Cumplimiento 20 de enero de 2025

ISO 27001:2022 Lo que Cambia para Empresas Colombianas

La versión 2022 del estándar introdujo cambios estructurales significativos. Descubra qué modificaciones afectan a su organización, cuáles son los plazos de transición y cómo prepararse para la recertificación.

Por el equipo de Starsolution Tiempo de lectura: 10 min

ISO 27001:2022 reemplazó a la versión 2013 con cambios que van mucho más allá de una actualización cosmética. La nueva versión refleja una década de evolución en el panorama de amenazas: la nube, el trabajo remoto, la cadena de suministro de software y las amenazas persistentes avanzadas (APT) ahora tienen controles explícitos. Para las empresas colombianas con certificación vigente o en proceso de obtenerla, estos cambios son obligatorios.

Plazo de transición vencido

El periodo de transición de ISO 27001:2013 a ISO 27001:2022 venció el 31 de octubre de 2025. Las organizaciones certificadas bajo la versión anterior debieron completar la recertificación. Si aún no lo han hecho, su certificado no refleja el estándar vigente.

Los Cambios Estructurales de ISO 27001:2022

La actualización afecta tanto el cuerpo principal del estándar como el Anexo A (controles). Estos son los cambios más relevantes para los responsables de seguridad:

Reorganización del Anexo A: de 14 dominios a 4 temas

El Anexo A pasó de 114 controles organizados en 14 dominios a 93 controles organizados en 4 temas temáticos. Este reordenamiento no elimina controles sino que los fusiona, renombra y reorganiza para mayor coherencia con la realidad operativa moderna.

A.5
Controles Organizacionales
37 controles
A.6
Controles de Personas
8 controles
A.7
Controles Físicos
14 controles
A.8
Controles Tecnológicos
34 controles

11 Controles Completamente Nuevos

Estos son los 11 controles que no existían en ISO 27001:2013 y que representan las adiciones más significativas de la versión 2022:

Control Nombre Por qué importa
5.7 Threat Intelligence Recopilación y análisis de inteligencia sobre amenazas relevantes para la organización
5.23 Seguridad de Servicios en Nube Gestión de seguridad en la adquisición, uso y salida de servicios cloud
5.30 Preparación TIC para Continuidad Planes de continuidad de TI alineados con la continuidad de negocio
7.4 Monitoreo de Seguridad Física Vigilancia continua de áreas sensibles contra acceso no autorizado
8.9 Gestión de Configuración Ciclo de vida completo de configuraciones seguras en sistemas y aplicaciones
8.10 Eliminación de Información Borrado seguro de datos en dispositivos y medios de almacenamiento
8.11 Data Masking Enmascaramiento de datos personales y sensibles según clasificación
8.12 Prevención de Fuga de Datos Controles DLP para detectar y prevenir extracción no autorizada de datos
8.16 Actividades de Monitoreo Monitoreo continuo de redes, sistemas y comportamiento de usuarios
8.23 Filtrado Web Gestión de acceso web para reducir exposición a contenido malicioso
8.28 Codificación Segura Principios de desarrollo seguro aplicados a software interno

Impacto Directo en Empresas Colombianas

Sector Financiero y Entidades Vigiladas por la SFC

La Superfinanciera ya exige a entidades vigiladas implementar controles que ahora están codificados explícitamente en ISO 27001:2022. El nuevo control 5.30 (Preparación TIC para Continuidad) y el 8.16 (Actividades de Monitoreo) son directamente relevantes para los requerimientos de la Circular Básica Jurídica en materia de ciberseguridad y gestión de riesgos operacionales.

Sector Salud y Datos de Pacientes

Las IPS, EPS y entidades del sector salud que manejan historias clínicas electrónicas se benefician especialmente del nuevo control 8.11 (Data Masking) y del reforzado control de gestión de acceso privilegiado. La Resolución 866 de 2021 del Ministerio de Salud sobre interoperabilidad de datos de salud requiere garantías de confidencialidad que ISO 27001:2022 ahora aborda más directamente.

Empresas en Cadenas de Suministro Globales

Para organizaciones que proveen servicios a multinacionales o entidades del gobierno, la certificación ISO 27001:2022 se está convirtiendo en requisito contractual. El nuevo énfasis en gestión de la cadena de suministro (controles 5.19-5.22) es particularmente relevante para proveedores TI que acceden a datos de sus clientes.

