{"id":3646,"date":"2026-03-12T14:50:15","date_gmt":"2026-03-12T17:50:15","guid":{"rendered":"https:\/\/tec5.tech\/blog\/?p=3646"},"modified":"2026-03-25T17:33:28","modified_gmt":"2026-03-25T20:33:28","slug":"norma-iso-27001","status":"publish","type":"post","link":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/","title":{"rendered":"ISO 27001 (Seguridad de la informaci\u00f3n): Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla"},"content":{"rendered":"\n<p class=\"lh-20\">La <strong>seguridad de la informaci\u00f3n de ISO 27001<\/strong> es la aplicaci\u00f3n de la norma ISO\/IEC 27001 para implementar un <strong>Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) <\/strong>que protege la confidencialidad, integridad y disponibilidad de la informaci\u00f3n mediante gesti\u00f3n de riesgos y mejora continua. En un contexto donde las empresas y, sobre todo, las pymes est\u00e1n m\u00e1s expuestas (m\u00e1s proveedores, m\u00e1s nube, m\u00e1s trabajo remoto) y adem\u00e1s reciben m\u00e1s exigencias de clientes y licitaciones, hablar de <strong><a href=\"\/blog\/ciberseguridad-pymes\/\">ciberseguridad para pymes<\/a><\/strong> y empresas ya no es \u201calgo de IT\u201d, sino un tema operativo y comercial. Y no es menor, de acuerdo a un estudio de IBM el costo promedio global de una filtraci\u00f3n de datos fue de <strong>USD 4,4 millones en 2025<\/strong>.<\/p>\n\n\n\n<p class=\"lh-20\">En este art\u00edculo vas a entender, para qu\u00e9 sirve ISO 27001, qu\u00e9 requisitos pide (cl\u00e1usulas y Anexo A), c\u00f3mo implementarla paso a paso, qu\u00e9 mirar en certificaci\u00f3n (incluyendo Argentina), y cu\u00e1les son los errores m\u00e1s comunes que hacen que un proyecto se vuelva lento, caro o dif\u00edcil de sostener.<\/p>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"has-text-align-right has-small-font-size\"><em>Fuente: <a href=\"https:\/\/www.ibm.com\/reports\/data-breach\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">IBM<\/a>. Cost of a Data Breach Report 2025.<\/em><\/p>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<section class=\"post-toc\" aria-label=\"Tabla de contenidos\">\n  <style>\n    .post-toc{\n      --b:#e5e7eb; --text:#111827; --muted:#6b7280; --accent:#2563eb;\n      max-width:780px; margin:0 auto 20px; padding:0 12px;\n      font-family:system-ui,-apple-system,Segoe UI,Roboto,Helvetica,Arial,sans-serif;\n    }\n    .toc{ border:1px solid var(--b); border-radius:12px; background:#fff; overflow:hidden; }\n    .toc-head{\n      width:100%; display:flex; justify-content:space-between; align-items:center; gap:10px;\n      padding:12px 14px; border:0; background:#fff; cursor:pointer;\n    }\n    .toc-title{ margin:0; font-weight:800; font-size:16px; color:var(--text); display:flex; gap:8px; align-items:center; }\n    .toc-hint{ color:var(--muted); font-size:14px; }\n    .toc-body{ display:none; padding:12px 14px; }\n\n    .toc-list{ margin:0; padding-left:0; list-style:none; display:grid; gap:8px; }\n\n    .toc-list > li.is-h2 > a{\n      display:inline-block;\n      font-weight:800;\n      font-size:15px;\n      color:#374151;\n      text-decoration:none;\n    }\n    .toc-list > li.is-h2 > a:hover{ color:var(--accent); text-decoration:underline; }\n\n    .toc-list.counter { counter-reset: toc-h2; }\n    .toc-list.counter > li.is-h2 > a::before{\n      counter-increment: toc-h2;\n      content: counter(toc-h2) \". \";\n      color: var(--muted);\n      font-weight:700;\n    }\n\n    .toc-sub{\n      margin:6px 0 0 18px; padding-left:10px; border-left:2px solid rgba(37,99,235,.15);\n      display:grid; gap:6px;\n    }\n    .toc-sub li.is-h3 > a{\n      font-weight:600;\n      font-size:14px;\n      color:var(--muted);\n      text-decoration:none;\n    }\n    .toc-sub li.is-h3 > a:hover{ color:var(--accent); text-decoration:underline; }\n\n    html{ scroll-behavior:smooth; }\n  <\/style>\n\n  <div class=\"toc\" data-collapsible>\n    <button class=\"toc-head\" type=\"button\" aria-expanded=\"false\" aria-controls=\"toc-body\">\n      <p class=\"toc-title\">\ud83d\udcd6 Tabla de contenidos<\/p>\n      <span class=\"toc-hint\" data-hint>Mostrar<\/span>\n    <\/button>\n\n    <div class=\"toc-body\" id=\"toc-body\">\n      <ul class=\"toc-list counter\">\n\n        <li class=\"is-h2\">\n          <a href=\"#que-es-seguridad-informacion-iso-27001\">\u00bfQu\u00e9 es la seguridad de la informaci\u00f3n ISO 27001?<\/a>\n          <ul class=\"toc-sub\">\n            <li class=\"is-h3\"><a href=\"#que-es-sgsi-isms\">\u00bfQu\u00e9 es un SGSI (ISMS)?<\/a><\/li>\n            <li class=\"is-h3\"><a href=\"#3-pilares-seguridad-informacion\">\u00bfCu\u00e1les son los 3 pilares de la seguridad de la informaci\u00f3n?<\/a><\/li>\n          <\/ul>\n        <\/li>\n\n        <li class=\"is-h2\">\n          <a href=\"#para-que-sirve-norma-iso-27001\">\u00bfPara qu\u00e9 sirve la norma ISO 27001?<\/a>\n          <ul class=\"toc-sub\">\n            <li class=\"is-h3\"><a href=\"#ventajas-iso-27001\">Principales ventajas de ISO 27001<\/a><\/li>\n          <\/ul>\n        <\/li>\n\n        <li class=\"is-h2\">\n          <a href=\"#iso-27001-requisitos-clausulas-anexo-a\">ISO 27001: requisitos, cl\u00e1usulas y Anexo A<\/a>\n          <ul class=\"toc-sub\">\n            <li class=\"is-h3\"><a href=\"#requerimientos-norma-iso-27001\">\u00bfQu\u00e9 se requiere para cumplir con la norma ISO 27001?<\/a><\/li>\n            <li class=\"is-h3\"><a href=\"#anexo-a\">Anexo A: qu\u00e9 es y familias de controles<\/a><\/li>\n          <\/ul>\n        <\/li>\n\n        <li class=\"is-h2\">\n          <a href=\"#como-implementar-iso-27001\">\u00bfC\u00f3mo implementar ISO 27001?<\/a>\n        <\/li>\n\n        <li class=\"is-h2\">\n          <a href=\"#certificacion-iso-27001-precios-tiempos\">Certificaci\u00f3n ISO 27001: precios y tiempos<\/a>\n          <ul class=\"toc-sub\">\n            <li class=\"is-h3\"><a href=\"#costo-certificacion-iso-27001\">\u00bfCu\u00e1nto cuesta la certificaci\u00f3n ISO 27001?<\/a><\/li>\n            <li class=\"is-h3\"><a href=\"#cuanto-tarda-certificacion-iso-27001\">\u00bfCu\u00e1nto tarda la certificaci\u00f3n ISO 27001?<\/a><\/li>\n          <\/ul>\n        <\/li>\n\n        <li class=\"is-h2\">\n          <a href=\"#certificacion-iso-27001-argentina\">Certificaci\u00f3n ISO 27001 en Argentina<\/a>\n        <\/li>\n\n        <li class=\"is-h2\">\n          <a href=\"#errores-comunes-certificacion-iso-27001-pymes\">Errores comunes de certificaci\u00f3n ISO 27001 (en pymes)<\/a>\n          <ul class=\"toc-sub\">\n            <li class=\"is-h3\"><a href=\"#documentacion-auditoria-sin-operacion-real\">\u26a0\ufe0f Documentaci\u00f3n \u201cpara la auditor\u00eda\u201d sin operaci\u00f3n real<\/a><\/li>\n            <li class=\"is-h3\"><a href=\"#alcance-mal-definido\">\u26a0\ufe0f Alcance mal definido<\/a><\/li>\n            <li class=\"is-h3\"><a href=\"#riesgos-sin-criterios\">\u26a0\ufe0f Riesgos sin criterios ni trazabilidad (y SoA d\u00e9bil)<\/a><\/li>\n          <\/ul>\n        <\/li>\n\n        <li class=\"is-h2\">\n          <a href=\"#preguntas-frecuentes-iso-27001\">Preguntas frecuentes sobre ISO 27001<\/a>\n          <ul class=\"toc-sub\">\n            <li class=\"is-h3\"><a href=\"#diferencia-iso-27001-27002\">\u00bfCu\u00e1l es la diferencia entre las normas ISO 27001 y 27002?<\/a><\/li>\n            <li class=\"is-h3\"><a href=\"#iso-27001-obligatoria\">\u00bfISO 27001 es obligatoria?<\/a><\/li>\n            <li class=\"is-h3\"><a href=\"#como-obtiene-certificacion-iso-27001\">\u00bfC\u00f3mo se obtiene la certificaci\u00f3n ISO 27001?<\/a><\/li>\n            <li class=\"is-h3\"><a href=\"#ultima-version-iso-27001\">\u00bfCu\u00e1l es la \u00faltima versi\u00f3n de ISO 27001?<\/a><\/li>\n          <\/ul>\n        <\/li>\n\n      <\/ul>\n    <\/div>\n  <\/div>\n\n  <script>\n    (function(){\n      var root = document.querySelector('.post-toc .toc[data-collapsible]');\n      if(!root) return;\n\n      var head = root.querySelector('.toc-head');\n      var body = root.querySelector('.toc-body');\n      var hint = root.querySelector('[data-hint]');\n\n      function setOpen(open){\n        body.style.display = open ? 'block' : 'none';\n        head.setAttribute('aria-expanded', String(open));\n        if(hint) hint.textContent = open ? 'Ocultar' : 'Mostrar';\n      }\n      setOpen(false);\n\n      function toggle(){ setOpen(body.style.display !== 'block'); }\n\n      head.addEventListener('click', toggle);\n      head.addEventListener('keydown', function(e){\n        if(e.key === 'Enter' || e.key === ' ') { e.preventDefault(); toggle(); }\n      });\n    })();\n  <\/script>\n<\/section>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading h2-tit\" id=\"que-es-seguridad-informacion-iso-27001\">\u00bfQu\u00e9 es la seguridad de la informaci\u00f3n ISO 27001?<\/h2>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">ISO\/IEC 27001 es una <strong>norma internacional<\/strong> que define c\u00f3mo crear y sostener un <strong>sistema de gesti\u00f3n de seguridad de la informaci\u00f3n<\/strong> (un SGSI) para proteger la informaci\u00f3n de una organizaci\u00f3n de manera consistente, medible y con mejora continua.<\/p>\n\n\n\n<p class=\"lh-20\">La clave est\u00e1 en la <strong>gesti\u00f3n de la seguridad de la informaci\u00f3n<\/strong>: tu empresa identifica su informaci\u00f3n cr\u00edtica y su informaci\u00f3n confidencial, entiende los riesgos asociados (considerando amenazas actuales, posibles amenazas y <strong><a href=\"\/blog\/vulnerabilidades-red\/\">vulnerabilidades de red<\/a><\/strong>) y aplica los controles necesarios para reducir el riesgo a un nivel aceptable.