ISO 27001: Guía completa para certificar tu empresa

ISO 27001: guía completa para certificar tu empresa - Keliam

Hace una década, la certificación ISO 27001 era territorio casi exclusivo de bancos, telecos y grandes corporaciones. Hoy es otra historia: los clientes corporativos la exigen a sus proveedores tecnológicos, las licitaciones la puntúan, las cyber-pólizas la valoran y los inversores la miran en las due diligence. Para muchas empresas tecnológicas españolas, la pregunta ya no es si certificarse, sino cuándo y cómo hacerlo sin que el proceso se convierta en un agujero de tiempo y dinero.

Esta guía es el punto de partida de nuestra serie sobre certificaciones de seguridad. En ella encontrarás una visión completa y realista del proceso: qué es exactamente la ISO 27001, cómo funciona un SGSI, qué cambió con la versión 2022, cuánto cuesta de verdad, cuánto se tarda y qué retorno puedes esperar. Cada tema clave tiene además su propio capítulo en profundidad, enlazado a lo largo del artículo. Si tu empresa ya ha dado los primeros pasos en seguridad —o si todavía no sabe por dónde empezar con la ciberseguridad—, esta guía te dará el mapa completo.

📚 Índice de la serie: certificación ISO 27001

Este artículo es la guía central del sub-cluster ISO 27001. Cada capítulo desarrolla en profundidad un tema clave del proceso de certificación:

  1. Guía central (estás aquí) — ISO 27001: guía completa para certificar tu empresa
  2. Análisis de riesgos ISO 27001: metodología paso a paso — Activos, amenazas, matrices y plan de tratamiento
  3. Controles organizativos: políticas, roles y gobernanza — El lado humano y documental del Anexo A
  4. Controles técnicos: acceso, cifrado, redes y desarrollo seguro — La parte que tu equipo de ingeniería debe dominar
  5. La auditoría de certificación: preparación y qué esperar — Fase 1, fase 2, no conformidades y vigilancias
  6. ISO 27001 para pymes: coste real y cómo empezar — Presupuestos, plazos y errores a evitar con recursos limitados

1. Qué es la ISO 27001 y por qué importa en 2026

La ISO/IEC 27001 es la norma internacional que define los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información (SGSI). La publican conjuntamente la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), y es certificable: una entidad acreditada e independiente puede auditar tu empresa y emitir un certificado que acredita el cumplimiento ante terceros.

Conviene aclarar desde el principio lo que la ISO 27001 no es. No es una lista de tecnologías obligatorias, ni un sello que se compra, ni una garantía absoluta de que nunca sufrirás un incidente. Es un marco de gestión: obliga a tu organización a identificar qué información maneja, qué riesgos la amenazan, qué controles aplica para mitigarlos y cómo verifica que esos controles funcionan. La diferencia entre una empresa con SGSI y una sin él no es que la primera tenga mejor firewall; es que la primera sabe qué protege, por qué y con qué prioridad.

¿Y por qué importa ahora más que nunca? Varios factores han convertido la certificación en un activo estratégico:

  • Presión de la cadena de suministro. Los grandes clientes trasladan sus obligaciones de seguridad a sus proveedores. Si tu empresa desarrolla software, opera plataformas o gestiona datos para terceros, cada vez más contratos incluyen la ISO 27001 como requisito o criterio de puntuación.
  • Regulación en cascada. Marcos como NIS2, DORA en el sector financiero o el Esquema Nacional de Seguridad (ENS) en el sector público español elevan el nivel de exigencia general. La ISO 27001 es la base común sobre la que resulta mucho más sencillo construir el cumplimiento de todos ellos.
  • Amenazas industrializadas. El cibercrimen funciona como una industria, con el ransomware como modelo de negocio consolidado que golpea con especial dureza a empresas medianas sin defensas estructuradas.
  • Diferenciación comercial. Ante dos proveedores equivalentes, el certificado decide. En sectores como SaaS B2B, salud digital o fintech, no tenerlo empieza a ser un motivo de exclusión directa.

Ya analizamos hace tiempo la relación entre ciberseguridad e ISO 27001 desde un enfoque práctico; esta guía actualiza y amplía aquel análisis con todo el detalle del proceso de certificación actual.

2. El SGSI: el corazón de la norma

Todo en la ISO 27001 gira alrededor del SGSI. Un Sistema de Gestión de Seguridad de la Información no es un software ni una carpeta de documentos: es el conjunto de políticas, procesos, roles, controles y métricas con los que tu organización gestiona la seguridad de forma sistemática y repetible.

