¿Qué es ISO 27001:2022 y para qué sirve?

EASYSEC, José Luis Cruz B. marzo 18, 2026


¿Qué es la norma ISO/IEC 27001:2022?

Imagina que tu empresa es una fortaleza. La información que manejas, datos de clientes, contratos, información financiera, son los tesoros que resguardas dentro. La norma ISO/IEC 27001:2022 es la guía para construir esa fortaleza con los estándares de seguridad que el mundo digital exige hoy.

En términos formales, es el estándar internacional publicado en octubre de 2022 que define los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Su nombre completo es: "Seguridad de la información, ciberseguridad y protección de la privacidad"  y ese nuevo título ya dice mucho: el alcance de la norma se amplió para abarcar ciberseguridad y privacidad de forma explícita.

La norma protege la información a través de tres pilares que no han cambiado:

Confidencialidad: Solo quien debe ver la información, tiene acceso a ella.

Integridad: La información no se altera sin autorización.

Disponibilidad: Quien la necesita puede acceder a ella cuando la requiere.

💡Dato clave
ISO 27001:2022 no es solo para empresas de tecnología. Aplica a cualquier organización que maneje información valiosa: despachos legales, clínicas, empresas financieras, manufactureras, distribuidoras y más. Aplica sin importar el tamaño.

¿Cómo funciona ISO 27001:2022?

La norma sigue un enfoque de gestión de riesgos: primero identifica qué puedes perder, luego evalúa qué tan probable es que algo malo suceda, y finalmente actúa para reducir esa probabilidad o el impacto. La versión 2022 refuerza que todos los cambios dentro del SGSI deben hacerse de forma planificada y documentada.

Evaluar los riesgos
¿Qué amenazas pueden afectar esos activos? Ataques externos, errores humanos, fallas técnicas, accesos no autorizados, ransomware, fugas de datos. La 2022 exige que los objetivos de seguridad sean medibles y con responsables asignados.

Seleccionar controles de seguridad
Con base en los riesgos, se eligen los controles del Anexo A. La versión 2022 los reorganizó en 4 categorías con atributos claros para facilitar la selección.

Implementar y mantener el SGSI
Se pone en marcha el sistema y se documenta todo. Ahora también deben controlarse los procesos propios y los de proveedores y servicios externos.

Revisar y mejorar continuamente
El mundo cambia, las amenazas también. La 2022 refuerza que cualquier cambio al SGSI debe llevarse a cabo de forma planificada, no improvisada.

¿Qué cambió respecto a la versión 2013?

Los cambios van de pequeños a moderados. La estructura principal de la norma (sus 11 cláusulas) se mantiene, pero el Anexo A sufrió la transformación más visible: pasó de 114 controles organizados en 14 dominios, a 93 controles en solo 4 categorías. Aquí te explico los cambios más relevantes:


Cambios en el Cuerpo de la Norma

Los controles se fusionaron, reorganizaron y actualizaron para eliminar redundancias y reflejar las amenazas actuales. De los 93 controles: 35 se mantuvieron igual, 23 cambiaron de nombre y 11 son completamente nuevos.

Las 14 categorías anteriores se condensaron en solo 4 bloques temáticos más claros y fáciles de aplicar:


➥Organizacionales (37 controles) 

Políticas, roles, responsabilidades, gestión de incidentes, continuidad del negocio, relaciones con proveedores e inteligencia de amenazas.


Tecnológicos (34 controles)

Cifrado, accesos, seguridad en la nube, gestión de configuraciones, prevención de fugas de datos, filtrado web y más.


Físicos (14 controles)

Control de acceso a instalaciones, protección de equipos, escritorios limpios, monitoreo y supervisión de seguridad física.


Personas (8 controles)

Contratación, concientización, capacitación, confidencialidad, teletrabajo y responsabilidades del personal.