Herramientas para los Nuevos Controles

Los 11 nuevos controles de ISO 27001:2022 no son solo documentación: requieren controles técnicos demostrables. Estas son las soluciones que Starsolution implementa para satisfacer los controles más exigentes:

El Proceso de Transición: Qué Hacer Ahora

Si ya tiene certificación ISO 27001:2013

El plazo de transición venció en octubre de 2025. Si aún no ha completado la recertificación, necesita iniciar el proceso de urgencia. Los pasos esenciales son:

  1. 1 Realizar un gap analysis entre sus controles actuales y el Anexo A de la versión 2022
  2. 2 Actualizar la Declaración de Aplicabilidad (SOA) para reflejar los 93 controles de 2022
  3. 3 Implementar los nuevos controles aplicables a su organización
  4. 4 Actualizar la documentación del SGSI: políticas, procedimientos y registros
  5. 5 Realizar auditoría interna contra ISO 27001:2022
  6. 6 Coordinar con su organismo certificador la auditoría de transición

Si está iniciando el proceso de certificación

Comience directamente con ISO 27001:2022. Las ventajas de empezar con la versión vigente son claras: no tendrá que recertificarse en el corto plazo, su SGSI abordará amenazas modernas desde el inicio y la documentación reflejará el estándar que los auditores y clientes esperan.

El proceso completo desde cero (gap analysis hasta certificación) toma entre 8 y 12 meses para empresas medianas. Con consultoría especializada, la tasa de éxito en la primera auditoría de certificación supera el 85%.

FAQ: Preguntas Frecuentes sobre ISO 27001:2022

¿Los 11 nuevos controles son obligatorios para todas las organizaciones?

No necesariamente. Los controles del Anexo A son de aplicabilidad condicional: deben incluirse en la Declaración de Aplicabilidad y aplicarse si son relevantes para los riesgos identificados. Sin embargo, los nuevos controles sobre cloud, DLP y monitoreo serán difícilmente excluibles para organizaciones con infraestructura digital moderna.

¿Cambió el proceso de auditoría de certificación?

Los organismos certificadores (ICONTEC, SGS, Bureau Veritas) han actualizado sus criterios de auditoría para evaluar los controles de la versión 2022. Las auditorías de transición son auditorías completas que verifican la implementación de los nuevos controles, no solo una revisión documental.

¿ISO 27001:2022 reemplaza completamente a ISO 27002?

ISO 27002:2022 también fue actualizada y sirve como guía de implementación para los controles del Anexo A. Mientras ISO 27001 es la norma certificable, ISO 27002 proporciona el contexto, el propósito y la guía detallada de implementación de cada control.

¿Qué pasa con los proyectos de certificación que empezaron con la versión 2013?

Los proyectos que iniciaron antes de noviembre de 2022 podían elegir certificarse bajo la versión 2013, pero el certificado tendría vigencia limitada hasta la fecha límite de transición. Los proyectos activos deben ahora alinearse completamente con ISO 27001:2022.

¿Cuánto cuesta la transición para una empresa ya certificada?

Para una empresa mediana (50-500 personas), la transición suele requerir entre 3 y 6 meses de trabajo y costos de consultoría entre 15 y 35 millones de COP, dependiendo de la brecha existente. A esto se suma la tarifa de la auditoría de certificación del organismo acreditado.

ISO 27001:2022 y la Ley 1581 en Colombia

Una de las particularidades del contexto colombiano es la coexistencia de ISO 27001 con la Ley 1581 de 2012 sobre Protección de Datos Personales. Aunque son marcos distintos, se complementan de forma natural: ISO 27001:2022 fortalece las medidas técnicas y organizacionales que la Ley 1581 exige para el tratamiento de datos personales.

El nuevo control 8.11 (Data Masking) y el reforzado control de clasificación de información (5.12) son especialmente relevantes para demostrar cumplimiento ante la Superintendencia de Industria y Comercio (SIC), que es la autoridad de control de datos personales en Colombia.

Nota para auditores internos: La SIC ha incrementado las investigaciones y sanciones por incumplimiento de la Ley 1581 en los últimos años. Una certificación ISO 27001:2022 activa y documentada es la evidencia más sólida disponible de que la organización toma en serio la protección de datos personales.

Conclusión

ISO 27001:2022 es una actualización sustancial que refleja las amenazas y contextos tecnológicos actuales. Para las empresas colombianas, la transición no es opcional: el plazo venció y los organismos de certificación ya evalúan bajo la nueva versión.

Las organizaciones que aprovechan este proceso de transición no solo actualizan un certificado; implementan controles que reducen su exposición a amenazas reales como el ransomware, la fuga de datos y el compromiso de la cadena de suministro.

¿Su empresa ya migró a ISO 27001:2022?

Starsolution ha acompañado más de 50 organizaciones colombianas en su camino hacia la certificación ISO 27001. Solicite un diagnóstico gratuito y descubra su brecha actual.

WhatsApp