8 de abril de 2026 • ISO 27001
A menudo se mencionan juntas las normas ISO 27001 e ISO 27002, pero no son lo mismo. Una es una norma de certificación y la otra, una guía práctica. Cualquiera que se tome en serio la seguridad de la información se beneficia de ambas, aunque de formas diferentes.
¿Qué es la norma ISO 27001?
La norma ISO 27001 es la norma internacional sobre seguridad de la información. Define los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI): un conjunto coherente de políticas, procesos y medidas destinadas a proteger la información. Las organizaciones pueden obtener la certificación ISO 27001, lo que significa que un auditor independiente verifica el cumplimiento de sus requisitos.
La norma define lo que hay que organizar, no cómo hacerlo. Piensa en: evaluaciones de riesgos, auditorías internas, implicación de la dirección y formación de los empleados en materia de concienciación sobre la seguridad. Este último aspecto se menciona explícitamente en el anexo A de la norma.
¿Qué es la norma ISO 27002?
La norma ISO 27002 es la aplicación práctica de los controles de seguridad exigidos por la norma ISO 27001. Mientras que la norma 27001 establece que se deben adoptar medidas, la norma 27002 explica cómo implementarlas. No es posible obtener una certificación según la norma ISO 27002: se trata de una guía, no de una norma de certificación.
En 2022, la norma ISO 27002 fue objeto de una revisión exhaustiva. El número de controles se redujo de 114 a 93, divididos en cuatro categorías: organizativa, de personal, física y tecnológica. La formación en concienciación sobre seguridad se incluye en la categoría de personal.
La diferencia de un vistazo
| ISO 27001 | ISO 27002 | |
|---|---|---|
| Tipo | Norma de certificación | Directriz |
| Objetivo | Requisitos para un SGSI | Orientaciones sobre cómo aplicar los controles |
| ¿Es posible obtener la certificación? | Sí | No |
| Número de controles | 93 (véase el anexo A) | 93 (elaborado por control) |
| ¿Es obligatorio? | Para la certificación: sí | Recomendado como referencia |
| Público destinatario | Dirección, auditores | Equipos de seguridad, responsables de la implementación |
¿Qué norma necesitas?
Si desea demostrar a sus clientes, socios o autoridades reguladoras que se toma en serio la seguridad de la información, la certificación ISO 27001 es el objetivo. La norma ISO 27002 sirve de referencia durante la implementación: le ayuda a comprender qué controles son adecuados y cómo ponerlos en práctica.
Ambas normas se complementan entre sí. La norma ISO 27001 sin la ISO 27002 es como construir sin planos. La norma ISO 27002 sin la ISO 27001 es saber cómo hacerlo, pero no saber por qué.
El papel de la formación security awareness
Tanto la norma ISO 27001 como la ISO 27002 exigen que los empleados reciban formación en materia de seguridad de la información. La norma ISO 27001 lo establece como un requisito (Anexo A, control 6.3), mientras que la norma ISO 27002 explica cómo hacer que dicha formación sea eficaz: que sea periódica, específica para cada función y cuantificable.
En la práctica, los cursos de formación en línea puntuales o los talleres anuales rara vez alcanzan ese nivel. Guardey ayuda a las organizaciones a cumplir los requisitos de la norma ISO 27001 en materia de concienciación sobre seguridad, mediante microformaciones semanales, simulaciones de phishing e informes listos para auditorías.
Formación en concienciación sobre seguridad conforme a la norma ISO 27001
Guardey ayuda a las organizaciones a cumplir los requisitos de formación de la norma ISO 27001 sin complicaciones. Solicita una demostración y comprueba por ti mismo lo que la plataforma puede aportar a tu organización.
Planificar una demostración