Diagrama del ciclo de mejora continua PDCA del SGSI según ISO 27001
El SGSI funciona como un ciclo de mejora continua: planificar, hacer, verificar y actuar.

El cuerpo de la norma (cláusulas 4 a 10) define los requisitos del sistema de gestión, y sigue la estructura común a todas las normas ISO modernas:

  • Cláusula 4 — Contexto de la organización. Definir el alcance del SGSI: qué unidades, sedes, servicios y sistemas cubre, y qué partes interesadas (clientes, reguladores, socios) tienen expectativas sobre tu seguridad.
  • Cláusula 5 — Liderazgo. La dirección debe implicarse de forma demostrable: aprobar la política de seguridad, asignar roles y responsabilidades, y dotar de recursos al sistema. Sin patrocinio real de dirección, el SGSI muere en papel.
  • Cláusula 6 — Planificación. Aquí vive el análisis de riesgos, el plan de tratamiento y los objetivos de seguridad medibles.
  • Cláusula 7 — Soporte. Competencias, concienciación del personal, comunicación y control de la documentación.
  • Cláusula 8 — Operación. Ejecutar lo planificado: aplicar los controles y gestionar los cambios y los riesgos de forma continua.
  • Cláusula 9 — Evaluación del desempeño. Métricas e indicadores, auditorías internas y revisión del sistema por la dirección.
  • Cláusula 10 — Mejora. Gestión de no conformidades, acciones correctivas y mejora continua.

Fíjate en el patrón: planificar, hacer, verificar, actuar. Es el ciclo PDCA que estructura todos los sistemas de gestión ISO, y que trataremos en profundidad en el sub-cluster de mejora continua de esta misma serie. La consecuencia práctica es importante: la certificación no es una foto fija, sino el arranque de un proceso vivo que se audita cada año.

Junto al cuerpo de la norma está el Anexo A: un catálogo de 93 controles de referencia organizados en cuatro temas (organizativos, de personas, físicos y tecnológicos). No es obligatorio implantar los 93; es obligatorio evaluarlos todos y justificar en la Declaración de Aplicabilidad (SoA) cuáles aplican a tu organización y cuáles no, y por qué. La SoA es probablemente el documento más importante de toda la certificación: es el contrato entre tu análisis de riesgos y tus controles.

2.1 La documentación mínima del SGSI

Uno de los miedos más extendidos es el volumen de papeleo. La realidad es más manejable de lo que se cuenta: la norma exige un núcleo de información documentada obligatoria relativamente contenido. Como referencia práctica, un SGSI funcional en una empresa tecnológica mediana suele apoyarse en estos documentos:

  • Alcance del SGSI — una o dos páginas que delimitan qué cubre el sistema.
  • Política de seguridad de la información — el documento marco aprobado por dirección; breve, de principios, no un manual técnico.
  • Metodología y resultados del análisis de riesgos — cómo evalúas y el registro vivo de riesgos.
  • Plan de tratamiento de riesgos y Declaración de Aplicabilidad (SoA) — qué haces con cada riesgo y qué controles aplicas.
  • Objetivos de seguridad — medibles y revisados periódicamente.
  • Políticas y procedimientos operativos — control de accesos, gestión de incidentes, continuidad, clasificación de la información, proveedores, desarrollo seguro… solo los que tu contexto exija.
  • Registros de evidencia — actas de formación, revisiones de acceso, resultados de auditoría interna, revisión por dirección, incidentes gestionados.

Dos consejos de campo. Primero: escribe cada documento para el lector real (tu equipo), no para el auditor; un procedimiento de dos páginas que todos siguen vale infinitamente más que uno de veinte que nadie abre. Segundo: gestiona la documentación como gestionas el código —repositorio central, control de versiones, revisiones—; los equipos de desarrollo tienen aquí una ventaja cultural enorme que conviene aprovechar.

3. ISO 27001:2022 vs 2013: qué ha cambiado

La versión vigente de la norma es la ISO/IEC 27001:2022, que sustituyó a la histórica versión 2013. El periodo de transición terminó el 31 de octubre de 2025, de modo que en 2026 todos los certificados activos ya se emiten y renuevan contra la versión 2022. Si en algún pliego o contrato te encuentras referencias a la 2013, están desactualizadas.

