISO 27001. Si vendes a ambos: la mayoría de empresas mexicanas eligen ISO 27001 como certificación base y agregan SOC 2 como reporte complementario.
Cómo empezar con ONCE México
Si después de leer esta guía consideras que ISO 27001 es la certificación adecuada para tu organización, los siguientes pasos con ONCE son:
- Cotización inicial: envía un formulario de contacto con datos básicos de tu organización (empleados, sectores, alcance preliminar). Recibirás cotización detallada con desglose por etapa.
- Diagnóstico de madurez (opcional): antes de comprometerte con certificación, puedes realizar un diagnóstico independiente para identificar brechas y estimar tiempo realista.
- Capacitación del equipo (recomendado): al menos el responsable del SGSI debe tomar el curso oficial PECB Lead Implementer o Lead Auditor ISO 27001. ONCE es PECB Authorized Training Partner.
- Implementación del SGSI: con tu equipo interno o un consultor independiente. ONCE no realiza esta fase.
- Programación de auditoría: una vez que el SGSI opera con registros suficientes (mínimo 3 meses), agendamos Etapa 1 + Etapa 2.
Sobre la autora. Pilar Andrade es Lead Auditor PECB y voz técnica de ONCE México. Esta guía refleja la práctica de auditoría real que observa en empresas mexicanas de tecnología, fintech, BPO y manufactura. ONCE México es un organismo de certificación acreditado MAAC bajo ISO/IEC 17021-1. Conoce más sobre Pilar →
