ISO/IEC 27001:2022 – El Estándar Global de Seguridad de la Información
La norma ISO/IEC 27001 es el referente internacional para la gestión de la seguridad de la información. Su implementación permite a las organizaciones de cualquier tamaño proteger sus activos más valiosos: los datos.
Puntos Clave de la versión 2022:
- Gobernanza: Alineación total con los objetivos de negocio.
- Gestión de Riesgos: Un enfoque proactivo para identificar y mitigar amenazas.
- Mejora Continua: Ciclo PHVA (Planear, Hacer, Verificar, Actuar).
Este estándar no solo protege la tecnología, sino que fortalece la confianza de los clientes y asegura el cumplimiento legal en materia de protección de datos.
3. Categoría (A la derecha): Crea una nueva que se llame Normas.
Gobierno del Riesgo en ISO 27001
ISO 27002: controles de seguridad o lista de deseos sin presupuesto
ISO/IEC 27002 puede ser tu mejor aliada… o una fábrica de documentos inútiles.
Todo depende de si la usas con contexto: riesgo, negocio, capacidades y obligaciones.
La idea central es simple: 27002 es un menú de controles, no una receta.
Si marcas casillas sin operar controles, caes en teatro de seguridad. 🎭
🔐 PUNTO 1: 27002 no se “implementa”, se selecciona por riesgo
ISO 27002 es un catálogo de controles.
La versión 2022 organiza 93 controles en 4 temas (organizacionales, personas, físicos, tecnológicos). 📊
Eso no significa “hazlos todos”.
Lo correcto es conectar cada control con: riesgo → objetivo → dueño → evidencia → métrica.
Si no puedes explicar qué riesgo trata un control, ese control es decoración.
Acción: arma 15–30 escenarios de riesgo (activo + amenaza + impacto) y elige controles como tratamiento.
💡 PUNTO 2: La SoA es tu puente contra el teatro 🔴
La SoA (Statement of Applicability / Declaración de Aplicabilidad) no es trámite.
Es donde justificas qué controles aplican, cuáles no, y por qué.
Por qué tu matriz de riesgo te está mintiendo (y cómo ISO/IEC 27005 te ayuda a gestionarlo de verdad)
Tu matriz de riesgo es una herramienta de decisión o solo un ejercicio de pintar colores? 🎨
La mayoría de las organizaciones usan matrices 5×5 que parecen profesionales pero esconden problemas críticos: multiplican escalas ordinales como si fueran matemáticas reales, igualan riesgos totalmente diferentes por tener el mismo color, y crean umbrales arbitrarios que incentivan «gaming» en lugar de gestión real.
ISO/IEC 27005 te guía hacia algo mejor: un proceso estructurado donde las decisiones se basan en criterios claros, escenarios trazables y evidencia verificable.
En este artículo descubrirás:
✅ Los 7 engaños más comunes de las matrices tradicionales
✅ Cómo ISO/IEC 27005 estructura la gestión de riesgo real
✅ Alternativas prácticas sin necesidad de ser matemático
✅ Métricas que prueban que el riesgo realmente bajó
✅ Un checklist de 30-60 días para desintoxicar tu matriz
Si hoy no puedes explicar por qué dos riesgos «rojos» son diferentes, o no tienes métricas que demuestren que el riesgo residual bajó, tu matriz te está engañando.
Cambia de «colores bonitos» a «decisiones defendibles». Tu auditor (y tu comité ejecutivo) te lo agradecerán.