Normas ISO de ciberseguridad que toda empresa debería conocer

La ISO/IEC 27001:2022 define los requisitos de un sistema de gestión de seguridad de la información, conocido como SGSI. Es la norma más importante para empresas que quieren trabajar la seguridad de forma seria y demostrable.

La norma se basa en tres principios clásicos de la seguridad de la información: confidencialidad, integridad y disponibilidad. La confidencialidad protege el acceso a la información. La integridad asegura que los datos no se alteran sin autorización. La disponibilidad busca que la información y los sistemas estén accesibles cuando la organización los necesita.

Su valor está en obligar a la empresa a decidir qué protege, por qué, con qué alcance, quién responde de cada parte, qué riesgos acepta y qué controles aplica.

Esto se traduce en preguntas como: qué sistemas no deben parar, qué información sería grave perder, qué accesos son críticos, qué proveedores tienen entrada a datos o sistemas, qué evidencias existen de que las copias funcionan.

La ISO/IEC 27001 aplica a organizaciones de cualquier tamaño y sector. Sin embargo, no exige el mismo nivel de complejidad a todas las organizaciones. El alcance del SGSI debe ajustarse al tamaño, actividad, riesgos y objetivos de la entidad.

La norma es certificable, permitiendo demostrar ante terceros que el sistema de gestión de la empresa cumple los requisitos de la norma. Esto pesa en licitaciones, contratos con grandes clientes, cadenas de suministro y servicios tecnológicos.

La ISO/IEC 27002:2022 complementa la ISO/IEC 27001. Mientras 27001 marca requisitos del sistema de gestión, 27002 ayuda a decidir qué medidas aplicar: habla de políticas de seguridad, organización interna, gestión de activos, control de accesos, proveedores, desarrollo seguro, continuidad, operaciones, protección física e incidentes.

Sirve como guía para diseñar, implantar y mejorar controles dentro de un SGSI o de cualquier programa de seguridad. Su uso correcto exige seleccionar controles según riesgos, escogiendo lo necesario y aplicándolo bien.

Por ejemplo, una asesoría laboral con 30 empleados trata nóminas, contratos, bajas médicas, cuentas bancarias y documentación sensible de muchas empresas clientes. En su caso, la prioridad seguramente estará en doble factor de autenticación, permisos por perfil, cifrado de portátiles, copias recuperables, control del envío de documentos y bloqueo rápido de cuentas cuando alguien deja la empresa.

27002 también ayuda a revisar proveedores. Muchas empresas externalizan soporte informático, mantenimiento web, alojamiento, ERP o desarrollo. La seguridad no termina al firmar el contrato. Hay que revisar accesos de terceros, registros, comunicación de incidentes, bajas de usuarios, continuidad del servicio y evidencias. 

La ISO/IEC 27005:2022 orienta la gestión de riesgos de seguridad de la información. Ayuda a identificar, analizar, evaluar, tratar, comunicar, monitorizar y revisar riesgos.

La norma ayuda a identificar qué activos son importantes para la empresa, qué amenazas afectan, qué vulnerabilidades existen, qué impacto tendría un incidente y qué medidas tienen sentido.

Ninguna empresa protege todo con la misma intensidad. No tiene el mismo impacto perder una web corporativa informativa que perder el sistema de almacén, la plataforma de facturación o el entorno donde se prestan servicios a clientes.

Sin una gestión de riesgos ordenada, la ciberseguridad se vuelve reactiva. Se compran herramientas, se aplican controles o se corrigen problemas sin una visión clara de prioridades.

La serie ISO/IEC 27035 trata la gestión de incidentes de seguridad de la información. Se divide en cuatro partes:

• 27035-1 presenta conceptos, principios y proceso
• 27035-2 se centra en planificar y preparar la respuesta ante incidentes y extraer lecciones aprendidas
• 27035-3 se centra en operaciones TIC
• 27035-4 aborda la coordinación

La serie cubre todo el ciclo de gestión de incidentes: preparación, detección, comunicación, evaluación, respuesta, contención, erradicación, recuperación y revisión posterior.

Sirve para construir una capacidad de respuesta ordenada. Una organización con un procedimiento claro reduce tiempos de reacción y evita decisiones contradictorias.