<\/p>\n\n\n\n<p class=\"lh-20\">En la pr\u00e1ctica, la <strong>certificaci\u00f3n ISO 27001 para empresas<\/strong> busca que la seguridad no dependa de \u201calguien que sabe\u201d ni de soluciones sueltas, sino de un sistema con responsabilidades claras, evidencias y una pol\u00edtica de seguridad de la informaci\u00f3n que ordena todo.<\/p>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<style>\n  .tec5-recommended-reading {\n    display: flex;\n    align-items: center;\n    gap: 0.75rem;\n    width: 100%;\n    box-sizing: border-box;\n    padding: 0.7rem 1.2rem;\n    background: #e53935; \/* rojo barra *\/\n    color: #ffffff;\n    border-radius: 999px;\n    box-shadow: 0 4px 8px rgba(0,0,0,0.18);\n    font-family: inherit;\n    font-size: 0.85rem; \/* mobile first *\/\n  }\n\n  .tec5-rr-icon {\n    flex: 0 0 auto;\n    width: 28px;\n    height: 28px;\n    border-radius: 50%;\n    background: rgba(255,255,255,0.18);\n    display: flex;\n    align-items: center;\n    justify-content: center;\n  }\n\n  .tec5-rr-icon span {\n    font-size: 1.2rem;\n    line-height: 1;\n  }\n\n  .tec5-rr-text {\n    margin: 0;\n    display: flex;\n    flex-wrap: wrap;\n    align-items: center;\n    column-gap: 0.35rem;\n  }\n\n  .tec5-rr-label {\n    font-weight: 500;\n    text-transform: uppercase;\n    letter-spacing: 0.03em;\n  }\n\n  .tec5-rr-link {\n    font-style: italic;\n    text-decoration: underline;\n    color: #ffffff;\n  }\n\n  .tec5-rr-link:hover,\n  .tec5-rr-link:focus {\n    text-decoration-thickness: 2px;\n  }\n\n  \/* Desktop *\/\n  @media (min-width: 768px) {\n    .tec5-recommended-reading {\n      max-width: 840px;\n      margin: 0 auto;\n      font-size: 0.95rem;\n      padding: 0.8rem 1.8rem;\n    }\n  }\n<\/style>\n\n<div class=\"tec5-recommended-reading\">\n  <div class=\"tec5-rr-icon\" aria-hidden=\"true\">\n    <span>\ud83d\udca1<\/span>\n  <\/div>\n\n  <p class=\"tec5-rr-text\">\n    <span class=\"tec5-rr-label\">LECTURA RECOMENDADA:<\/span>\n    <a class=\"tec5-rr-link\" href=\"\/blog\/ciberseguridad-empresarial\/\">\n      Los 10 mejores consejos de ciberseguridad empresarial en 2026\n    <\/a>\n  <\/p>\n<\/div>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"que-es-sgsi-isms\">\u00bfQu\u00e9 es un SGSI (ISMS)?<\/h3>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Un <strong>SGSI (Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n)<\/strong>, tambi\u00e9n conocido como <strong>ISMS<\/strong>, es el conjunto de reglas, roles y rutinas que una organizaci\u00f3n usa para gestionar la seguridad de la informaci\u00f3n de forma ordenada y repetible.<\/p>\n\n\n\n<p class=\"lh-20\">Un <strong>SGSI efectivo <\/strong>suele incluir, como m\u00ednimo:<\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li><strong>Alcance<\/strong> definido (qu\u00e9 parte de la empresa cubre y qu\u00e9 depende de terceros).<\/li>\n\n\n\n<li><strong>Inventario <\/strong>de activo informaci\u00f3n (datos, sistemas, personas clave, proveedores, y activos f\u00edsicos).<\/li>\n\n\n\n<li><strong>Metodolog\u00eda de gesti\u00f3n riesgo<\/strong> (criterios, evaluaci\u00f3n, tratamiento).<\/li>\n\n\n\n<li><strong>Selecci\u00f3n de controles <\/strong>establecidos (y sus evidencias) para reducir riesgos.<\/li>\n\n\n\n<li><strong>Pol\u00edtica seguridad informaci\u00f3n<\/strong> y objetivos medibles (alineados a los objetivos planteados del negocio).<\/li>\n\n\n\n<li><strong>Auditor\u00edas<\/strong> internas y revisi\u00f3n peri\u00f3dica (parte del mejora continuo).<\/li>\n<\/ul>\n\n\n\n<p class=\"lh-20\">En mi experiencia (sobre todo en pymes), el \u201csalto\u201d m\u00e1s grande es pasar de controles aislados a un SGSI donde todo tiene trazabilidad: riesgo \u2192 control seguridad \u2192 evidencia. Ah\u00ed es donde la norma deja de ser teor\u00eda y se vuelve gesti\u00f3n.<\/p>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"3-pilares-seguridad-informacion\">\u00bfCu\u00e1les son los 3 pilares de la seguridad de la informaci\u00f3n?<\/h3>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Los 3 pilares (la tr\u00edada CIA) son <strong>Confidencialidad, Integridad y Disponibilidad<\/strong>. Estos pilares garantizan que la informaci\u00f3n la vea quien corresponde, que no se altere sin permiso y que est\u00e9 disponible cuando el negocio la necesita. En ISO 27001, se sostienen con <strong>personas, procesos y tecnolog\u00eda<\/strong>: gente capacitada, procesos definidos y protecci\u00f3n t\u00e9cnica alineada al riesgo.<\/p>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"691\" height=\"291\" src=\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/pilares-seguridad-informacion.webp\" alt=\"Los 3 pilares de la seguridad de la informaci\u00f3n\" class=\"wp-image-3648\" srcset=\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/pilares-seguridad-informacion.webp 691w, https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/pilares-seguridad-informacion-480x202.webp 480w\" sizes=\"(min-width: 0px) and (max-width: 480px) 480px, (min-width: 481px) 691px, 100vw\" \/><\/figure>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-group is-layout-constrained wp-block-group-is-layout-constrained\">\n<h4 class=\"wp-block-heading h4-tit\"><strong>1) \ud83e\udd1d Confidencialidad<\/strong><\/h4>\n\n\n\n<div style=\"height:8px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Busca evitar accesos o divulgaci\u00f3n no autorizada de informaci\u00f3n confidencial y informaci\u00f3n cr\u00edtica.<\/p>\n\n\n\n<p class=\"lh-20\">Ejemplos de controles necesarios:<\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li><strong>Controles organizacionales: <\/strong>clasificaci\u00f3n de la informaci\u00f3n, acuerdos de confidencialidad, reglas de acceso por rol.<\/li>\n\n\n\n<li><strong>Controles tecnol\u00f3gicos: <\/strong>MFA, cifrado, gesti\u00f3n de identidades, permisos m\u00ednimos.<\/li>\n\n\n\n<li><strong>Controles f\u00edsicos: <\/strong>control de acceso a oficinas\/archivos\/servidores (s\u00ed, tambi\u00e9n cuenta el papel).<\/li>\n<\/ul>\n<\/div>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-group is-layout-constrained wp-block-group-is-layout-constrained\">\n<h4 class=\"wp-block-heading h4-tit\"><strong>2) \ud83e\uddf1 Integridad<\/strong><\/h4>\n\n\n\n<div style=\"height:8px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Asegura que los datos se mantengan completos y correctos, sin cambios no autorizados (o que esos cambios se detecten).<\/p>\n\n\n\n<p class=\"lh-20\">Ejemplos de <strong>controles establecidos<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li>Control de cambios y aprobaciones (especialmente en sistemas cr\u00edticos).<\/li>\n\n\n\n<li>Registros de auditor\u00eda (logs), trazabilidad y versionado.<\/li>\n\n\n\n<li>Validaciones, firmas, hash\/checksums, y segregaci\u00f3n de funciones.<\/li>\n<\/ul>\n<\/div>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-group is-layout-constrained wp-block-group-is-layout-constrained\">\n<h4 class=\"wp-block-heading h4-tit\"><strong>3) \u26a1Disponibilidad<\/strong><\/h4>\n\n\n\n<div style=\"height:8px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Garantiza que la informaci\u00f3n y los sistemas est\u00e9n operativos cuando se necesitan (incluye continuidad y recuperaci\u00f3n).<\/p>\n\n\n\n<p class=\"lh-20\">Ejemplos de <strong>controles incluidos:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li><strong><a href=\"https:\/\/tec5.tech\/blog\/backup-empresas\/\">Backups para empresas<\/a><\/strong> con restauraci\u00f3n probada (no solo \u201ctengo backup\u201d).<\/li>\n\n\n\n<li>Plan de continuidad\/DRP, redundancia seg\u00fan impacto, monitoreo y capacidad.<\/li>\n\n\n\n<li>Gesti\u00f3n de incidentes para responder r\u00e1pido ante ca\u00eddas o ransomware.<\/li>\n<\/ul>\n<\/div>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<section class=\"mdp-tip\" aria-label=\"Norma ISO 27001\" role=\"note\">\n  <style>\n    .mdp-tip{\n      --bg:black;          \n      --halo:#1ea7fd;        \/* azul del borde\/halo *\/\n      --text:#ffffff;        \/* texto *\/\n      --radius:14px;\n      --gap:14px;\n\n      max-width: 980px;\n      margin: 0 auto 20px;\n      padding: 0 12px;       \/* respiraci\u00f3n lateral en mobile *\/\n      font-family: system-ui,-apple-system,Segoe UI,Roboto,Helvetica,Arial,sans-serif;\n      color: var(--text);\n    }\n\n    \/* Tarjeta *\/\n    .tip-card{\n      display: grid;\n      grid-template-columns: 36px 1fr;    \/* mobile-first: icono + contenido *\/\n      gap: var(--gap);\n      padding: 16px;\n      background: var(--bg);\n      border-radius: var(--radius);\n      \/* halo\/borde azul exterior *\/\n      outline: 3px solid var(--halo);\n      outline-offset: 4px;\n      \/* sombra sutil *\/\n      box-shadow: 0 6px 18px rgba(0,0,0,.12);\n    }\n\n    \/* Icono *\/\n    .tip-icon{\n      font-size: 26px;\n      line-height: 1;\n      filter: drop-shadow(0 1px 0 rgba(0,0,0,.15));\n      transform: translateY(2px);\n      user-select: none;\n    }\n\n    \/* T\u00edtulo y texto *\/\n    .tip-eyebrow{\n      margin: 0 0 6px 0;\n      font-weight: 900;\n      letter-spacing: .6px;\n      text-transform: uppercase;\n      font-size: clamp(16px, 2.2vw, 22px);\n      color: var(--text);\n    }\n    .tip-text{\n      margin: 0;\n      color: var(--text);\n      opacity: .95;\n      line-height: 1.7;\n      font-size: clamp(14px, 1.8vw, 16px);\n    }\n\n    \/* Ajustes en pantallas medias y grandes *\/\n    @media (min-width:640px){\n      .tip-card{ padding: 22px; grid-template-columns: 44px 1fr; }\n      .tip-icon{ font-size: 30px; }\n    }\n    @media (min-width:1024px){\n      .tip-card{ padding: 28px; grid-template-columns: 48px 1fr; }\n      .tip-icon{ font-size: 32px; }\n    }\n  <\/style>\n\n  <div class=\"tip-card\">\n    <span class=\"tip-icon\" aria-hidden=\"true\">\ud83d\udca1<\/span>\n    <div class=\"tip-body\">\n      <p class=\"tip-text\">\n        La norma no solo \u201cnombra\u201d la tr\u00edada; te pide que identifiques riesgos asociados (amenaza + vulnerabilidad + impacto), y selecciones controles para proteger estos pilares dentro de un sistema de gesti\u00f3n de seguridad de la informaci\u00f3n con evidencia y mejora continua.