Los cambios en el cuerpo de la norma (cláusulas 4-10) fueron menores: matices en planificación de cambios y en la definición de objetivos. La reforma de fondo ocurrió en el Anexo A, que se reorganizó por completo:

  • De 114 controles en 14 dominios (versión 2013) se pasó a 93 controles en 4 temas: organizativos (37), personas (8), físicos (14) y tecnológicos (34).
  • Se introdujeron 11 controles nuevos que reflejan el panorama actual: inteligencia de amenazas, seguridad en servicios cloud, preparación de las TIC para la continuidad de negocio, monitorización de seguridad física, gestión de la configuración, borrado seguro de información, enmascaramiento de datos, prevención de fuga de datos (DLP), monitorización de actividades, filtrado web y codificación segura.
  • Cada control incorpora ahora atributos (tipo de control, propiedades de seguridad, conceptos de ciberdefensa) que facilitan mapearlo contra otros marcos como NIST o el ENS.

Para una empresa de desarrollo o una plataforma digital, la lectura es clara: la norma se ha acercado a la realidad técnica actual. Cloud, DevOps, fuga de datos y desarrollo seguro ya no son temas periféricos, sino controles con nombre y apellido que el auditor va a revisar. Analizamos estos controles en detalle en el capítulo de controles técnicos y desarrollo seguro.

3.1 Los 11 controles nuevos, en una lectura rápida

Merece la pena repasar qué añadió exactamente la versión 2022, porque dibuja el mapa de lo que hoy preocupa a la industria:

  • Inteligencia de amenazas (5.7): recopilar y analizar información sobre amenazas para anticiparse, no solo reaccionar. Para una pyme puede ser tan simple como suscribirse a los avisos del INCIBE-CERT y de sus proveedores clave.
  • Seguridad en el uso de servicios cloud (5.23): proceso para adquirir, usar, gestionar y abandonar servicios en la nube. El auditor querrá ver que sabes qué proveedores usas y bajo qué condiciones de seguridad.
  • Preparación de las TIC para la continuidad de negocio (5.30): que tu tecnología pueda sostener los objetivos de recuperación que el negocio ha definido. RTO y RPO dejan de ser jerga de sistemas para ser compromiso de empresa.
  • Monitorización de seguridad física (7.4): vigilancia de instalaciones sensibles. En organizaciones cloud-first se resuelve en gran parte heredando controles del proveedor de datacenter.
  • Gestión de la configuración (8.9): configuraciones seguras definidas, aplicadas y revisadas. Si trabajas con infraestructura como código, ya lo estás haciendo; documéntalo.
  • Borrado de información (8.10) y enmascaramiento de datos (8.11): eliminar lo que ya no se necesita y proteger datos sensibles en entornos de prueba y analítica. Muy conectados con el RGPD.
  • Prevención de fuga de datos (8.12): medidas DLP proporcionales al riesgo; desde reglas en el correo corporativo hasta soluciones dedicadas.
  • Monitorización de actividades (8.16): detectar comportamiento anómalo en redes y sistemas, con logs centralizados y alertas.
  • Filtrado web (8.23): limitar el acceso a sitios maliciosos desde equipos corporativos.
  • Codificación segura (8.28): principios de secure coding establecidos y aplicados en todo el ciclo de desarrollo. El control estrella para quienes desarrollamos software.

4. El proceso de certificación paso a paso

Vamos a lo práctico. El camino desde cero hasta el certificado sigue una secuencia bien definida. Los plazos orientativos corresponden a una empresa de entre 20 y 150 empleados con un alcance razonable:

4.0 Antes de empezar: ¿solos o acompañados?

La primera decisión operativa es si implantar el SGSI con recursos propios o con una consultora. Hacerlo en solitario es perfectamente posible si alguien del equipo conoce la norma y puede dedicarle tiempo real; el riesgo es el coste de oportunidad y los meses extra de curva de aprendizaje. La consultora acelera y evita errores de novato, pero cuidado con dos extremos: la que te vende documentación genérica de plantilla (el auditor la reconoce a la primera y, peor, no te sirve para gestionar nada) y la que se instala indefinidamente creando dependencia.

El criterio sano: la consultora debe transferirte el sistema, no custodiarlo. Pide referencias de tu sector, pregunta quién redactará realmente los documentos y exige que el análisis de riesgos se haga con tu equipo, no en un despacho ajeno. Y reserva sí o sí la auditoría interna a alguien independiente de quien implantó, que es lo que la norma espera.