También ayuda a cumplir obligaciones contractuales y regulatorias. Muchas normas y leyes exigen notificar incidentes en plazos concretos. Sin un proceso previo, resulta difícil recopilar información, valorar impacto y comunicar de forma adecuada.  

La ISO/IEC 27017 aporta orientación sobre controles de seguridad para servicios cloud, tanto para proveedores como para clientes.

Su idea práctica es la responsabilidad compartida. Contratar cloud no elimina obligaciones internas. La empresa sigue teniendo que gobernar accesos, configurar permisos, activar doble factor, revisar cuentas, clasificar información, gestionar bajas y revisar contratos.

Una empresa que usa un ERP en SaaS debe saber quién administra usuarios, qué perfiles existen, cómo se registran accesos, dónde se alojan los datos, qué niveles de servicio se han pactado y cómo se recupera la actividad si el proveedor sufre una caída.

27017 sirve para reducir riesgos en la contratación y operación de servicios cloud.

ISO/IEC 27018:2025 se centra en la protección de información personal identificable en servicios de nube pública cuando el proveedor cloud actúa como encargado del tratamiento. Aborda principios y controles relacionados con transparencia, responsabilidades, tratamiento de datos personales, seguridad, acceso, eliminación, transmisión y gestión.

Esta norma interesa cuando una empresa almacena o trata datos personales en cloud: nóminas, CRM, expedientes de clientes, datos de pacientes, alumnos, usuarios, candidatos o empleados.

Pensemos en una empresa que contrata una plataforma cloud para recursos humanos. Debe revisar qué datos trata, dónde están, qué subencargados intervienen, cómo se cifran, cómo se notifican incidentes, cómo se borran al terminar el contrato y qué evidencias ofrece el proveedor.

La ISO/IEC 27018 no sustituye al Reglamento General de Protección de Datos (RGPD). Aporta una referencia técnica y organizativa para revisar si un proveedor cloud trata los datos personales de forma segura, transparente y alineada con obligaciones contractuales y normativas.

ISO/IEC 27701:2025 establece requisitos y orientación para implantar, mantener y mejorar un sistema de gestión de información de privacidad, conocido como PIMS. La norma está dirigida a empresas que actúan como responsables o encargadas del tratamiento de información personal identificable.

La ciberseguridad y la privacidad no son lo mismo, aunque se cruzan a diario. La seguridad protege información y sistemas. La privacidad ordena cómo se tratan los datos personales, con qué finalidad, durante cuánto tiempo, quién accede, a quién se comunican y cómo se atienden derechos.

Esta norma trata la gestión de datos personales desde la perspectiva de privacidad. Ayuda a gestionar obligaciones, roles, riesgos de privacidad, controles, registros, relaciones con terceros y mecanismos de revisión.

No todas las empresas necesitan priorizarla. Aplica principalmente a organizaciones que recopilan, procesan, almacenan o controlan información personal.

ISO/IEC 27032:2023 proporciona directrices sobre seguridad en Internet. Ayuda a revisar páginas web, accesos remotos, correo electrónico, servicios publicados, plataformas de cliente, portales de proveedores y aplicaciones online.

Su enfoque ayuda a entender que la seguridad en Internet no depende únicamente de la empresa. Intervienen proveedores, usuarios, administradores de sistemas, prestadores de servicios y otros actores.

Una empresa con comercio electrónico no debería revisar únicamente si la web vende. Debe saber quién actualiza la plataforma, cómo se gestionan plugins, qué accesos tienen los administradores, cómo se protegen cuentas, qué registros existen, qué ocurre si el proveedor no responde y cómo se actúa ante fraude o suplantación.

ISO/IEC TS 27110:2021 es una especificación técnica que establece directrices para desarrollar un marco de ciberseguridad. Está pensada para quienes diseñan marcos: administraciones, asociaciones sectoriales, grandes grupos empresariales, organismos de referencia o entidades que necesitan un modelo común para varias organizaciones.

Una agrupación sectorial que diseña una guía de ciberseguridad para empresas agroalimentarias, industriales o sanitarias encontraría en TS 27110 una referencia útil para estructurar objetivos, principios, resultados esperados y criterios de aplicación.