¿Qué es ISO 27001 y por qué tarde o temprano un cliente B2B te la pedirá?
Norma internacional para sistemas de gestión de seguridad de la información. Cubre desde organización y políticas hasta controles técnicos. Es lo que más se pide en due diligence B2B.
Actualizado mayo 2026
ISO 27001: el estándar internacional de gestión de seguridad de la información.
ISO/IEC 27001 es la norma internacional para implantar un Sistema de Gestión de Seguridad de la Información (SGSI). Define cómo una organización identifica activos de información, evalúa riesgos, aplica controles, mide eficacia y mejora continuamente. La versión vigente es ISO/IEC 27001:2022, con 93 controles agrupados en cuatro temas (organizativos, personas, físicos, tecnológicos).
Es la certificación de seguridad más reconocida del mundo en B2B. Una pyme que la tiene demuestra a clientes corporativos, administraciones públicas y aseguradoras que gestiona la información de forma sistemática y auditable. En 2026 es prácticamente requisito para vender a banca, energía, sanidad, sector público o cualquier multinacional con compras serias.
Cubre todo el ciclo de gestión: contexto y partes interesadas, liderazgo, planificación, recursos, operación, evaluación del desempeño y mejora. No es solo lista de controles técnicos: exige procesos de dirección, formación, gestión de riesgos y revisión por dirección. Es más de gestión que de tecnología.
Se cruza con NIS2 (ISO 27001 cubre 70-80% de NIS2), con SOC 2 (modelo americano equivalente, no idéntico), con ENS (España, sector público) y con RGPD (controles 27001 ayudan a demostrar diligencia debida).
Qué contiene ISO 27001:2022
Cuatro temas de controles y siete cláusulas de gestión.
Controles organizativos (37)
Políticas, roles, gestión de proveedores, clasificación de información, gestión de incidentes, continuidad. La columna vertebral del sistema.
Controles de personas (8)
Verificación previa, acuerdos de confidencialidad, formación y concienciación, proceso disciplinario, gestión de bajas. La parte que más se descuida y más rompe.
Controles físicos (14)
Perímetro de seguridad, control de acceso físico, protección contra amenazas ambientales, seguridad del equipo, gestión de soportes y oficinas.
Controles tecnológicos (34)
Control de acceso, criptografía, seguridad de operaciones, comunicaciones, adquisición y desarrollo, gestión de vulnerabilidades, monitorización, registros, copias de seguridad.
Cláusula 6: Planificación
Análisis de riesgos formal, declaración de aplicabilidad (SOA — Statement of Applicability), objetivos de seguridad medibles y plan de tratamiento de riesgos.
Cláusula 9 y 10: Evaluación y mejora
Auditoría interna anual, revisión por dirección, gestión de no conformidades, acciones correctivas, mejora continua del SGSI.
Cómo se certifica una pyme en ISO 27001
Cinco fases. Entre 6 y 12 meses si se ataca con disciplina.
Diagnóstico inicial (gap analysis)
Mapear estado actual vs requisitos ISO 27001. Identificar carencias en políticas, procesos y controles técnicos. Plan priorizado con esfuerzo estimado. 3-5 semanas.
Diseño del SGSI
Definir alcance, política, análisis de riesgos, declaración de aplicabilidad (SOA), objetivos y plan de tratamiento. Documentación core del sistema. 6-10 semanas.
Implantación de controles
Desplegar controles técnicos (MFA, cifrado, monitorización, copias de seguridad), políticas operativas y procedimientos. Formación a todo el personal. 3-5 meses.
Operación y auditoría interna
Operar el SGSI durante al menos 2-3 meses con registros. Auditoría interna independiente, revisión por dirección, cierre de no conformidades. 2-3 meses.
Auditoría de certificación
Auditoría externa por entidad acreditada (ENAC en España): Fase 1 (revisión documental) y Fase 2 (auditoría in situ). Si OK, certificado válido 3 años con auditorías de seguimiento anuales.
Cinco señales de que tu pyme debe certificarse
Clientes B2B grandes te lo piden
Multinacionales, banca, energía, sanidad, sector público incluyen ISO 27001 en sus cuestionarios de proveedores. Sin certificado, te quedas fuera de RFPs. La pregunta no es si te lo pedirán sino cuándo.
Eres proveedor de empresa NIS2
Como proveedor de entidad esencial o importante NIS2, debes demostrar seguridad razonable. ISO 27001 es el atajo estándar para responder afirmativamente.
Manejas datos sensibles a gran escala
Salud, finanzas, identificación, datos infantiles, propiedad intelectual de terceros. La diligencia debida exige sistema formal. Sin certificado, en caso de brecha tu defensa legal y reputacional es débil.
Aspiras a venta o ronda de inversión
Due diligence de M&A o ronda Serie B+ incluye revisión de ciberseguridad. ISO 27001 facilita la due diligence y eleva la valoración. Sin sistema documentado, el comprador pide saneamiento previo.
Tu sector va a regularse
IA Act, DORA, NIS2 amplían obligaciones. ISO 27001 es la base que cubre la mayoría. Empezar antes de la presión regulatoria es más barato y ordenado.
ISO 27001 en el ecosistema de cumplimiento.
ISO 27001 cubre el 70-80% de los requisitos de NIS2 y se convierte en el vehículo natural de cumplimiento para pymes afectadas. La diferencia es que NIS2 es obligación legal con multas, ISO 27001 es certificación voluntaria con valor comercial.
Frente a SOC 2, ISO 27001 es internacional y se basa en evaluación de SGSI; SOC 2 es estadounidense, basado en informes de auditoría sobre criterios Trust Services. Para vender a Europa: ISO. Para vender a USA enterprise: SOC 2. Algunas pymes terminan teniendo ambos.
Frente a ENS, ISO 27001 es civil/internacional; ENS es obligatorio para administración pública española. Si trabajas con AAPP necesitas ENS sí o sí; ISO ayuda pero no sustituye.
En Magnetia ayudamos a pymes B2B a preparar ISO 27001 sin convertirlo en proyecto eterno. Coordinamos con auditores ENAC y partners certificadores. Combinable con consultoría IA cuando ISO 27001 entra en proyectos de IA. Ver comparativa NIS2 vs ISO 27001 vs SOC 2.
Dudas que nos hacéis llegar
¿Te están pidiendo ISO 27001 y no sabes por dónde empezar?
Hacemos gap analysis ISO 27001:2022 y te entregamos plan priorizado con esfuerzo realista, plazos y coste. Sin promesas de "tres meses": disciplina y rigor.