\n      <\/p>\n    <\/div>\n  <\/div>\n<\/section>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading h2-tit\" id=\"para-que-sirve-norma-iso-27001\">\u00bfPara qu\u00e9 sirve la norma ISO 27001?<\/h2>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">La <strong>norma ISO\/IEC 27001<\/strong> sirve para que una organizaci\u00f3n implemente y mantenga un <strong>Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI)<\/strong> que le permita proteger la informaci\u00f3n (especialmente la informaci\u00f3n cr\u00edtica y la informaci\u00f3n confidencial) con un enfoque ordenado y verificable. En vez de tomar decisiones \u201ca ojo\u201d, la seguridad se gestiona por <strong>riesgo de <a href=\"\/blog\/seguridad-informacion-ciberseguridad\/\">seguridad de la informaci\u00f3n<\/a><\/strong>: se identifican riesgos asociados, se priorizan seg\u00fan impacto y probabilidad, y se aplican controles necesarios para reducirlos a un nivel aceptable.<\/p>\n\n\n\n<p class=\"lh-20\">En el d\u00eda a d\u00eda, y esto lo vemos seguido cuando acompa\u00f1amos pymes, el <strong>objetivo de ISO 27001<\/strong> es dejar de reaccionar solo ante incidentes y empezar a trabajar con m\u00e9todo: pol\u00edtica de seguridad de la informaci\u00f3n, responsabilidades claras, controles establecidos y evidencia de que funcionan, dentro de un ciclo de mejora continua.<\/p>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"ventajas-iso-27001\">Principales ventajas de ISO 27001<\/h3>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"678\" height=\"545\" src=\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/ventajas-iso-27001.webp\" alt=\"Principales ventajas de ISO 27001\" class=\"wp-image-3649\" srcset=\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/ventajas-iso-27001.webp 678w, https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/ventajas-iso-27001-480x386.webp 480w\" sizes=\"(min-width: 0px) and (max-width: 480px) 480px, (min-width: 481px) 678px, 100vw\" \/><\/figure>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li class=\"lh-20\">\ud83c\udfaf <strong>Gestionar riesgos con m\u00e9todo:<\/strong> identificar y tratar riesgos de seguridad de la informaci\u00f3n seg\u00fan amenazas actuales y posibles amenazas, priorizando por impacto.<\/li>\n\n\n\n<li class=\"lh-20\">\ud83d\udee1\ufe0f <strong>Proteger la informaci\u00f3n de forma integral: <\/strong>combinar controles organizacionales, controles tecnol\u00f3gicos y controles f\u00edsicos (tambi\u00e9n para activos f\u00edsicos).<\/li>\n\n\n\n<li class=\"lh-20\">\u2696\ufe0f \ud83e\udd1d <strong>Cumplir requisitos legales y contractuales: <\/strong>facilitar el cumplimiento de requisitos legales y exigencias de clientes, con evidencia y trazabilidad.<\/li>\n\n\n\n<li class=\"lh-20\">\ud83d\udcb0 <strong>Generar confianza y ventaja competitiva:<\/strong> mejorar reputaci\u00f3n y credibilidad frente a clientes, proveedores y auditor\u00edas (especialmente si avanz\u00e1s a certificaci\u00f3n ISO).<\/li>\n\n\n\n<li class=\"lh-20\">\ud83d\udd01 <strong>Sostener la seguridad en el tiempo: <\/strong>mantener un SGSI efectivo con mejora continua (medir, auditar, corregir y mejorar).<\/li>\n<\/ul>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading h2-tit\" id=\"iso-27001-requisitos-clausulas-anexo-a\">ISO 27001: requisitos, cl\u00e1usulas y Anexo A<\/h2>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Si quer\u00e9s implementar ISO 27001 sin perderte, pensalo en dos piezas:<\/p>\n\n\n\n<ol class=\"wp-block-list lista\">\n<li class=\"lh-20\"><strong>Requisitos de gesti\u00f3n<\/strong> (las cl\u00e1usulas: alcance, liderazgo, riesgos, operaci\u00f3n, medici\u00f3n y mejora), y<\/li>\n\n\n\n<li class=\"lh-20\"><strong>Controles de seguridad (Anexo A) <\/strong>para cubrir amenazas actuales y posibles amenazas sobre tu informaci\u00f3n cr\u00edtica.<\/li>\n<\/ol>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"requerimientos-norma-iso-27001\">\u00bfQu\u00e9 se requiere para cumplir con la norma ISO 27001?<\/h3>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Para cumplir, tu SGSI tiene que cubrir (al menos) los <strong>requisitos de la norma ISO 27001<\/strong> de las <strong>cl\u00e1usulas 4 a 10<\/strong> del est\u00e1ndar.<\/p>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<section class=\"iso27001-tabla\" aria-labelledby=\"iso27001-tabla-caption\">\n  <style>\n    .iso27001-tabla{\n      --bg:#f4f4f5;\n      --card:#ffffff;\n      --text:#1f2937;\n      --muted:#4b5563;\n      --border:#d9dce1;\n      --shadow:0 1px 2px rgba(16,24,40,.04);\n      --radius:10px;\n\n      margin:2rem 0;\n      color:var(--text);\n      font-family:system-ui,-apple-system,Segoe UI,Roboto,Helvetica,Arial,sans-serif;\n    }\n\n    .iso27001-tabla *{\n      box-sizing:border-box;\n    }\n\n    .iso27001-tabla .tabla-wrap{\n      width:100%;\n    }\n\n    .iso27001-tabla table{\n      width:100%;\n      border-collapse:collapse;\n      background:transparent;\n    }\n\n    .iso27001-tabla caption{\n      caption-side:top;\n      text-align:center;\n      font-size:1.2rem;\n      line-height:1.3;\n      font-weight:800;\n      color:#3f3f46;\n      padding:0 0 1rem;\n    }\n\n    \/* Mobile first: cards *\/\n    .iso27001-tabla thead{\n      display:none;\n    }\n\n    .iso27001-tabla tbody{\n      display:grid;\n      gap:1rem;\n    }\n\n    .iso27001-tabla tr{\n      display:block;\n      background:var(--bg);\n      border:1px solid var(--border);\n      border-radius:var(--radius);\n      overflow:hidden;\n      box-shadow:var(--shadow);\n    }\n\n    .iso27001-tabla td,\n    .iso27001-tabla th[scope=\"row\"]{\n      display:block;\n      width:100%;\n      padding:0.9rem 1rem;\n      border-bottom:1px solid var(--border);\n      vertical-align:top;\n      text-align:left;\n    }\n\n    .iso27001-tabla tr > *:last-child{\n      border-bottom:0;\n    }\n\n    .iso27001-tabla th[scope=\"row\"]{\n      font-size:1.05rem;\n      line-height:1.45;\n      font-weight:800;\n      color:#222;\n      background:rgba(255,255,255,.55);\n    }\n\n    .iso27001-tabla td{\n      font-size:0.98rem;\n      line-height:1.7;\n      color:var(--muted);\n    }\n\n    .iso27001-tabla td::before{\n      content:attr(data-label);\n      display:block;\n      margin-bottom:.35rem;\n      font-size:.82rem;\n      line-height:1.35;\n      font-weight:700;\n      color:#374151;\n    }\n\n    .iso27001-tabla strong{\n      font-weight:800;\n      color:#222;\n    }\n\n    \/* Desktop\/tablet *\/\n    @media (min-width: 820px){\n      .iso27001-tabla .tabla-wrap{\n        overflow-x:auto;\n      }\n\n      .iso27001-tabla table{\n        background:var(--bg);\n        border-collapse:separate;\n        border-spacing:0;\n      }\n\n      .iso27001-tabla thead{\n        display:table-header-group;\n      }\n\n      .iso27001-tabla tbody{\n        display:table-row-group;\n      }\n\n      .iso27001-tabla tr{\n        display:table-row;\n        border:0;\n        border-radius:0;\n        box-shadow:none;\n        background:transparent;\n      }\n\n      .iso27001-tabla thead th{\n        padding:0.95rem 1rem;\n        text-align:left;\n        font-size:1rem;\n        line-height:1.4;\n        font-weight:800;\n        color:#2f2f37;\n        border-bottom:1px solid #cfcfd4;\n        background:transparent;\n      }\n\n      .iso27001-tabla tbody th[scope=\"row\"],\n      .iso27001-tabla tbody td{\n        display:table-cell;\n        padding:0.95rem 1rem;\n        border-bottom:1px solid #e3e4e8;\n        background:transparent;\n      }\n\n      .iso27001-tabla tbody th[scope=\"row\"]{\n        width:18%;\n        background:transparent;\n      }\n\n      .iso27001-tabla tbody td:nth-child(2){\n        width:25%;\n      }\n\n      .iso27001-tabla tbody td:nth-child(3){\n        width:57%;\n      }\n\n      .iso27001-tabla td::before{\n        display:none;\n      }\n    }\n  <\/style>\n\n  <div class=\"tabla-wrap\">\n    <table>\n      <caption id=\"iso27001-tabla-caption\">Tabla: requisitos ISO 27001 (cl\u00e1usulas 4\u201310)<\/caption>\n      <thead>\n        <tr>\n          <th scope=\"col\">Cl\u00e1usula<\/th>\n          <th scope=\"col\">Qu\u00e9 pide (en simple)<\/th>\n          <th scope=\"col\">Entregables \/ evidencias t\u00edpicas (ejemplos)<\/th>\n        <\/tr>\n      <\/thead>\n      <tbody>\n        <tr>\n          <th scope=\"row\">4. Contexto<\/th>\n          <td data-label=\"Qu\u00e9 pide (en simple)\">\n            Entender el negocio y definir el <strong>alcance del SGSI<\/strong> (qu\u00e9 entra, qu\u00e9 no, dependencias).\n          <\/td>\n          <td data-label=\"Entregables \/ evidencias t\u00edpicas (ejemplos)\">\n            Documento de <strong>alcance<\/strong> (procesos\/servicios\/sedes), mapa de partes interesadas, inventario alto nivel de activos, l\u00edmites y exclusiones, dependencias (proveedores\/cloud).