4.1 Definición del alcance (semanas 1-4)

Decidir qué cubre el SGSI es la primera decisión estratégica. Un alcance demasiado amplio dispara el coste; uno artificialmente estrecho genera un certificado que tus clientes no aceptarán. La práctica habitual en empresas tecnológicas es cubrir los servicios que se prestan a clientes (plataforma SaaS, desarrollo, hosting gestionado) y los procesos y equipos que los soportan.

4.2 Análisis de riesgos y plan de tratamiento (semanas 4-12)

Inventariar activos, identificar amenazas y vulnerabilidades, valorar impacto y probabilidad, y decidir cómo tratar cada riesgo. Es la pieza que determina todo lo demás y merece hacerse bien: le dedicamos un capítulo completo con metodología paso a paso.

4.3 Implantación de controles y documentación (meses 3-8)

La fase más larga: redactar las políticas y procedimientos, desplegar los controles técnicos que falten, formar al personal y generar las evidencias de funcionamiento. Un error clásico es documentar procesos ideales que nadie sigue; el auditor detecta esa disonancia en horas. Documenta lo que haces y haz lo que documentas.

4.4 Auditoría interna y revisión por dirección (meses 8-10)

Antes de llamar a la certificadora, la norma exige auditarse internamente (con personal propio independiente del área auditada o con un tercero) y que la dirección revise formalmente el sistema. Estos dos hitos generan las evidencias de que el SGSI ha «rodado» al menos un ciclo.

4.5 Auditoría de certificación: fase 1 y fase 2 (meses 10-12)

La entidad de certificación audita en dos fases: la fase 1 revisa la documentación y la preparación general; la fase 2 verifica in situ (o en remoto) que los controles funcionan de verdad. Si hay no conformidades mayores, tendrás que corregirlas antes de obtener el certificado. Todo el detalle —cómo elegir certificadora, qué pregunta el auditor, cómo se gestionan las no conformidades— está en el capítulo sobre la auditoría de certificación.

4.6 Ciclo de tres años

El certificado tiene una validez de tres años, con auditorías de vigilancia anuales (más ligeras) y una auditoría de recertificación completa al tercer año. El SGSI, por tanto, nunca «termina»: entra en régimen de mantenimiento y mejora continua.

Hoja de ruta de 12 meses para la certificación ISO 27001
Calendario realista de certificación ISO 27001 para una empresa tecnológica.

5. El análisis de riesgos: el punto de partida de todo

Si hay una pieza que separa un SGSI útil de un SGSI de cartón piedra, es el análisis de riesgos. De él salen las prioridades, la justificación de cada control y el argumento con el que defenderás ante dirección cada euro invertido en seguridad.

El enfoque clásico funciona así: identificas los activos relevantes (aplicaciones, datos, infraestructura, personas clave, proveedores), las amenazas que pueden afectarles (desde el ransomware hasta el error humano o la caída de un proveedor cloud) y las vulnerabilidades que las hacen posibles. Cruzando impacto y probabilidad obtienes un nivel de riesgo que te permite ordenar el trabajo: qué se mitiga con controles, qué se transfiere (seguros, contratos), qué se evita y qué se acepta formalmente.

En España es habitual apoyarse en la metodología MAGERIT —nacida en la administración pública y muy alineada con el ENS— aunque la norma no obliga a ninguna en concreto: exige que el método sea consistente, repetible y que produzca resultados comparables. Para equipos técnicos, la matriz de riesgos bien construida es además una herramienta de comunicación potentísima con dirección: convierte «necesitamos MFA» en «este riesgo de 480.000 € anuales esperados baja a 40.000 € con una inversión de 6.000 €».

La metodología completa, con plantillas, escalas de valoración, ejemplos reales del sector tech y errores típicos, está en el capítulo dedicado: análisis de riesgos ISO 27001 paso a paso.

6. Controles organizativos: políticas, roles y gobernanza

Los 37 controles organizativos del Anexo A son el esqueleto de gobierno del SGSI: política de seguridad, definición de roles y responsabilidades, seguridad en los recursos humanos (desde la contratación hasta la salida), gestión y clasificación de activos de información, relación con proveedores, gestión de incidentes y cumplimiento legal.

Es la parte que más pereza da a los equipos técnicos y, paradójicamente, la que más valora el auditor: sin políticas aprobadas, roles claros y procesos de incidentes definidos, los mejores controles técnicos son esfuerzos individuales sin respaldo organizativo. La buena noticia es que se puede documentar con criterio de ingeniero: documentos cortos, versionados en Git si quieres, escritos para ser leídos y no para decorar una estantería.