Nuevos atributos para clasificar los controles

Cada control ahora tiene atributos que te ayudan a filtrarlo y entenderlo mejor. Son 5 tipos de atributos:

Tipo de control: preventivo, detectivo o correctivo. 

Propiedades de seguridad: si protege confidencialidad, integridad o disponibilidad. 

Conceptos de ciberseguridad: identificar, proteger, detectar, responder o recuperar. 

Capacidades operativas: qué función cumple (gobernanza, gestión de activos, cifrado, etc.). 

Dominios de seguridad: si aplica a gobernanza, protección, defensa o resiliencia.



11 controles completamente nuevos

Estos controles no existían en la versión 2013 y reflejan los retos de seguridad más actuales:

  1. Inteligencia de amenazas
  2. Seguridad en servicios de nube
  3. Preparación de TIC para continuidad
  4. Seguimiento (monitoreo) de actividades
  5. Filtrado web
  6. Gestión de la configuración
  7. Eliminación segura de información
  8. Enmascaramiento de datos
  9. Prevención de fuga de datos (DLP)
  10. Supervisión de seguridad física
  11. Configuración segura

Fechas clave del proceso de transición


El periodo de transición ya concluyó. Aquí está la línea de tiempo completa para que entiendas en qué punto estamos:

Octubre 2022

Publicación de ISO/IEC 27001:2022

Se publicó el nuevo estándar. Inició el periodo de transición de 3 años.

Mayo 2024

Solo certificaciones bajo la versión 2022

A partir de esta fecha, todas las nuevas certificaciones debían ser bajo ISO 27001:2022.

Octubre 2025 — FECHA LÍMITE

Fin del periodo de transición

Los certificados ISO 27001:2013 dejaron de ser válidos. La versión 2022 es ahora la única vigente.

Hoy — 2026

Solo existe ISO 27001:2022

Si tu empresa quiere certificarse o renovar, únicamente puede hacerlo bajo la versión 2022.


⚠️ Atención si ya estabas certificado en 2013
Si tu empresa tenía certificación ISO 27001:2013 y no realizó la transición antes de octubre de 2025, ese certificado ya no es válido. Es momento de iniciar el proceso con la versión 2022.

¿Qué gana tu empresa al implementarlo?


Identificas y reduces riesgos reales
Dejas de actuar reactivamente. Con los nuevos controles de monitoreo y prevención de fugas, sabes qué puede salir mal antes de que suceda.


Cumples con regulaciones actuales
Te alineas con el GDPR, la Ley Federal de Protección de Datos Personales en México, NIS2 y otras normativas vigentes.

Generas confianza en el mercado
Demuestras a clientes y socios que tu empresa protege su información con el estándar internacional más actualizado.

Proteges tu operación en la nube
El nuevo control específico de seguridad en servicios de nube cubre un vacío crítico que la versión 2013 no contemplaba.

¿La transición implica rehacer todo desde cero?

No. Los cambios en las cláusulas principales son menores. Lo que requiere más trabajo es actualizar el Anexo A: revisar los nuevos controles, actualizar la Declaración de Aplicabilidad (SoA), ajustar políticas y procedimientos, y documentar los procesos del SGSI de forma más explícita.


¿Tu empresa necesita implementar o migrar a ISO 27001:2022?

En EASYSEC te acompañamos en el proceso de actualización del SGSI, preparación para auditoría y certificación. 




#ISO27001  #ISO270012022 #SGSI #ProtecciónDeDatos #Ciberseguridad #CiberseguridadEmpresarial #AnexoA #GestiónDeRiesgos #BlogDeCiberseguridad


Publicar un comentario

0 Comentarios

¿Qué te pareció esta lectura?.
Nos interesa saber tu opinión. Deja un comentario.

Emoji
(y)
:)
:(
hihi
:-)
:D
=D
:-d
;(
;-(
@-)
:P
:o
:>)
(o)
:p
(p)
:-s
(m)
8-)
:-t
:-b
b-(
:-#
=p~
x-)
(k)