Tres ciclos limpios bajo 27001:2013 no garantizan paridad con 2022. Los 11 controles nuevos son el punto ciego.
Los 11 controles nuevos del Anexo A son el punto ciego de los sistemas con ciclos limpios.
Audiencia: CISO, Quality Manager, Comité de seguridad
ISO/IEC 27001:2022 se publicó en octubre de 2022. El calendario de transición publicado por IAF estableció el 31 de octubre de 2025 como fecha límite para que toda certificación bajo 27001:2013 quedara invalidada. A esta fecha (mayo 2026), el universo certificado opera bajo 2022.
La transición no es renombrar controles. Aunque la mayoría del Anexo A mapea contra la versión 2013, hay 11 controles nuevos, reestructuración completa en cuatro dominios (organizacional, personas, físico, tecnológico), y matices materiales en cláusulas 6 (planificación) y 9 (evaluación de desempeño).
Esta guía sirve a organizaciones que ya completaron la transición pero quieren entender qué se pasaron por alto, y a aquellas en países o ciclos con plazos extendidos.
Antes de planificar la transición, pidale a su organismo certificador el reporte de la última auditoría de seguimiento bajo 27001:2013. Identifique no conformidades pendientes, observaciones cerradas pero no robustas, y oportunidades de mejora archivadas. Esos puntos son entrada al plan de transición.
Si la organización mantiene tres o más ciclos de seguimiento limpios (sin no conformidades mayores), advertencia operativa: el sistema documental puede haberse desconectado del comportamiento real. Los 11 controles nuevos amplificarán esta brecha si existe.
El Anexo A pasó de 14 dominios y 114 controles a 4 dominios y 93 controles. La reorganización fusiona, divide y reagrupa. ISO publica oficialmente la tabla de correspondencia en el Anexo B de 27001:2022 — úsela como base, no la reinvente.
La reagrupación no es cosmética. Por ejemplo, A.6 del 2013 (Organización de la seguridad de la información) se distribuye entre A.5 (controles organizacionales) y A.6 (controles de personas) del 2022. La reasignación afecta cómo se documenta el control, quién es el dueño, y cómo se mide.
A.5.7 Threat intelligence: capacidad formal de adquirir, analizar y aplicar inteligencia sobre amenazas. No es comprar un feed comercial — es proceso documentado de selección, ingesta, análisis y aplicación.
A.5.23 Information security for use of cloud services: política específica para servicios cloud, gestión de riesgo proveedor-específico, cláusulas contractuales mínimas. Cubre el gap que A.15 del 2013 tenía sobre infraestructura como servicio moderna.
A.5.30 ICT readiness for business continuity: continuidad de las TIC alineada con la continuidad del negocio. Remite a ISO 22301 sin reemplazarla. Punto típico de no conformidad si el plan de continuidad de TIC no existe formalmente.
A.7.4 Physical security monitoring: monitoreo continuo de las instalaciones contra accesos no autorizados. Va más allá de cámaras instaladas — exige proceso, revisión y respuesta.
A.8.9 Configuration management: gestión formal de configuraciones de hardware, software y servicios. Inventario de líneas base, control de cambios, auditoría de configuración.
A.8.10 Information deletion: borrado seguro de información cuando ya no se necesita. Política, procedimientos, evidencia de ejecución. Aplica también a información en cloud y en respaldos.
A.8.11 Data masking: enmascaramiento de datos cuando se usan en entornos no productivos. Cubre tokenización, anonimización, pseudonimización.
A.8.12 Data leakage prevention: prevención de fuga de datos en canales de salida. DLP técnico + procesos de identificación y respuesta.
A.8.16 Monitoring activities: monitoreo de actividades del personal y del sistema. Detección de uso anómalo de cuentas privilegiadas, alertas, escalamiento. Punto típico de no conformidad mayor en sistemas con bajo control de privilegios.
A.8.23 Web filtering: filtrado de tráfico web saliente para prevenir acceso a recursos maliciosos.
A.8.28 Secure coding: prácticas seguras de desarrollo de software. Aplica también a configuración de plataformas low-code y customización.
Checklist
La cláusula 6 mantiene su estructura pero refina el lenguaje sobre planificación. 6.1.2 (evaluación de riesgo) y 6.1.3 (tratamiento) integran explícitamente el ciclo PDCA. 6.2 (objetivos) exige métricas medibles, fechas y responsables — no objetivos generalistas.
En auditoría, este matiz aparece como observación o no conformidad menor cuando los objetivos del SGSI están escritos en lenguaje genérico ("mejorar la seguridad") en vez de específico y medible ("reducir el tiempo de detección de incidentes a menos de X horas en el cuatrimestre Y").
Día 0-15: gap analysis formal contra los 11 controles nuevos. Identificación de cuáles existen materialmente y cuáles solo documentalmente.
Día 16-45: implementación operativa de los controles faltantes. Designación de dueños, redacción de procedimientos específicos, primera ronda de evidencia.
Día 46-75: ejercicio de auditoría interna sobre la versión 2022. Muestreo con criterio de ISO 19011, no solo cuestionarios autocompletados.
Día 76-90: cierre de hallazgos de auditoría interna, revisión por la dirección con foco en transición, preparación de evidencia para auditoría externa.
Renombrar sin re-evaluar
Cambiar etiquetas de controles 2013 a códigos 2022 en el manual sin re-evaluar la madurez operativa de cada control. El auditor externo lo detecta en la primera muestra.
Omitir el ejercicio de auditoría interna
Pasar a auditoría externa sin ejecutar previamente auditoría interna bajo 27001:2022. Garantiza no conformidades evitables y costo extra de cierre.
Tratar continuidad de TIC como pieza documental
A.5.30 exige plan probado. Una página de "plan de continuidad" sin pruebas anuales documentadas con criterio de aceptación es no conformidad mayor.
Subestimar el costo de DLP y monitoreo
A.8.12 y A.8.16 implican capacidades técnicas que pueden requerir inversión en herramienta + integración + analista. Planifíquelo en el presupuesto.
La transición a 2022 es una oportunidad para someter al sistema a una evaluación independiente — no solo un trámite de actualización documental. Las organizaciones con ciclos limpios prolongados son las que más se benefician de un diagnóstico preliminar antes de la auditoría de transición.
Evaluación preliminar bajo criterio ISO 19011, sin venta de implementación ni de certificación.
Solicitar diagnóstico