Hay un ángulo interesante que conocen bien quienes vienen del mundo ofensivo: muchos de los incidentes más graves no explotan fallos técnicos sino organizativos —un empleado con permisos que nadie revocó, un proveedor con acceso sin contrato de confidencialidad, un proceso de baja que tarda semanas—. La historia de la seguridad está llena de ejemplos, como contamos en nuestra serie sobre la historia del hacking y la ciberseguridad: la ingeniería social de Kevin Mitnick funcionaba precisamente porque atacaba a la organización, no a la máquina.

Desarrollamos este bloque —con ejemplos de políticas, estructura documental recomendada y cómo repartir roles en empresas sin departamento de seguridad— en el capítulo de controles organizativos ISO 27001.

7. Controles técnicos: donde la norma se encuentra con tu stack

Los 34 controles tecnológicos son el terreno natural de los equipos de desarrollo y sistemas: gestión de accesos e identidades, autenticación multifactor, criptografía en tránsito y en reposo, hardening y gestión de la configuración, copias de seguridad, registro y monitorización, gestión de vulnerabilidades, segregación de redes, DLP y —novedad destacada de la versión 2022— desarrollo y codificación segura.

Para una empresa que desarrolla software, este último punto merece atención especial. El auditor va a querer ver un ciclo de vida de desarrollo con seguridad integrada: requisitos de seguridad en el diseño, revisión de código, gestión de dependencias, separación de entornos, pruebas de seguridad y principios de codificación segura documentados. Si tu equipo ya trabaja contra el OWASP Top 10 y tiene un pipeline CI/CD con controles de calidad, gran parte del camino está hecho; se trata de formalizarlo y generar evidencias.

Lo mismo aplica a la infraestructura web: buena parte de los controles tecnológicos del Anexo A coinciden con lo que ya recomendamos en nuestras guías de seguridad en WordPress para empresas y de protección de servidores con poco presupuesto: MFA en todos los accesos administrativos, parcheo disciplinado, backups probados, WAF y monitorización. La ISO 27001 no te pide magia; te pide sistematizar lo que la buena ingeniería ya considera básico.

El detalle completo —control por control, con su traducción a medidas concretas en entornos web y cloud— está en el capítulo de controles técnicos y desarrollo seguro.

8. La auditoría de certificación: qué esperar

La auditoría es el momento de la verdad y, a la vez, el hito más mitificado del proceso. Conviene desdramatizar: el auditor no viene a suspenderte, viene a verificar evidencias. Si el SGSI ha funcionado de verdad durante los meses previos, la auditoría es un trámite exigente pero predecible.

En España, las entidades de certificación acreditadas por ENAC —AENOR, Bureau Veritas, SGS, TÜV, Applus y otras— son las que emiten certificados con reconocimiento internacional. Al elegir, valora la acreditación, la experiencia del auditor en tu sector y el coste del ciclo completo de tres años, no solo el de la auditoría inicial.

El proceso distingue tres tipos de hallazgos: no conformidades mayores (incumplimiento sistémico que bloquea el certificado hasta corregirse), no conformidades menores (desviaciones puntuales que requieren plan de acción) y observaciones (oportunidades de mejora). Un resultado típico de primera certificación incluye entre dos y cinco menores; es normal y no impide certificarse.

Un consejo de experiencia: trata la auditoría interna previa como un ensayo general serio, no como un formalismo. Idealmente con alguien externo con mentalidad ofensiva —el mismo enfoque que aplicamos en hacking ético y pentesting—, porque encontrar tus propias no conformidades siempre es más barato que pagarlas delante del auditor. La preparación completa, fase por fase, está en el capítulo sobre la auditoría de certificación ISO 27001.

9. Costes reales y plazos: hablemos de números

La pregunta que todo CEO hace primero y que casi ninguna guía responde con claridad. Los números varían con el tamaño, el alcance y la madurez de partida, pero para empresas tecnológicas españolas estos rangos son realistas en 2026:

  • Consultoría de implantación: entre 8.000 y 25.000 € para una pyme (hasta ~100 empleados). Empresas con buena base técnica y un interlocutor interno sólido se sitúan en la parte baja del rango; partir de cero organizativo empuja hacia arriba.
  • Auditoría de certificación (ciclo de 3 años): entre 4.000 y 10.000 € la certificación inicial (fases 1+2), y entre 2.000 y 5.000 € cada vigilancia anual, según tamaño y alcance.
  • Herramientas y controles técnicos: muy variable. Si ya tienes MFA, backups gestionados, monitorización y gestión de vulnerabilidades, el coste marginal es bajo. Presupuesta partidas para lo que falte: gestor de contraseñas corporativo, SIEM ligero o formación.
  • Coste interno: el gran olvidado. Calcula entre el 20% y el 40% de la jornada de una persona durante la implantación, más las horas puntuales del resto del equipo. Es el coste que más se subestima y la causa número uno de proyectos que se eternizan.

