Inicio Tienda Blog Recursos Gratuitos Acción Social
<< Vuelve al Blog

🥊 ISO 27001 2013 vs 2022

Apr 16, 2025

Hola Amigos

¿Sabían que este año se termina el plazo para que las empresas puedan migrar de la norma ISO 27001:2013 a la versión 2022? Pero, ¿Qué ha cambiado en esta actualización? bueno empecemos desde el inicio.

Desde su publicación en 2013, la norma ISO/IEC 27001 se convirtió en el estándar de referencia internacional para la gestión de la seguridad de la información, no obstante, el entorno tecnológico y las amenazas evolucionan rápidamente. Por eso, en octubre de 2022 se publicó la esperada actualización: ISO/IEC 27001:2022.

¿Qué cambió exactamente? Y más importante aún, ¿Qué deben tener en cuenta los auditores para garantizar una evaluación eficaz?
Hoy venimos a contártelo.


¿Qué motiva la actualización?

La ISO 27001 no se actualiza con frecuencia, sin embargo, en estos años han surgido nuevos riesgos relacionados con la nube, el trabajo remoto, amenazas internas, e incluso la IA.
Estos desafíos exigían una revisión profunda de los controles y de la estructura del Anexo A.


Principales cambios de la ISO 27001:2022

1. Nueva estructura del Anexo A

El cambio más evidente está en la reestructuración de los controles del Anexo A, que ahora se alinean con la ISO/IEC 27002:2022:

  • Se pasó de 114 controles agrupados en 14 dominios a ⏩ 93 controles organizados en 4 temas:

    • Controles organizativos (37)

    • Controles de personas (8)

    • Controles físicos (14)

    • Controles tecnológicos (34)

💡 Esto no significa que haya menos seguridad, sino una reorganización más lógica y moderna.


2. Nuevos controles añadidos

Se han incluido 11 nuevos controles para reflejar riesgos actuales, estos podemos decir que son los más destacados:

  • Amenazas de inteligencia artificial

  • Seguridad en la información en servicios en la nube

  • Prevención de fuga de datos (DLP)

  • Desarrollo seguro de software

  • Monitoreo continuo

🔍 Como auditor, es vital conocer estos nuevos controles y cómo se aplican en los entornos modernos.


3. Controles fusionados y renombrados

Muchos controles anteriores se han fusionado o renombrado para reducir redundancias y mejorar la claridad. Por ejemplo:

  • “Gestión de claves criptográficas” y “Política de uso de criptografía” ahora están bajo un solo control.

  • Algunos títulos se han simplificado, pero mantienen el mismo objetivo.

🎯 Como auditor, deberás verificar que el SGSI esté actualizado conforme a esta nueva nomenclatura y que no haya pérdidas de cobertura en los controles.


4. Nuevos atributos en los controles

Cada control ahora tiene atributos que lo clasifican en función de su propósito, como:

  • Tipo de control (preventivo, detectivo, correctivo)

  • Propiedades de seguridad abordadas (confidencialidad, integridad, disponibilidad)

  • Conceptos relacionados (ciberseguridad, privacidad, etc.)

🧠 Esto ayuda a los auditores a hacer análisis más estructurados y facilitar la trazabilidad.


¿Qué deben hacer los auditores?

✔ Actualizar su conocimiento técnico

La nueva versión requiere una comprensión más profunda de las tecnologías modernas y su impacto en la seguridad de la información.

✔ Evaluar la adecuación del SGSI a la nueva estructura

Durante las auditorías, los auditores deben verificar que la organización haya actualizado sus políticas, procedimientos y declaración de aplicabilidad (SoA) acorde a la nueva versión.

✔ Analizar los riesgos con un enfoque actualizado

Los nuevos controles deben estar respaldados por un análisis de riesgos moderno y realista. No basta con simplemente agregarlos al SoA.


¿Y si aún estoy certificado bajo ISO 27001:2013?

No hay problema inmediato. La transición oficial a la ISO 27001:2022 debe completarse antes de octubre de 2025, lo que da tiempo a las organizaciones y auditores para adaptarse.

 

Como podemos ver, la ISO/IEC 27001:2022 representa una evolución necesaria para mantener la eficacia del SGSI en un entorno digital cada vez más complejo.
Para los auditores, esto no solo implica entender los nuevos controles, sino también adaptarse a una forma más estratégica y contextual de auditar la seguridad de la información.

👨‍💼 En Hacker Mentor, te ayudamos a mantenerte al día con los cambios normativos y a enfrentar auditorías más exigentes, por eso traemos para ti el nuevo CURSO GRATUITO AUDITOR ISO 27001:2022 FUNDAMENTALS, prepárate para este importante cambio que se encuentra a la vuelta de la esquina y aprende a dominar la normativa ¡como un experto!.

Conviértete junto a nosotros en el profesional que las empresas NECESITAN.
Únete AHORA haciendo clic en el siguiente botón

 


Te vemos en clases
Saludos
Equipo Hacker Mentor

Posts Recientes

💰 Funciones & Salario de un auditor ISO27001
Apr 23, 2025
🥊 ISO 27001 2013 vs 2022
Apr 16, 2025
🧠 ISO 27001 en 2025
Apr 09, 2025

Categorias

Todas las Categorias actualidad ataques certificación certiprof certjoin cibernoticia ciberseguridad educación ehca hacking ético iso27001 partner programa de especialización python