\n          <\/td>\n        <\/tr>\n\n        <tr>\n          <th scope=\"row\">5. Liderazgo<\/th>\n          <td data-label=\"Qu\u00e9 pide (en simple)\">\n            Compromiso de direcci\u00f3n, roles y una <strong>pol\u00edtica de seguridad de la informaci\u00f3n<\/strong>.\n          <\/td>\n          <td data-label=\"Entregables \/ evidencias t\u00edpicas (ejemplos)\">\n            <strong>Pol\u00edtica de seguridad de la informaci\u00f3n<\/strong>, roles y responsabilidades (RACI o similar), objetivos\/lineamientos aprobados, evidencia de apoyo (actas, emails, asignaci\u00f3n de recursos).\n          <\/td>\n        <\/tr>\n\n        <tr>\n          <th scope=\"row\">6. Planificaci\u00f3n<\/th>\n          <td data-label=\"Qu\u00e9 pide (en simple)\">\n            Gestionar <strong>riesgos asociados<\/strong> y definir objetivos de seguridad.\n          <\/td>\n          <td data-label=\"Entregables \/ evidencias t\u00edpicas (ejemplos)\">\n            Metodolog\u00eda de <strong>gesti\u00f3n de riesgos<\/strong>, criterios (impacto\/probabilidad), registro de riesgos, <strong>plan de tratamiento<\/strong>, objetivos y plan para lograrlos.\n          <\/td>\n        <\/tr>\n\n        <tr>\n          <th scope=\"row\">7. Soporte<\/th>\n          <td data-label=\"Qu\u00e9 pide (en simple)\">\n            Recursos, competencia, concientizaci\u00f3n, comunicaci\u00f3n y control documental.\n          <\/td>\n          <td data-label=\"Entregables \/ evidencias t\u00edpicas (ejemplos)\">\n            Plan de capacitaci\u00f3n\/concientizaci\u00f3n, registros de asistencia, plan de comunicaci\u00f3n, control de documentos (versiones\/aprobaciones), repositorio\/gesti\u00f3n documental.\n          <\/td>\n        <\/tr>\n\n        <tr>\n          <th scope=\"row\">8. Operaci\u00f3n<\/th>\n          <td data-label=\"Qu\u00e9 pide (en simple)\">\n            Ejecutar lo planificado: evaluaci\u00f3n y tratamiento de riesgos + operar controles.\n          <\/td>\n          <td data-label=\"Entregables \/ evidencias t\u00edpicas (ejemplos)\">\n            Evidencias de <strong>controles establecidos<\/strong> (organizacionales\/tecnol\u00f3gicos\/<strong>controles f\u00edsicos<\/strong>), procedimientos operativos, tickets, logs, reportes, pruebas de backup\/restore, gesti\u00f3n de incidentes, gesti\u00f3n de proveedores.\n          <\/td>\n        <\/tr>\n\n        <tr>\n          <th scope=\"row\">9. Evaluaci\u00f3n del desempe\u00f1o<\/th>\n          <td data-label=\"Qu\u00e9 pide (en simple)\">\n            Medir si funciona, hacer auditor\u00eda interna y revisi\u00f3n por direcci\u00f3n.\n          <\/td>\n          <td data-label=\"Entregables \/ evidencias t\u00edpicas (ejemplos)\">\n            KPIs\/KRIs, reportes de monitoreo, plan e informe de <strong>auditor\u00eda interna<\/strong>, hallazgos y acciones, acta de revisi\u00f3n por la direcci\u00f3n.\n          <\/td>\n        <\/tr>\n\n        <tr>\n          <th scope=\"row\">10. Mejora<\/th>\n          <td data-label=\"Qu\u00e9 pide (en simple)\">\n            Corregir no conformidades y mejorar continuamente el SGSI.\n          <\/td>\n          <td data-label=\"Entregables \/ evidencias t\u00edpicas (ejemplos)\">\n            Registro de no conformidades, an\u00e1lisis de causa ra\u00edz, <strong>acciones correctivas<\/strong>, seguimiento y verificaci\u00f3n de efectividad, lecciones aprendidas.\n          <\/td>\n        <\/tr>\n      <\/tbody>\n    <\/table>\n  <\/div>\n<\/section>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"anexo-a\">Anexo A: qu\u00e9 es y familias de controles<\/h3>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">El <strong>Anexo A <\/strong>es el listado de <strong>controles de seguridad que ISO 27001<\/strong> pone como referencia para proteger la informaci\u00f3n. Cada organizaci\u00f3n aplica solo los que correspondan, seg\u00fan los riesgos que haya identificado y el alcance de su SGSI.<\/p>\n\n\n\n<p class=\"lh-20\">En ISO 27001, los controles del Anexo A se agrupan en 4 familias:<\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li class=\"lh-20\"><strong>Controles organizacionales: <\/strong>pol\u00edticas, roles, gesti\u00f3n de proveedores, gesti\u00f3n de incidentes, etc.<\/li>\n\n\n\n<li class=\"lh-20\"><strong>Controles de personas: <\/strong>concienciaci\u00f3n, responsabilidades, onboarding\/offboarding, etc.<\/li>\n\n\n\n<li class=\"lh-20\"><strong>Controles f\u00edsicos: <\/strong>accesos, protecci\u00f3n de instalaciones, custodia de activos f\u00edsicos, etc.<\/li>\n\n\n\n<li class=\"lh-20\"><strong>Controles tecnol\u00f3gicos: <\/strong>controles t\u00e9cnicos como autenticaci\u00f3n, registros, cifrado, backups, etc.<\/li>\n<\/ul>\n\n\n\n<p class=\"lh-20\">Esto ayuda a evitar el error t\u00edpico: pensar que seguridad es solo tecnolog\u00eda. Un SGSI efectivo combina <strong>controles organizacionales, de personas, f\u00edsicos y tecnol\u00f3gicos<\/strong>.<\/p>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading h2-tit\" id=\"como-implementar-iso-27001\">\u00bfC\u00f3mo implementar ISO 27001?<\/h2>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Implementar ISO 27001 no es juntar un mont\u00f3n de documentos. es <strong>montar un SGSI efectivo<\/strong> que funcione en el d\u00eda a d\u00eda y que un auditor pueda verificar con evidencias. Para no perderte, pensalo como un camino de 4 pasos: <strong>definir \u2192 evaluar \u2192 controlar \u2192 mejorar<\/strong>.<\/p>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"840\" height=\"236\" src=\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/pasos-implementar-iso-27001.webp\" alt=\"Pasos para implementar ISO 27001\" class=\"wp-image-3650\" srcset=\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/pasos-implementar-iso-27001.webp 840w, https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/pasos-implementar-iso-27001-480x135.webp 480w\" sizes=\"(min-width: 0px) and (max-width: 480px) 480px, (min-width: 481px) 840px, 100vw\" \/><\/figure>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-container-core-group-is-layout-6bde5a68 wp-block-group-is-layout-constrained\" style=\"background-color:#abb7c224\">\n<h3 class=\"wp-block-heading h3-tit\">\ud83c\udfaf Paso 1 \u2014 Definir alcance y activos<\/h3>\n\n\n\n<p class=\"lh-20\">Primero se define <strong>qu\u00e9 vas a proteger y hasta d\u00f3nde llega el SGSI<\/strong>. Ac\u00e1 se decide el alcance (qu\u00e9 procesos\/servicios\/sedes entran y qu\u00e9 queda fuera) y se identifican los activos relevantes: informaci\u00f3n cr\u00edtica, informaci\u00f3n confidencial, sistemas, proveedores y activos f\u00edsicos. Este paso ordena el mapa completo: d\u00f3nde est\u00e1 la informaci\u00f3n, qui\u00e9n la usa y qu\u00e9 dependencias existen.<\/p>\n\n\n\n<p class=\"lh-20\"><strong>Entregables<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li>Documento de alcance del SGSI (incluye l\u00edmites y exclusiones)<\/li>\n\n\n\n<li>Inventario de activos (al menos los cr\u00edticos)<\/li>\n\n\n\n<li>Clasificaci\u00f3n de la informaci\u00f3n (p\u00fablica \/ interna \/ confidencial, etc.)<\/li>\n\n\n\n<li>Mapa simple de procesos\/servicios y dependencias (proveedores, cloud)<\/li>\n<\/ul>\n<\/div>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-container-core-group-is-layout-6bde5a68 wp-block-group-is-layout-constrained\" style=\"background-color:#abb7c224\">\n<h3 class=\"wp-block-heading h3-tit\">\ud83d\udcca Paso 2 \u2014 Evaluaci\u00f3n de riesgos y plan de tratamiento<\/h3>\n\n\n\n<p class=\"lh-20\">Con el alcance claro, se pasa a un <strong>an\u00e1lisis de riesgos en ciberseguridad<\/strong>: identificar <strong>amenazas actuales y posibles amenazas<\/strong>, detectar vulnerabilidades y estimar impacto\/probabilidad para priorizar los <strong>riesgos asociados<\/strong>. El objetivo es tomar decisiones justificadas: qu\u00e9 se mitiga, qu\u00e9 se transfiere, qu\u00e9 se acepta y qu\u00e9 se evita, y con qu\u00e9 controles necesarios.<\/p>\n\n\n\n<p class=\"lh-20\"><strong>Entregables<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li>Metodolog\u00eda de evaluaci\u00f3n de riesgos (criterios y escala)<\/li>\n\n\n\n<li>Registro de riesgos (priorizado)<\/li>\n\n\n\n<li>Plan de tratamiento de riesgos (mitigar\/transferir\/aceptar\/evitar)<\/li>\n\n\n\n<li>Criterios de aceptaci\u00f3n de riesgo (qui\u00e9n aprueba y cu\u00e1ndo)<\/li>\n<\/ul>\n<\/div>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-container-core-group-is-layout-6bde5a68 wp-block-group-is-layout-constrained\" style=\"background-color:#abb7c224\">\n<h3 class=\"wp-block-heading h3-tit\">\ud83e\uddfe Paso 3 \u2014 Controles, pol\u00edticas y evidencias<\/h3>\n\n\n\n<p class=\"lh-20\">En este paso se baja todo a la realidad: se definen las reglas b\u00e1sicas (pol\u00edticas y procedimientos, como la pol\u00edtica de seguridad de la informaci\u00f3n) y se <strong>implementan los controles<\/strong> necesarios para los riesgos identificados, combinando controles organizacionales, controles tecnol\u00f3gicos y controles f\u00edsicos. Lo clave en ISO 27001 es que no quede \u201cen papel\u201d: hay que poder <strong>mostrar evidencias<\/strong> de qu\u00e9 se aplica en el d\u00eda a d\u00eda (registros, reportes, tickets, logs, capacitaciones y revisiones).