Plazo realista: entre 6 y 12 meses desde el arranque hasta el certificado. Menos de 6 meses solo es creíble en empresas pequeñas con madurez técnica alta; más de 12 suele indicar falta de dedicación interna o un alcance mal definido. Desconfía de quien te prometa certificarte «en seis semanas»: el papel lo aguanta todo, pero la fase 2 de la auditoría no.

Para las pymes hay además un capítulo específico de esta serie con presupuestos desglosados, alternativas y trucos para no sobredimensionar: ISO 27001 para pymes: coste real y cómo empezar.

10. Errores que hacen fracasar (o encarecer) una certificación

Después de ver el proceso por dentro en muchos proyectos, los patrones de fracaso se repiten con una regularidad casi cómica. Estos son los que más daño hacen:

  • Tratarlo como un proyecto de IT. El más común y el más letal. Si dirección delega y desaparece, el SGSI no tiene autoridad para cambiar procesos, negociar con proveedores ni exigir nada a nadie. La norma pide liderazgo por algo: sin él, todo lo demás es teatro.
  • Alcance mal definido. Certificar «toda la empresa» cuando solo necesitas cubrir el servicio que contratan tus clientes multiplica el coste sin retorno. Y al revés: un alcance tan estrecho que excluye lo que el cliente realmente compra genera un certificado que no sirve para vender.
  • Documentación de plantilla. Políticas descargadas o heredadas de otra empresa, con roles que no existen y procesos que nadie ejecuta. En la fase 2, cuando el auditor entrevista al equipo y las respuestas no coinciden con el papel, el castillo se cae entero.
  • Análisis de riesgos decorativo. Hecho en una tarde para rellenar el requisito, sin implicar a quienes conocen los sistemas. El resultado son controles desconectados de los riesgos reales y una SoA imposible de defender.
  • Big bang de controles. Intentar desplegar decenas de controles a la vez, agotando al equipo y dejando todos a medias. Mejor pocos controles bien implantados y con evidencias, que muchos en estado «casi».
  • Olvidar las evidencias. Implantar controles pero no registrar su funcionamiento. Para el auditor, lo que no deja rastro no existe: una revisión de accesos sin acta es una revisión que no ocurrió.
  • Descuidar el ciclo anual. Certificarse y desconectar. La primera vigilancia anual pilla al SGSI abandonado, llegan las no conformidades y se entra en la espiral de «reflotar el sistema» cada doce meses, que acaba costando más que mantenerlo vivo.

Todos tienen el mismo antídoto: honestidad con el riesgo, proporcionalidad en los controles y ritmo sostenible. La ISO 27001 premia la constancia, no el sprint.

11. El ROI de la certificación: qué obtienes a cambio

¿Compensa la inversión? Para la mayoría de empresas tecnológicas B2B, sí, y por vías muy concretas:

  • Acceso a negocio. Es el retorno más directo: contratos y licitaciones que exigen el certificado o lo puntúan. Un solo contrato enterprise ganado (o no perdido) suele pagar el ciclo completo de certificación.
  • Reducción de fricción comercial. Los cuestionarios de seguridad de clientes corporativos —esas hojas de cálculo de 300 preguntas— se responden en horas en lugar de semanas cuando tienes un SGSI documentado. El certificado, además, zanja muchas de ellas de entrada.
  • Menor exposición real. El efecto colateral de ordenar accesos, parcheo, backups y proveedores es que la probabilidad y el impacto de un incidente bajan de verdad. La factura media de un incidente serio —parada de negocio, recuperación, reputación— supera con mucho el coste de la certificación.
  • Mejores condiciones de seguro. Las aseguradoras de ciberriesgo preguntan sistemáticamente por la ISO 27001; tenerla mejora primas y cobertura, y en algunos casos es condición de asegurabilidad.
  • Orden interno. El menos cuantificable y quizá el más valioso: inventario real de activos, accesos bajo control, proveedores contractualizados y un equipo que sabe qué hacer cuando algo falla.

