Cargando…
Cargando
Preparando la información solicitada…
ISO/IEC 27001 · ISO/IEC 27701 · Anexo A
Seguridad de la información: auditoría, controles y trazabilidad auditable
La seguridad no se mide en firewalls comprados sino en controles verificados. Auditoría y diagnóstico de SGSI con enfoque en evidencia: sin trazabilidad, no hay protección real.
Lead Auditor ISO/IEC 27001Lead Implementor ISO 27001ISO/IEC 27701 Privacy
93Controles Anexo A
ISO 27001Marco de referencia
6Dominios de auditoría
«La seguridad no se mide en firewalls comprados sino en controles verificados con evidencia.»Fernando Arrieta — Lead Auditor ISO/IEC 27001
Para quién es
¿Quién necesita auditoría de seguridad?
CISOs y equipos de seguridad
Necesitan validar que los controles declarados funcionan en la práctica. La auditoría convierte la percepción de seguridad en registros auditables.
Dirección y comités de riesgo
Requieren visibilidad del nivel real de protección de información y del estado de cumplimiento normativo. Sin lenguaje técnico innecesario.
Organizaciones en certificación
Preparan la auditoría de certificación ISO 27001 o la de vigilancia anual. Necesitan asegurar conformidad antes de la visita del organismo certificador.
Dominios
Qué se audita en seguridad de la información
Seis dominios críticos que todo SGSI debe cubrir con evidencia — no con intención.
Gobernanza de seguridad
Política, roles, liderazgo y compromiso de la dirección. Contexto organizacional y alcance del SGSI.
Gestión de riesgos
Identificación, evaluación y tratamiento de riesgos de seguridad. Criterios de aceptación y plan de tratamiento documentado.
Controles de acceso
Gestión de identidades, privilegios mínimos, autenticación multifactor y revisión periódica de permisos.
Protección de datos
Cifrado, clasificación, ciclo de vida del dato, respaldo y destrucción segura. Extensión a privacidad (ISO 27701).
Gestión de incidentes
Detección, respuesta, escalamiento, notificación y lecciones aprendidas. Planes de comunicación a partes interesadas.
Continuidad y resiliencia
Planes de continuidad de negocio, recuperación ante desastres, pruebas periódicas y métricas de disponibilidad.
Marcos normativos
Marcos y estándares de referencia
- 01
ISO/IEC 27001:2022. El estándar internacional para sistemas de gestión de seguridad de la información. 93 controles organizados en 4 categorías. Base de toda auditoría de seguridad seria.
- 02
ISO/IEC 27701:2019. Extensión para gestión de privacidad de información personal (PII). Requisito creciente para organizaciones que procesan datos personales en contextos regulados (GDPR, LGPD, LPDP).
- 03
ISO/IEC 27005. Guía para gestión de riesgos de seguridad de la información. Complemento esencial para el tratamiento de riesgos requerido por ISO 27001.
- 04
NIST Cybersecurity Framework. Marco complementario para organizaciones con exposición a mercados norteamericanos. Identifica cinco funciones: Identify, Protect, Detect, Respond, Recover.
Preguntas frecuentes
Seguridad de la información: lo que pregunta dirección
¿Qué es un SGSI y por qué lo necesito?
Un SGSI (Sistema de Gestión de Seguridad de la Información) basado en ISO/IEC 27001 es un conjunto de políticas, procesos y controles que protegen la confidencialidad, integridad y disponibilidad de la información. No es un firewall ni un software — es un sistema de gestión con evidencia auditable.
¿Cuál es la diferencia entre ISO 27001 e ISO 27701?
ISO 27001 protege la seguridad de la información en general. ISO 27701 extiende ese sistema para cubrir específicamente la privacidad de datos personales (PII). Si procesás datos personales, necesitás ambas. ISO 27701 se implementa como extensión de un SGSI ya certificado.
¿Cuánto tarda una auditoría de seguridad?
Un diagnóstico de brecha contra ISO 27001 se entrega en 2-4 semanas. Una auditoría interna completa de un SGSI existente, entre 4-8 semanas dependiendo del alcance. Lo crítico es la calidad de la evidencia, no la velocidad.
¿La seguridad de la información cubre IA?
Parcialmente. ISO 27001 cubre los controles de acceso, cifrado, gestión de incidentes y continuidad que aplican a sistemas de IA. Pero para gobernanza específica de IA se necesita ISO/IEC 42001 como complemento. La seguridad de la información es condición necesaria pero no suficiente.
¿Qué pasa si no tenemos nada implementado?
Se empieza con un diagnóstico de brecha: se evalúa el estado actual contra los 93 controles del Anexo A de ISO 27001, se identifican los riesgos más críticos y se define un roadmap priorizado. No se necesita certificación previa para empezar.
Acreditaciones y membresías institucionales
La seguridad de la información con evidencia empieza con una conversación clara.
Si su organización está evaluando su postura de seguridad de la información o preparándose para ISO 27001, este es el canal para analizar alcance y enfoque. Todas las consultas se gestionan bajo confidencialidad.
Los servicios de consultoría e implementación descritos en este sitio se brindan de manera independiente. La auditoría de certificación y la decisión de certificar son responsabilidad exclusiva de los organismos certificadores acreditados. Conforme a ISO/IEC 17021-1 §5.2, aplican restricciones de imparcialidad y períodos de enfriamiento.