<\/p>\n\n\n\n<p class=\"lh-20\"><strong>Entregables<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li>Pol\u00edtica de seguridad de la informaci\u00f3n + pol\u00edticas\/procedimientos clave<\/li>\n\n\n\n<li>SoA (Declaraci\u00f3n de Aplicabilidad) si la vas a incluir en esta etapa<\/li>\n\n\n\n<li>Implementaci\u00f3n de controles (organizacionales, f\u00edsicos y tecnol\u00f3gicos)<\/li>\n\n\n\n<li>Evidencias operativas: registros, reportes, tickets, <strong><a href=\"\/blog\/logs-analisis-gestion\/\">logs<\/a><\/strong>, actas, capacitaciones<\/li>\n\n\n\n<li>Plan y registros de concienciaci\u00f3n\/capacitaci\u00f3n (por ejemplo, formaci\u00f3n en <strong><a href=\"\/blog\/phishing-ejemplos\/\">phishing<\/a> <\/strong>o <strong><a href=\"https:\/\/tec5.tech\/blog\/phishing-ejemplos\/\" type=\"post\" id=\"3141\">malware<\/a><\/strong>)<\/li>\n<\/ul>\n<\/div>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-container-core-group-is-layout-6bde5a68 wp-block-group-is-layout-constrained\" style=\"background-color:#abb7c224\">\n<h3 class=\"wp-block-heading h3-tit\">\ud83d\udd0d Paso 4 \u2014 Auditor\u00eda interna y mejora<\/h3>\n\n\n\n<p class=\"lh-20\">Antes de pensar en certificaci\u00f3n, se valida que el SGSI funciona: se hace <strong><a href=\"\/blog\/auditoria-inteligencia-artificial-ciberseguridad\/\">auditor\u00eda de ciberseguridad<\/a> interna<\/strong>, se revisa el desempe\u00f1o con direcci\u00f3n y se corrigen fallos. Este paso activa la <strong>mejora continua<\/strong>: levantar no conformidades, ejecutar acciones correctivas y ajustar riesgos\/controles cuando cambian procesos o aparecen nuevas amenazas.<\/p>\n\n\n\n<p class=\"lh-20\"><strong>Entregables<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li>Plan e informe de auditor\u00eda interna<\/li>\n\n\n\n<li>Registro de hallazgos\/no conformidades y acciones correctivas<\/li>\n\n\n\n<li>Acta de revisi\u00f3n por la direcci\u00f3n<\/li>\n\n\n\n<li>Actualizaci\u00f3n del registro de riesgos y del plan de tratamiento (si aplica)<\/li>\n\n\n\n<li>Plan de mejora continua y seguimiento<\/li>\n<\/ul>\n<\/div>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading h2-tit\" id=\"certificacion-iso-27001-precios-tiempos\">Certificaci\u00f3n ISO 27001: precios y tiempos<\/h2>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"costo-certificacion-iso-27001\">\u00bfCu\u00e1nto cuesta la certificaci\u00f3n ISO 27001?<\/h3>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">La certificaci\u00f3n ISO 27001 suele moverse, de forma orientativa, entre <strong>USD 10.000 y USD 75.000+<\/strong> en un <strong>ciclo de 3 a\u00f1os<\/strong>, seg\u00fan el tama\u00f1o y la complejidad (alcance, sedes y d\u00edas de auditor\u00eda). Ese monto normalmente incluye <strong>preparaci\u00f3n\/implementaci\u00f3n<\/strong>, la <strong>auditor\u00eda inicial<\/strong>, las <strong>auditor\u00edas de seguimiento anuales<\/strong> y la <strong>recertificaci\u00f3n<\/strong>. En general, las pymes quedan m\u00e1s cerca del rango bajo y las organizaciones grandes m\u00e1s cerca del alto.<\/p>\n\n\n\n<p class=\"lh-20\">Por otro lado, se deben considerar los <strong>costos de implementaci\u00f3n<\/strong> de manera adicional. Ac\u00e1 entra todo lo necesario para \u201cllegar listo\u201d: el tiempo del equipo interno, la consultor\u00eda (si aplica), el gap analysis, herramientas y ajustes t\u00e9cnicos, la capacitaci\u00f3n\/concienciaci\u00f3n, y la documentaci\u00f3n y evidencias que despu\u00e9s se revisan en auditor\u00eda. Como rango orientativo, esto puede ir desde unos pocos miles de d\u00f3lares si la organizaci\u00f3n ya tiene buena madurez y controles funcionando, hasta decenas de miles si se arranca pr\u00e1cticamente desde cero.<\/p>\n\n\n\n<div style=\"height:8px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"has-text-align-right has-small-font-size\"><em>Fuentes: <a href=\"https:\/\/drata.com\/grc-central\/iso-27001\/certification-cost\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Drata<\/a>. How Much Does ISO 27001 Certification Cost?.<br><a href=\"https:\/\/secureframe.com\/hub\/iso-27001\/certification-cost\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Secureframe<\/a>. ISO 27001 Certification Costs.<\/em><\/p>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"cuanto-tarda-certificacion-iso-27001\">\u00bfCu\u00e1nto tarda la certificaci\u00f3n ISO 27001?<\/h3>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">La certificaci\u00f3n ISO 27001 suele tardar, de forma orientativa, entre <strong>6 y 12 meses<\/strong> desde que arranc\u00e1s hasta tener el certificado, aunque puede ser <strong>3 a 6 meses si sos una pyme<\/strong> con alcance acotado y ya ten\u00e9s buena base de controles y evidencias, o 12 a 18+ meses en organizaciones grandes\/complex (muchas sedes, muchos procesos y proveedores cr\u00edticos). Ese tiempo incluye poner el SGSI en marcha, generar documentaci\u00f3n y evidencias reales, hacer ajustes y pasar la auditor\u00eda; y se alarga principalmente por alcance demasiado grande, baja madurez inicial, falta de tiempo del equipo interno y demoras en cerrar hallazgos.<\/p>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading h2-tit\" id=\"certificacion-iso-27001-argentina\">Certificaci\u00f3n ISO 27001 en Argentina<\/h2>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">En Argentina, la certificaci\u00f3n ISO\/IEC 27001 consiste en que una <strong>entidad certificadora acreditada<\/strong> audita tu SGSI y valida que cumple los requisitos de la norma dentro del alcance definido (proceso, servicio, unidad o sede). El proceso es el mismo que en cualquier pa\u00eds: evaluaci\u00f3n del sistema, verificaci\u00f3n de que los controles necesarios est\u00e1n implementados y que hay evidencias de operaci\u00f3n y mejora continua.<\/p>\n\n\n\n<p class=\"lh-20\"><strong>Qu\u00e9 mirar antes de elegir certificadora<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list lista\">\n<li class=\"lh-20\">Que tenga acreditaci\u00f3n reconocida y que el certificado sea aceptado por tus clientes\/licitaciones.<\/li>\n\n\n\n<li class=\"lh-20\">Que el presupuesto detalle: alcance, d\u00edas de auditor\u00eda, auditor\u00edas de seguimiento y recertificaci\u00f3n, m\u00e1s posibles extras (viajes, sedes, ampliaci\u00f3n de alcance).<\/li>\n\n\n\n<li class=\"lh-20\">Que tenga experiencia auditando organizaciones similares (pyme vs corporativo \/ industria).<\/li>\n<\/ul>\n\n\n\n<div style=\"height:8px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"has-text-align-right has-small-font-size\"><em>Fuente: <a href=\"https:\/\/www.argentina.gob.ar\/aaip\/datospersonales\" target=\"_blank\" rel=\"noreferrer noopener nofollow\">Argentina.gob<\/a>. Protecci\u00f3n de datos personales.<\/em><\/p>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading h2-tit\" id=\"errores-comunes-certificacion-iso-27001-pymes\">Errores comunes de certificaci\u00f3n ISO 27001 (en pymes)<\/h2>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">En pymes, ISO 27001 suele fallar por el mismo motivo: se intenta \u201cllegar\u201d a la auditor\u00eda r\u00e1pido, pero sin construir un <strong>SGSI efectivo<\/strong> que opere de verdad. Y cuando el sistema no est\u00e1 vivo, se nota: en entrevistas, en evidencias y en la trazabilidad entre riesgos, controles y documentaci\u00f3n. Estos son los tres errores m\u00e1s t\u00edpicos (y m\u00e1s evitables).<\/p>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"documentacion-auditoria-sin-operacion-real\">\u26a0\ufe0f Documentaci\u00f3n \u201cpara la auditor\u00eda\u201d sin operaci\u00f3n real<\/h3>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Un error frecuente es crear pol\u00edticas y procedimientos muy completos, pero que luego no se aplican en la pr\u00e1ctica. En esos casos, el SGSI queda \u201cbien documentado\u201d, pero sin evidencias de ejecuci\u00f3n: faltan registros, revisiones peri\u00f3dicas, seguimiento de acciones o trazabilidad de decisiones. Para evitarlo, conviene priorizar documentaci\u00f3n breve y \u00fatil, y acompa\u00f1arla con evidencias reales de uso (por ejemplo: tickets, actas, reportes, logs, capacitaciones y revisiones de accesos).<\/p>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"alcance-mal-definido\">\u26a0\ufe0f Alcance mal definido<\/h3>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">Otro problema habitual es definir un alcance demasiado amplio, lo que vuelve la implementaci\u00f3n dif\u00edcil de sostener con recursos limitados, o demasiado reducido, lo que impide cumplir el objetivo por el que se inici\u00f3 el proyecto (cliente, licitaci\u00f3n o necesidad interna). Tambi\u00e9n ocurre cuando no se consideran dependencias como proveedores, cloud o sedes. Un alcance correcto es espec\u00edfico, coherente con el negocio y viable de operar en el tiempo.<\/p>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading h3-tit\" id=\"riesgos-sin-criterios\">\u26a0\ufe0f Riesgos sin criterios ni trazabilidad (y SoA d\u00e9bil)<\/h3>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"lh-20\">En muchas pymes la evaluaci\u00f3n de riesgos se arma sin criterios consistentes (impacto\/probabilidad) o sin una conexi\u00f3n clara entre riesgos, controles y evidencias (por ejemplo, <strong><a href=\"\/blog\/pentesting-entornos-empresariales\/\">pentesting<\/a><\/strong> continuo). Esto suele terminar en una SoA (Declaraci\u00f3n de Aplicabilidad) poco s\u00f3lida: controles marcados sin justificaci\u00f3n o sin relaci\u00f3n directa con los riesgos identificados. La forma m\u00e1s efectiva de fortalecer esta parte es asegurar trazabilidad: cada riesgo relevante debe tener un tratamiento definido, controles seleccionados y evidencias verificables de que esos controles funcionan.