El error de enfoque más caro es tratar la certificación como un trámite comercial y el SGSI como atrezzo. Se nota por dentro (el sistema no aporta nada) y acaba notándose por fuera (las vigilancias anuales lo destapan). Si vas a invertir, invierte para que el sistema sea real.

12. ISO 27001 en pymes y startups: sí, es viable

Existe la creencia de que la ISO 27001 es cosa de grandes empresas. Es falsa, y de hecho el tejido de certificados en España está lleno de empresas de 10, 20 o 50 empleados: consultoras tecnológicas, SaaS, agencias de desarrollo, gestorías digitales. La norma es deliberadamente proporcional: exige que los controles respondan a tus riesgos, no a los de un banco.

Las claves para que el proyecto sea viable con recursos limitados: un alcance bien acotado, aprovechar herramientas que ya usas (Google Workspace o Microsoft 365 bien configurados cubren una sorprendente cantidad de controles), documentación mínima viable y un responsable interno claro aunque no sea dedicado. También ayuda escalonar: primero los fundamentos de seguridad —los que describimos en por dónde empezar con la ciberseguridad—, después la formalización del SGSI, y por último la certificación.

Para startups hay un matiz adicional: el momento. Certificarse demasiado pronto (pre-producto, pre-clientes enterprise) puede ser prematuro; demasiado tarde (cuando el deal enterprise ya está sobre la mesa exigiéndolo) te obliga a correr y pagar de más. El punto óptimo suele llegar cuando el pipeline comercial empieza a tropezar con cuestionarios de seguridad. Todo el detalle, con presupuesto tipo y calendario para equipos pequeños, en el capítulo ISO 27001 para pymes.

13. ISO 27001 y ENS: dos marcos que se complementan

En España, la conversación sobre certificaciones de seguridad tiene siempre un segundo protagonista: el Esquema Nacional de Seguridad (ENS), obligatorio para el sector público y para las empresas que le prestan servicios tecnológicos. Es la segunda gran parada de esta serie, con su propia guía completa.

La relación entre ambos marcos es de complementariedad: la ISO 27001 es internacional, voluntaria y orientada a la gestión del riesgo; el ENS es español, obligatorio en su ámbito y prescriptivo en medidas concretas. Comparten una base amplia —análisis de riesgos, controles de acceso, continuidad, gestión de incidentes—, hasta el punto de que una empresa certificada en ISO 27001 tiene gran parte del camino andado hacia la conformidad ENS, y viceversa. Si tu empresa vende (o quiere vender) a la administración pública, la estrategia inteligente es plantear ambos marcos como un solo sistema con dos certificados, algo que analizamos a fondo en el capítulo ENS vs ISO 27001: diferencias y sinergias.

14. Tu hoja de ruta: 12 meses hacia el certificado

Para cerrar la parte operativa, así se ve un calendario realista de certificación para una empresa tecnológica que parte de una base razonable de seguridad. Ajusta los tiempos a tu dedicación real: con media jornada de un responsable interno, estos plazos se cumplen; con «cuando haya un hueco», se duplican.

Meses 1-2: fundamentos

Decisión formal de dirección y nombramiento del responsable del SGSI. Definición del alcance y del contexto. Formación básica del equipo implicado. Inventario de activos de información y primer borrador de la política de seguridad. Si aún no tienes una foto clara de tu postura de seguridad, este es el momento de una auditoría técnica con pentesting: descubrir las brechas ahora es mucho más barato que descubrirlas en la fase 2.

Meses 3-4: análisis de riesgos

Metodología elegida y aplicada con el equipo técnico y de negocio. Valoración de riesgos, plan de tratamiento aprobado por dirección y primera versión de la Declaración de Aplicabilidad. Al terminar este bloque sabrás exactamente qué controles implantar y en qué orden.

Meses 5-8: implantación

Despliegue de los controles priorizados: cierre de brechas técnicas (MFA, backups verificados, hardening, logging), redacción de las políticas y procedimientos que el alcance exija, formalización de contratos con proveedores críticos y campaña de concienciación interna. Aquí se gana o se pierde el proyecto: ritmo sostenido, evidencias desde el primer día y reuniones cortas de seguimiento quincenal.

