ISO/IEC 27001:2022: Todo lo que necesitas saber para la transición y convertirte en auditor certificado

La seguridad de la información es esencial para las empresas tecnológicas, especialmente aquellas que manejan datos sensibles o proporcionan servicios digitales. La norma ISO/IEC 27001:2022, estándar internacional para sistemas de gestión de seguridad de la información (SGSI), ha sido actualizada para enfrentar nuevas amenazas emergentes. Las organizaciones certificadas y las que buscan certificarse deben completar su transición antes del 31 de octubre de 2025.

Principales cambios en la ISO/IEC 27001:2022

La actualización de la norma introduce modificaciones significativas:

• Revisión del Anexo A:
  • Los controles se reducen de 114 a 93, organizados en cuatro categorías:
    • Controles organizacionales
    • Controles de personas
    • Controles físicos
    • Controles tecnológicos
• Nuevos controles: Se incorporan 11 controles que abarcan áreas como:
  • Inteligencia de amenazas
  • Seguridad en la nube
  • Prevención de fugas de datos
  • Monitorización de la seguridad física
• Gestión del cambio: La nueva cláusula 6.3 exige documentar los cambios significativos en el SGSI.
• Claridad en las responsabilidades: Se han ajustado las cláusulas relacionadas con auditorías internas y revisiones por la dirección para mejorar su comprensión y aplicación.

Pasos para la transición de empresas certificadas

Las empresas certificadas bajo la versión anterior de la ISO/IEC 27001 deben completar la transición antes del 31 de octubre de 2025. Los pasos principales incluyen:

1. Realizar un análisis GAP:
   • Identificar las diferencias entre el sistema actual y los nuevos requisitos.
2. Actualizar la Declaración de Aplicabilidad:
   • Revisar los controles implementados y justificar la selección o exclusión de cada uno.
3. Adaptar la documentación del SGSI:
   • Incorporar los nuevos controles y actualizar los procedimientos existentes.
4. Formación del personal:
   • Capacitar a los equipos sobre los nuevos controles y su aplicación.
5. Realizar auditorías internas:
   • Garantizar que los cambios se han implementado correctamente antes de la auditoría externa.

Empresas nuevas: Por dónde empezar

Las organizaciones que aún no están certificadas pueden seguir estos pasos iniciales:

1. Conocer la norma:
   • Familiarizarse con los requisitos de la ISO/IEC 27001:2022.
2. Definir el alcance del SGSI:
   • Determinar qué partes de la organización serán cubiertas.
3. Realizar un análisis de riesgos:
   • Evaluar los riesgos relacionados con la información y planificar controles.
4. Implementar los controles del Anexo A:
   • Asegurarse de cumplir con las cuatro categorías.
5. Seleccionar un organismo certificador:
   • Contratar una entidad acreditada para la auditoría de certificación.

Beneficios de la certificación ISO/IEC 27001:2022

Certificarse en esta norma no solo fortalece la seguridad de la información, sino que también aporta ventajas como:

• Confianza: Incrementa la confianza de clientes y socios.
• Cumplimiento normativo: Alineación con las regulaciones internacionales.
• Ventaja competitiva: Diferenciación como empresa segura y fiable.