<\/p>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading h2-tit\" id=\"preguntas-frecuentes-iso-27001\">Preguntas frecuentes sobre ISO 27001<\/h2>\n\n\n\n<div style=\"height:24px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<section class=\"faq-fold\" aria-label=\"FAQ plegable\" id=\"diferencia-iso-27001-27002\">\n  <style>\n    .faq-fold{\n      --bg:rgba(238,238,238,.48);\n      --text:#111827;\n      --muted:#374151;\n      --ring:#DB312B;\n\n      max-width: 980px;\n      margin: 0 auto;\n      padding: 0 12px;\n      font-family: system-ui,-apple-system,Segoe UI,Roboto,Helvetica,Arial,sans-serif;\n    }\n\n    .faq-item{\n      background: var(--bg);\n      border-radius: 4px;\n      padding: 0;\n      box-shadow: inset 0 0 0 1px var(--ring);\n      overflow: hidden;\n    }\n\n    .faq-item summary{\n      list-style: none;\n      cursor: pointer;\n      padding: 18px 18px;\n      display: flex;\n      align-items: center;\n      justify-content: space-between;\n      gap: 14px;\n      user-select: none;\n    }\n\n    .faq-item summary::-webkit-details-marker{ display:none; }\n\n    .faq-q{\n      margin: 0;\n      font-size: 16px;\n      line-height: 1.25;\n      font-weight: 800;\n      color: var(--text);\n    }\n\n    .faq-ico{\n      width: 22px;\n      height: 22px;\n      flex: 0 0 22px;\n      display: inline-flex;\n      align-items: center;\n      justify-content: center;\n      border-radius: 999px;\n      box-shadow: inset 0 0 0 1px rgba(17,24,39,.18);\n      color: rgba(17,24,39,.8);\n    }\n\n    .faq-ico svg{\n      width: 14px;\n      height: 14px;\n      display:block;\n    }\n\n    .faq-item summary .ico-plus{ display:block !important; }\n    .faq-item summary .ico-minus{ display:none !important; }\n    .faq-item[open] summary .ico-plus{ display:none !important; }\n    .faq-item[open] summary .ico-minus{ display:block !important; }\n\n    .faq-a{\n      padding: 0 18px 18px;\n      color: var(--muted);\n      font-size: 15px;\n      line-height: 1.8;\n    }\n\n    .faq-a p{\n      margin: 0 0 1rem;\n    }\n\n    .faq-a p:last-child{\n      margin-bottom: 0;\n    }\n\n    .faq-a strong{\n      font-weight: 800;\n      color: var(--text);\n    }\n\n    .faq-a ul{\n      margin: 0 0 1rem 1.1rem;\n      padding: 0;\n    }\n\n    .faq-a li{\n      margin: 0 0 0.75rem;\n    }\n\n    .faq-a li:last-child{\n      margin-bottom: 0;\n    }\n\n    .faq-item summary:focus-visible{\n      outline: 3px solid rgba(37,99,235,.25);\n      outline-offset: 2px;\n    }\n\n    @media (min-width: 860px){\n      .faq-item summary{ padding: 20px 22px; }\n      .faq-a{ padding: 0 22px 20px; }\n      .faq-q{ font-size: 17px; }\n    }\n  <\/style>\n\n  <details class=\"faq-item\">\n    <summary>\n      <h3 class=\"faq-q\">\u00bfCu\u00e1l es la diferencia entre las normas ISO 27001 y 27002?<\/h3>\n\n      <span class=\"faq-ico\" aria-hidden=\"true\">\n        <svg class=\"ico-plus\" viewBox=\"0 0 24 24\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"2.6\" stroke-linecap=\"round\">\n          <path d=\"M12 5v14\"><\/path>\n          <path d=\"M5 12h14\"><\/path>\n        <\/svg>\n\n        <svg class=\"ico-minus\" viewBox=\"0 0 24 24\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"2.6\" stroke-linecap=\"round\">\n          <path d=\"M5 12h14\"><\/path>\n        <\/svg>\n      <\/span>\n    <\/summary>\n\n    <div class=\"faq-a\">\n      <p>\n        La diferencia principal es que <strong>ISO 27001 es la norma certificable<\/strong> (define los requisitos que tu SGSI debe cumplir) y <strong>ISO 27002 es una gu\u00eda<\/strong> (explica con m\u00e1s detalle c\u00f3mo implementar los controles de seguridad).\n      <\/p>\n\n      <ul>\n        <li>\n          <strong>ISO 27001<\/strong> = \u201cqu\u00e9\u201d y \u201ccon qu\u00e9 requisitos\u201d: establece el marco del SGSI, exige gesti\u00f3n de riesgos, objetivos, auditor\u00edas, mejora continua y una Declaraci\u00f3n de Aplicabilidad (SoA) que justifica qu\u00e9 controles aplican y cu\u00e1les no.\n        <\/li>\n        <li>\n          <strong>ISO 27002<\/strong> = \u201cc\u00f3mo\u201d: desarrolla buenas pr\u00e1cticas y recomendaciones para aplicar los controles (por ejemplo, acceso, seguridad f\u00edsica, criptograf\u00eda, etc.), con mucho m\u00e1s detalle que el Anexo A.\n        <\/li>\n      <\/ul>\n\n      <p>\n        En resumen, <strong>la ISO 27001 se puede certificar, mientras que la ISO 27002 no se certifica (se usa como soporte para implementar mejor lo que ISO 27001 pide).<\/strong>\n      <\/p>\n    <\/div>\n  <\/details>\n<\/section>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<section class=\"faq-fold\" aria-label=\"FAQ plegable\" id=\"iso-27001-obligatoria\">\n  <style>\n    .faq-fold{\n      --bg:rgba(238,238,238,.48);\n      --text:#111827;\n      --muted:#374151;\n      --ring:#DB312B;\n\n      max-width: 980px;\n      margin: 0 auto;\n      padding: 0 12px;\n      font-family: system-ui,-apple-system,Segoe UI,Roboto,Helvetica,Arial,sans-serif;\n    }\n\n    .faq-item{\n      background: var(--bg);\n      border-radius: 4px;\n      padding: 0;\n      box-shadow: inset 0 0 0 1px var(--ring);\n      overflow: hidden;\n    }\n\n    .faq-item summary{\n      list-style: none;\n      cursor: pointer;\n      padding: 18px 18px;\n      display: flex;\n      align-items: center;\n      justify-content: space-between;\n      gap: 14px;\n      user-select: none;\n    }\n\n    .faq-item summary::-webkit-details-marker{ display:none; }\n\n    .faq-q{\n      margin: 0;\n      font-size: 16px;\n      line-height: 1.25;\n      font-weight: 800;\n      color: var(--text);\n    }\n\n    .faq-ico{\n      width: 22px;\n      height: 22px;\n      flex: 0 0 22px;\n      display: inline-flex;\n      align-items: center;\n      justify-content: center;\n      border-radius: 999px;\n      box-shadow: inset 0 0 0 1px rgba(17,24,39,.18);\n      color: rgba(17,24,39,.8);\n    }\n\n    .faq-ico svg{\n      width: 14px;\n      height: 14px;\n      display:block;\n    }\n\n    .faq-item summary .ico-plus{ display:block !important; }\n    .faq-item summary .ico-minus{ display:none !important; }\n    .faq-item[open] summary .ico-plus{ display:none !important; }\n    .faq-item[open] summary .ico-minus{ display:block !important; }\n\n    .faq-a{\n      padding: 0 18px 18px;\n      color: var(--muted);\n      font-size: 15px;\n      line-height: 1.8;\n    }\n\n    .faq-a p{\n      margin: 0 0 1rem;\n    }\n\n    .faq-a p:last-child{\n      margin-bottom: 0;\n    }\n\n    .faq-a strong{\n      font-weight: 800;\n      color: var(--text);\n    }\n\n    .faq-item summary:focus-visible{\n      outline: 3px solid rgba(37,99,235,.25);\n      outline-offset: 2px;\n    }\n\n    @media (min-width: 860px){\n      .faq-item summary{ padding: 20px 22px; }\n      .faq-a{ padding: 0 22px 20px; }\n      .faq-q{ font-size: 17px; }\n    }\n  <\/style>\n\n  <details class=\"faq-item\">\n    <summary>\n      <h3 class=\"faq-q\">\u00bfISO 27001 es obligatoria?<\/h3>\n\n      <span class=\"faq-ico\" aria-hidden=\"true\">\n        <svg class=\"ico-plus\" viewBox=\"0 0 24 24\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"2.6\" stroke-linecap=\"round\">\n          <path d=\"M12 5v14\"><\/path>\n          <path d=\"M5 12h14\"><\/path>\n        <\/svg>\n\n        <svg class=\"ico-minus\" viewBox=\"0 0 24 24\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"2.6\" stroke-linecap=\"round\">\n          <path d=\"M5 12h14\"><\/path>\n        <\/svg>\n      <\/span>\n    <\/summary>\n\n    <div class=\"faq-a\">\n      <p>\n        ISO 27001 <strong>no suele ser obligatoria por ley<\/strong>: es una norma internacional <strong>voluntaria<\/strong>.\n      <\/p>\n\n      <p>\n        Pero en la pr\u00e1ctica puede volverse \u201cobligatoria\u201d por <strong>exigencia comercial o contractual<\/strong>, por ejemplo si un cliente, una licitaci\u00f3n o una auditor\u00eda de proveedores te pide ISO 27001 (o un SGSI equivalente) como condici\u00f3n para contratar.\n      <\/p>\n\n      <p>\n        En Argentina, aunque la ley de datos personales (Ley 25.326) exige proteger datos y cumplir obligaciones, <strong>no impone ISO 27001 como requisito espec\u00edfico<\/strong>; lo que hace ISO 27001 es ayudarte a demostrar controles y evidencias de forma ordenada.\n      <\/p>\n    <\/div>\n  <\/details>\n<\/section>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<section class=\"faq-fold\" aria-label=\"FAQ plegable\" id=\"como-obtiene-certificacion-iso-27001\">\n  <style>\n    .faq-fold{\n      --bg:rgba(238,238,238,.48);\n      --text:#111827;\n      --muted:#374151;\n      --ring:#DB312B;\n\n      max-width: 980px;\n      margin: 0 auto;\n      padding: 0 12px;\n      font-family: system-ui,-apple-system,Segoe UI,Roboto,Helvetica,Arial,sans-serif;\n    }\n\n    .faq-item{\n      background: var(--bg);\n      border-radius: 4px;\n      padding: 0;\n      box-shadow: inset 0 0 0 1px var(--ring);\n      overflow: hidden;\n    }\n\n    .faq-item summary{\n      list-style: none;\n      cursor: pointer;\n      padding: 18px 18px;\n      display: flex;\n      align-items: center;\n      justify-content: space-between;\n      gap: 14px;\n      user-select: none;\n    }\n\n    .faq-item summary::-webkit-details-marker{ display:none; }\n\n    .faq-q{\n      margin: 0;\n      font-size: 16px;\n      line-height: 1.25;\n      font-weight: 800;\n      color: var(--text);\n    }\n\n    .faq-ico{\n      width: 22px;\n      height: 22px;\n      flex: 0 0 22px;\n      display: inline-flex;\n      align-items: center;\n      justify-content: center;\n      border-radius: 999px;\n      box-shadow: inset 0 0 0 1px rgba(17,24,39,.18);\n      color: rgba(17,24,39,.8);\n    }\n\n    .faq-ico svg{\n      width: 14px;\n      height: 14px;\n      display:block;\n    }\n\n    .faq-item summary .ico-plus{ display:block !important; }\n    .faq-item summary .ico-minus{ display:none !important; }\n    .faq-item[open] summary .ico-plus{ display:none !important; }\n    .faq-item[open] summary .ico-minus{ display:block !important; }\n\n    .faq-a{\n      padding: 0 18px 18px;\n      color: var(--muted);\n      font-size: 15px;\n      line-height: 1.8;\n    }\n\n    .faq-a p{\n      margin: 0 0 1rem;\n    }\n\n    .faq-a p:last-child{\n      margin-bottom: 0;\n    }\n\n    .faq-a strong{\n      font-weight: 800;\n      color: var(--text);\n    }\n\n    .faq-a ol{\n      margin: 0 0 0 1.4rem;\n      padding: 0;\n    }\n\n    .faq-a li{\n      margin: 0 0 0.8rem;\n    }\n\n    .faq-a li:last-child{\n      margin-bottom: 0;\n    }\n\n    .faq-item summary:focus-visible{\n      outline: 3px solid rgba(37,99,235,.25);\n      outline-offset: 2px;\n    }\n\n    @media (min-width: 860px){\n      .faq-item summary{ padding: 20px 22px; }\n      .faq-a{ padding: 0 22px 20px; }\n      .faq-q{ font-size: 17px; }\n    }\n  <\/style>\n\n  <details class=\"faq-item\">\n    <summary>\n      <h3 class=\"faq-q\">\u00bfC\u00f3mo se obtiene la certificaci\u00f3n ISO 27001?