Meses 9-10: rodaje y verificación

El sistema funciona solo y genera registros: revisiones de acceso ejecutadas, incidentes gestionados por el procedimiento, métricas recogidas. Auditoría interna completa, plan de acciones correctivas y revisión por dirección documentada. Contratación de la entidad de certificación (hazlo con 2-3 meses de antelación: las agendas de los auditores se llenan).

Meses 11-12: certificación

Fase 1: revisión documental y ajustes finos. Dos a cuatro semanas después, fase 2: auditoría de implantación. Resolución de no conformidades menores si las hay y emisión del certificado. Celébralo con el equipo —se lo habrá ganado— y agenda en frío la primera vigilancia: el ciclo de mejora continua empieza ese mismo día.

15. Preguntas frecuentes sobre la certificación ISO 27001

¿Es obligatoria la ISO 27001?

No, es voluntaria. Pero puede ser contractualmente exigible: cada vez más clientes corporativos y pliegos la requieren a sus proveedores tecnológicos, con lo que en la práctica funciona como una obligación comercial en muchos sectores.

¿Cuánto se tarda en conseguir el certificado?

Entre 6 y 12 meses para la mayoría de empresas, contando desde el arranque del proyecto hasta la resolución de la auditoría de fase 2. La variable que más influye no es el tamaño de la empresa, sino la dedicación interna real y la madurez de partida.

¿Cuánto cuesta mantener el certificado?

Presupuesta la auditoría de vigilancia anual (2.000–5.000 € según tamaño), las horas internas de mantenimiento del sistema (revisiones, auditoría interna, formación) y la recertificación completa cada tres años. Un SGSI bien integrado en la operación diaria reduce drásticamente este coste, porque las evidencias se generan solas.

¿Sirve para cumplir el RGPD?

Ayuda mucho, pero no lo sustituye. La ISO 27001 aporta el marco de gestión y buena parte de las medidas técnicas y organizativas que el RGPD exige, pero la norma de privacidad tiene requisitos propios (bases de legitimación, derechos de los interesados, registro de actividades de tratamiento) que gestiona mejor su extensión específica, la ISO 27701.

¿Qué diferencia hay con SOC 2?

SOC 2 es un informe de aseguramiento de origen estadounidense, muy demandado por clientes de EE. UU., especialmente en SaaS. La ISO 27001 es una certificación internacional con más peso en Europa. No son excluyentes: comparten gran parte de los controles, y muchas empresas con clientes a ambos lados del Atlántico acaban teniendo ambos. Si tu mercado es España y la UE, la ISO 27001 (y el ENS si vendes al sector público) suele ser la prioridad.

¿Puede certificarse una empresa de 5 personas?

Sí. La norma es proporcional al riesgo y al contexto: una empresa pequeña tendrá políticas más simples, menos roles y controles más ligeros, pero perfectamente certificables. Lo que no cambia con el tamaño es la exigencia de que el sistema sea real y deje evidencias.

¿Qué pasa si suspendo la auditoría?

Estrictamente no se «suspende»: la certificadora emite no conformidades. Las menores se resuelven con un plan de acción sin bloquear el certificado; las mayores exigen corrección y verificación antes de emitirlo. El escenario de terminar la fase 2 sin certificado por acumulación de mayores es raro cuando ha habido auditoría interna seria previa.

Conclusión: un proyecto de empresa, no de IT

La ISO 27001 es, ante todo, una decisión de negocio. Bien planteada, ordena tu seguridad, abre puertas comerciales y reduce riesgo real; mal planteada, produce carpetas de documentos que nadie lee y una renovación anual que se sufre. La diferencia está en tres factores: patrocinio real de dirección, un análisis de riesgos honesto y controles que se integren en la forma de trabajar del equipo en lugar de luchar contra ella.

Si algo debes llevarte de esta guía, que sea esto: no empieces por la burocracia, empieza por el riesgo. Entiende qué proteges y de qué, decide con cabeza, documenta lo justo y genera evidencias de forma natural. El certificado llegará como consecuencia, no como objetivo.

En los próximos capítulos de la serie bajamos al detalle de cada fase: análisis de riesgos, controles organizativos, controles técnicos, auditoría y pymes. Y si prefieres recorrer el camino acompañado, en eso trabajamos cada día.

¿Tu empresa se plantea la certificación ISO 27001?

En Keliam ayudamos a empresas y startups tecnológicas a preparar el camino: auditamos tu seguridad actual, identificamos las brechas frente a la norma y reforzamos los controles técnicos de tus plataformas antes de la certificación.

Habla con nuestro equipo →

Scroll al inicio