<\/h3>\n\n      <span class=\"faq-ico\" aria-hidden=\"true\">\n        <svg class=\"ico-plus\" viewBox=\"0 0 24 24\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"2.6\" stroke-linecap=\"round\">\n          <path d=\"M12 5v14\"><\/path>\n          <path d=\"M5 12h14\"><\/path>\n        <\/svg>\n\n        <svg class=\"ico-minus\" viewBox=\"0 0 24 24\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"2.6\" stroke-linecap=\"round\">\n          <path d=\"M5 12h14\"><\/path>\n        <\/svg>\n      <\/span>\n    <\/summary>\n\n    <div class=\"faq-a\">\n      <p>\n        Se obtiene <strong>implementando un SGSI (Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n)<\/strong> que cumpla ISO 27001 y <strong>pasando una auditor\u00eda externa<\/strong> realizada por una <strong>entidad certificadora acreditada<\/strong> (la ISO no \u201ccertifica\u201d directamente). En la pr\u00e1ctica, los pasos son: armar el sistema basado en riesgos, demostrar que funciona con evidencias, auditarlo internamente y luego validarlo con un tercero.\n      <\/p>\n\n      <p><strong>Pasos t\u00edpicos:<\/strong><\/p>\n\n      <ol>\n        <li><strong>Definir el alcance<\/strong> del SGSI (qu\u00e9 procesos\/servicios\/sedes certific\u00e1s).<\/li>\n        <li><strong>Evaluar riesgos<\/strong> (amenazas + vulnerabilidades + impacto) y armar un plan de tratamiento.<\/li>\n        <li><strong>Implementar controles y documentaci\u00f3n<\/strong> (pol\u00edticas, procedimientos y la SoA si la us\u00e1s), y generar evidencias reales (registros, reportes, logs, tickets, capacitaciones, revisiones).<\/li>\n        <li>Hacer <strong>auditor\u00eda interna<\/strong> y revisi\u00f3n de direcci\u00f3n, y corregir lo que no cierre.<\/li>\n        <li>Contratar una certificadora, realizar la <strong>auditor\u00eda externa<\/strong>, cerrar hallazgos\/no conformidades si aparecen y recibir el certificado.<\/li>\n        <li>Mantenerlo con <strong>auditor\u00edas de seguimiento<\/strong> y mejora continua durante el ciclo de certificaci\u00f3n.<\/li>\n      <\/ol>\n    <\/div>\n  <\/details>\n<\/section>\n\n\n\n<div style=\"height:16px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<section class=\"faq-fold\" aria-label=\"FAQ plegable\" id=\"ultima-version-iso-27001\">\n  <style>\n    .faq-fold{\n      --bg:rgba(238,238,238,.48);\n      --text:#111827;\n      --muted:#374151;\n      --ring:#DB312B;\n\n      max-width: 980px;\n      margin: 0 auto;\n      padding: 0 12px;\n      font-family: system-ui,-apple-system,Segoe UI,Roboto,Helvetica,Arial,sans-serif;\n    }\n\n    .faq-item{\n      background: var(--bg);\n      border-radius: 4px;\n      padding: 0;\n      box-shadow: inset 0 0 0 1px var(--ring);\n      overflow: hidden;\n    }\n\n    .faq-item summary{\n      list-style: none;\n      cursor: pointer;\n      padding: 18px 18px;\n      display: flex;\n      align-items: center;\n      justify-content: space-between;\n      gap: 14px;\n      user-select: none;\n    }\n\n    .faq-item summary::-webkit-details-marker{ display:none; }\n\n    .faq-q{\n      margin: 0;\n      font-size: 16px;\n      line-height: 1.25;\n      font-weight: 800;\n      color: var(--text);\n    }\n\n    .faq-ico{\n      width: 22px;\n      height: 22px;\n      flex: 0 0 22px;\n      display: inline-flex;\n      align-items: center;\n      justify-content: center;\n      border-radius: 999px;\n      box-shadow: inset 0 0 0 1px rgba(17,24,39,.18);\n      color: rgba(17,24,39,.8);\n    }\n\n    .faq-ico svg{\n      width: 14px;\n      height: 14px;\n      display:block;\n    }\n\n    .faq-item summary .ico-plus{ display:block !important; }\n    .faq-item summary .ico-minus{ display:none !important; }\n    .faq-item[open] summary .ico-plus{ display:none !important; }\n    .faq-item[open] summary .ico-minus{ display:block !important; }\n\n    .faq-a{\n      padding: 0 18px 18px;\n      color: var(--muted);\n      font-size: 15px;\n      line-height: 1.8;\n    }\n\n    .faq-a p{\n      margin: 0 0 1rem;\n    }\n\n    .faq-a p:last-child{\n      margin-bottom: 0;\n    }\n\n    .faq-a strong{\n      font-weight: 800;\n      color: var(--text);\n    }\n\n    .faq-source{\n      margin-top: 1rem;\n      font-size: 14px;\n      color: var(--muted);\n    }\n\n    .faq-source a{\n      color: inherit;\n      text-decoration: underline;\n      text-underline-offset: 2px;\n    }\n\n    .faq-item summary:focus-visible{\n      outline: 3px solid rgba(37,99,235,.25);\n      outline-offset: 2px;\n    }\n\n    @media (min-width: 860px){\n      .faq-item summary{ padding: 20px 22px; }\n      .faq-a{ padding: 0 22px 20px; }\n      .faq-q{ font-size: 17px; }\n    }\n  <\/style>\n\n  <details class=\"faq-item\">\n    <summary>\n      <h3 class=\"faq-q\">\u00bfCu\u00e1l es la \u00faltima versi\u00f3n de ISO 27001?<\/h3>\n\n      <span class=\"faq-ico\" aria-hidden=\"true\">\n        <svg class=\"ico-plus\" viewBox=\"0 0 24 24\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"2.6\" stroke-linecap=\"round\">\n          <path d=\"M12 5v14\"><\/path>\n          <path d=\"M5 12h14\"><\/path>\n        <\/svg>\n\n        <svg class=\"ico-minus\" viewBox=\"0 0 24 24\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"2.6\" stroke-linecap=\"round\">\n          <path d=\"M5 12h14\"><\/path>\n        <\/svg>\n      <\/span>\n    <\/summary>\n\n    <div class=\"faq-a\">\n      <p>\n        La \u00faltima versi\u00f3n de la norma es <strong>ISO\/IEC 27001:2022<\/strong> (publicada en octubre de 2022).\n      <\/p>\n\n      <p>\n        Esta edici\u00f3n reemplaza a la <strong>ISO\/IEC 27001:2013<\/strong> y actualiza sobre todo el Anexo A, que pas\u00f3 a 93 controles, reorganizados en 4 familias (organizacionales, personas, f\u00edsicos y tecnol\u00f3gicos) e incorporando <strong>nuevos controles<\/strong> junto con fusiones y ajustes de otros.\n      <\/p>\n\n      <p>\n        Si tu empresa estaba certificada en 2013, el plazo de transici\u00f3n finaliz\u00f3 el <strong>31 de octubre de 2025<\/strong> (desde esa fecha, la referencia v\u00e1lida es 27001:2022).\n      <\/p>\n\n      <p class=\"faq-source\">\n        Fuente:\n        <a href=\"https:\/\/webstore.iec.ch\/en\/publication\/79694\" rel=\"nofollow\">IEC<\/a>.\n        ISO\/IEC 27001.\n      <\/p>\n    <\/div>\n  <\/details>\n<\/section>\n\n\n\n<div style=\"height:45px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n","protected":false},"excerpt":{"rendered":"<p>La seguridad de la informaci\u00f3n de ISO 27001 es la aplicaci\u00f3n de la norma ISO\/IEC 27001 para implementar un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) que protege la confidencialidad, integridad y disponibilidad de la informaci\u00f3n mediante gesti\u00f3n de riesgos y mejora continua. En un contexto donde las empresas y, sobre todo, las [&hellip;]<\/p>\n","protected":false},"author":6,"featured_media":3662,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[415],"class_list":["post-3646","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-notas","tag-ciberseguridad"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.1.1 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>ISO 27001: Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla<\/title>\n<meta name=\"description\" content=\"Gu\u00eda de certificaci\u00f3n ISO 27001: qu\u00e9 exige la norma, c\u00f3mo implementar un SGSI, cu\u00e1nto cuesta, cu\u00e1nto tarda y qu\u00e9 errores evitar en pymes y empresas.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"ISO 27001: Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla\" \/>\n<meta property=\"og:description\" content=\"Gu\u00eda de certificaci\u00f3n ISO 27001: qu\u00e9 exige la norma, c\u00f3mo implementar un SGSI, cu\u00e1nto cuesta, cu\u00e1nto tarda y qu\u00e9 errores evitar en pymes y empresas.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/\" \/>\n<meta property=\"og:site_name\" content=\"Tec5.Tech\" \/>\n<meta property=\"article:published_time\" content=\"2026-03-12T17:50:15+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-03-25T20:33:28+00:00\" \/>\n<meta property=\"og:image\" content=\"http:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1318\" \/>\n\t<meta property=\"og:image:height\" content=\"494\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"Fernando Cabello\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Fernando Cabello\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"16 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/\"},\"author\":{\"name\":\"Fernando Cabello\",\"@id\":\"https:\/\/tec5.tech\/blog\/#\/schema\/person\/1a7385ab519b7465e738498135bd00a8\"},\"headline\":\"ISO 27001 (Seguridad de la informaci\u00f3n): Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla\",\"datePublished\":\"2026-03-12T17:50:15+00:00\",\"dateModified\":\"2026-03-25T20:33:28+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/\"},\"wordCount\":3524,\"publisher\":{\"@id\":\"https:\/\/tec5.tech\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp\",\"keywords\":[\"Ciberseguridad\"],\"articleSection\":[\"Notas de Inter\u00e9s\"],\"inLanguage\":\"es\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/\",\"url\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/\",\"name\":\"ISO 27001: Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla\",\"isPartOf\":{\"@id\":\"https:\/\/tec5.tech\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp\",\"datePublished\":\"2026-03-12T17:50:15+00:00\",\"dateModified\":\"2026-03-25T20:33:28+00:00\",\"description\":\"Gu\u00eda de certificaci\u00f3n ISO 27001: qu\u00e9 exige la norma, c\u00f3mo implementar un SGSI, cu\u00e1nto cuesta, cu\u00e1nto tarda y qu\u00e9 errores evitar en pymes y empresas.\",\"breadcrumb\":{\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#primaryimage\",\"url\":\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp\",\"contentUrl\":\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp\",\"width\":1318,\"height\":494,\"caption\":\"ISO 27001 (Seguridad de la informaci\u00f3n)\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Inicio\",\"item\":\"https:\/\/tec5.tech\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"ISO 27001 (Seguridad de la informaci\u00f3n): Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/tec5.tech\/blog\/#website\",\"url\":\"https:\/\/tec5.tech\/blog\/\",\"name\":\"Tec5.Tech\",\"description\":\"Actualidad y Tecnolog\u00eda\",\"publisher\":{\"@id\":\"https:\/\/tec5.tech\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/tec5.tech\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"es\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/tec5.tech\/blog\/#organization\",\"name\":\"Tec5.Tech\",\"url\":\"https:\/\/tec5.tech\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/tec5.tech\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2021\/04\/Logo-Horizontal.jpg\",\"contentUrl\":\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2021\/04\/Logo-Horizontal.jpg\",\"width\":1200,\"height\":300,\"caption\":\"Tec5.Tech\"},\"image\":{\"@id\":\"https:\/\/tec5.tech\/blog\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/tec5.tech\/blog\/#\/schema\/person\/1a7385ab519b7465e738498135bd00a8\",\"name\":\"Fernando Cabello\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/tec5.tech\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2025\/11\/perfil-fer-2-150x150.png\",\"contentUrl\":\"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2025\/11\/perfil-fer-2-150x150.png\",\"caption\":\"Fernando Cabello\"},\"description\":\"Cofundador de Tec5.Tech, una empresa l\u00edder de tecnolog\u00eda en Argentina. Su liderazgo orientado a personas y resultados le vali\u00f3 a Tec5.Tech el reconocimiento de Great Place to Work (categor\u00eda PyMEs). Fernando impulsa iniciativas de innovaci\u00f3n y crecimiento que conectan negocio y tecnolog\u00eda con foco en impacto real para los clientes.\",\"sameAs\":[\"http:\/\/tec5.tech\",\"https:\/\/www.instagram.com\/eltaty.cabello\/\",\"https:\/\/www.linkedin.com\/in\/fernando-cabello\/\"],\"url\":\"https:\/\/tec5.tech\/blog\/author\/fernando-cabello\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"ISO 27001: Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla","description":"Gu\u00eda de certificaci\u00f3n ISO 27001: qu\u00e9 exige la norma, c\u00f3mo implementar un SGSI, cu\u00e1nto cuesta, cu\u00e1nto tarda y qu\u00e9 errores evitar en pymes y empresas.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/","og_locale":"es_ES","og_type":"article","og_title":"ISO 27001: Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla","og_description":"Gu\u00eda de certificaci\u00f3n ISO 27001: qu\u00e9 exige la norma, c\u00f3mo implementar un SGSI, cu\u00e1nto cuesta, cu\u00e1nto tarda y qu\u00e9 errores evitar en pymes y empresas.","og_url":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/","og_site_name":"Tec5.Tech","article_published_time":"2026-03-12T17:50:15+00:00","article_modified_time":"2026-03-25T20:33:28+00:00","og_image":[{"width":1318,"height":494,"url":"http:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp","type":"image\/webp"}],"author":"Fernando Cabello","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"Fernando Cabello","Tiempo de lectura":"16 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#article","isPartOf":{"@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/"},"author":{"name":"Fernando Cabello","@id":"https:\/\/tec5.tech\/blog\/#\/schema\/person\/1a7385ab519b7465e738498135bd00a8"},"headline":"ISO 27001 (Seguridad de la informaci\u00f3n): Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla","datePublished":"2026-03-12T17:50:15+00:00","dateModified":"2026-03-25T20:33:28+00:00","mainEntityOfPage":{"@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/"},"wordCount":3524,"publisher":{"@id":"https:\/\/tec5.tech\/blog\/#organization"},"image":{"@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#primaryimage"},"thumbnailUrl":"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp","keywords":["Ciberseguridad"],"articleSection":["Notas de Inter\u00e9s"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/","url":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/","name":"ISO 27001: Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla","isPartOf":{"@id":"https:\/\/tec5.tech\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#primaryimage"},"image":{"@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#primaryimage"},"thumbnailUrl":"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp","datePublished":"2026-03-12T17:50:15+00:00","dateModified":"2026-03-25T20:33:28+00:00","description":"Gu\u00eda de certificaci\u00f3n ISO 27001: qu\u00e9 exige la norma, c\u00f3mo implementar un SGSI, cu\u00e1nto cuesta, cu\u00e1nto tarda y qu\u00e9 errores evitar en pymes y empresas.","breadcrumb":{"@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/tec5.tech\/blog\/norma-iso-27001\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#primaryimage","url":"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp","contentUrl":"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp","width":1318,"height":494,"caption":"ISO 27001 (Seguridad de la informaci\u00f3n)"},{"@type":"BreadcrumbList","@id":"https:\/\/tec5.tech\/blog\/norma-iso-27001\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Inicio","item":"https:\/\/tec5.tech\/blog\/"},{"@type":"ListItem","position":2,"name":"ISO 27001 (Seguridad de la informaci\u00f3n): Qu\u00e9 es, para qu\u00e9 sirve y c\u00f3mo implementarla"}]},{"@type":"WebSite","@id":"https:\/\/tec5.tech\/blog\/#website","url":"https:\/\/tec5.tech\/blog\/","name":"Tec5.Tech","description":"Actualidad y Tecnolog\u00eda","publisher":{"@id":"https:\/\/tec5.tech\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/tec5.tech\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/tec5.tech\/blog\/#organization","name":"Tec5.Tech","url":"https:\/\/tec5.tech\/blog\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/tec5.tech\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2021\/04\/Logo-Horizontal.jpg","contentUrl":"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2021\/04\/Logo-Horizontal.jpg","width":1200,"height":300,"caption":"Tec5.Tech"},"image":{"@id":"https:\/\/tec5.tech\/blog\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/tec5.tech\/blog\/#\/schema\/person\/1a7385ab519b7465e738498135bd00a8","name":"Fernando Cabello","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/tec5.tech\/blog\/#\/schema\/person\/image\/","url":"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2025\/11\/perfil-fer-2-150x150.png","contentUrl":"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2025\/11\/perfil-fer-2-150x150.png","caption":"Fernando Cabello"},"description":"Cofundador de Tec5.Tech, una empresa l\u00edder de tecnolog\u00eda en Argentina. Su liderazgo orientado a personas y resultados le vali\u00f3 a Tec5.Tech el reconocimiento de Great Place to Work (categor\u00eda PyMEs). Fernando impulsa iniciativas de innovaci\u00f3n y crecimiento que conectan negocio y tecnolog\u00eda con foco en impacto real para los clientes.","sameAs":["http:\/\/tec5.tech","https:\/\/www.instagram.com\/eltaty.cabello\/","https:\/\/www.linkedin.com\/in\/fernando-cabello\/"],"url":"https:\/\/tec5.tech\/blog\/author\/fernando-cabello\/"}]}},"featured_image_url":"https:\/\/tec5.tech\/blog\/wp-content\/uploads\/2026\/03\/norma-iso-27001.webp","_links":{"self":[{"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/posts\/3646","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/comments?post=3646"}],"version-history":[{"count":10,"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/posts\/3646\/revisions"}],"predecessor-version":[{"id":3774,"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/posts\/3646\/revisions\/3774"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/media\/3662"}],"wp:attachment":[{"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/media?parent=3646"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/categories?post=3646"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tec5.tech\/blog\/wp-json\/wp\/v2\/tags?post=3646"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}