La edición vigente es ISO/IEC 27001:2022, publicada en 2022. La actualización introduce cambios importantes en el Anexo A (controles) y en su alineación con ISO/IEC 27002:2022 (controles de seguridad de la información). La migración desde la versión 2013 es prioritaria para las organizaciones que mantienen un Sistema de Gestión de Seguridad de la Información (SGSI), dado que la revisión obliga a remapear la Declaración de Aplicabilidad (SoA) y a ajustar la evaluación de riesgos ante amenazas actuales (ISO, 2022; ISO, s. f.; Kitsios, 2023).
1. Estado y contexto de la versión 2022
ISO/IEC 27001:2022 redefinió en su título y alcance el énfasis en “seguridad de la información, ciberseguridad y protección de la privacidad” y armonizó su Anexo A con la nueva edición de ISO/IEC 27002:2022, que reorganiza y consolida controles (ISO, 2022; ISO, s. f.). La revisión busca hacer el esquema de controles más aplicable al panorama tecnológico contemporáneo (Kitsios, 2023; ResearchGate review, 2022).
2. Principales cambios (qué hay que conocer)
2.1 Anexo A: reorganización y controles actualizados
El Anexo A se ha reorganizado para alinearse con ISO/IEC 27002:2022. Se han consolidado controles antiguos y se han añadido controles que reflejan amenazas modernas (por ejemplo: inteligencia sobre amenazas, seguridad en el uso de servicios en la nube y protección frente a vulnerabilidades digitales). Estudios técnicos resumen que el número y la agrupación de controles se han simplificado para facilitar su gestión y su aplicación práctica. Esto obliga a realizar un remapeo entre controles antiguos y la nueva estructura. (ISO, 2022; ResearchGate review, 2022; Sprinto, 2024).
2.2 Declaración de Aplicabilidad (SoA) y evaluación de riesgos
Con la reorganización del Anexo A, las organizaciones deben revisar y actualizar su SoA: los controles deben justificarse de nuevo en función del riesgo y del contexto organizativo. Además, la evaluación de riesgos debe incorporar escenarios actuales (proveedores gestionados, servicios cloud, teletrabajo, integración de terceros) y documentar medidas de tratamiento. (ISO, 2022; Kitsios, 2023).
2.3 Enfoque practico y simplificación
La edición 2022 introduce un enfoque más pragmático: menos duplicidades entre controles y mayor orientación a aplicar controles en función del riesgo y del contexto de la organización. Esto facilita priorizar medidas con mayor impacto operativo. (ISO, 2022; HighTable, 2025).
3. Riesgos de no actualizar (visión práctica)
No actualizar un SGSI tras la publicación de la versión 2022 puede derivar en: (a) desalineamiento entre SoA y controles efectivos; (b) exposición a amenazas modernas no cubiertas por controles obsoletos (nube, cadena de suministro digital, etc.); y (c) dificultades para demostrar cobertura de riesgos en procesos de due diligence o en relaciones con clientes y socios (Kitsios, 2023; Dataguard, 2025).
4. Plan de acción práctico (prioridades inmediatas)
- Obtener los textos normativos: ISO/IEC 27001:2022 y ISO/IEC 27002:2022 para referencia directa. (ISO, 2022; ISO, s. f.).
- Gap analysis SoA → Anexo A 2022: remapear controles actuales frente a la nueva estructura; documentar brechas y justificar exclusiones. (Sprinto, 2024).
- Reevaluar riesgos: incluir escenarios cloud, proveedores gestionados, teletrabajo e integraciones externas; asignar prioridades por probabilidad-impacto. (Kitsios, 2023).
- Plan técnico-operativo: identificar cambios técnicos inmediatos (gestión de accesos, cifrado, monitoreo de logs, hardening de servicios en la nube) y asignar responsables con plazos cortos. (ISACA, 2024).
- Formación y concienciación: capacitar nuevamente a los auditores internos y equipos técnicos sobre la nueva estructura de controles y los criterios de evaluación de evidencia. (ISACA, 2024).
- Pilotaje y verificación: ejecutar pruebas de cumplimiento en un ámbito delimitado (unidad de negocio, servicio cloud) y validar evidencias antes de escalar. (Kitsios, 2023).
5. Recomendaciones por tipo de organización
- PYMES / organizaciones con recursos limitados: priorizar controles básicos pero críticos (gestión de identidades y accesos, copias/respaldo, cifrado y parches), y apoyarse en plantillas de evaluación y controles escalables (Kitsios, 2023; Sprinto, 2024).
- Proveedores cloud / MSP: revisar configuraciones multi-tenant, segregación de datos y documentación de controles aplicados; preparar evidencia operativa sobre medidas de protección en entornos compartidos (ISO, 2022).
- Organizaciones con operaciones complejas: ejecutar remapeos por unidad de negocio y coordinar la homologación de SoA para evitar incoherencias entre dominios tecnológicos (ISACA, 2024).
6. Conclusión
La actualización a ISO/IEC 27001:2022 exige un ejercicio práctico (remapeo de controles, actualización de la SoA y evaluación de riesgos) que beneficia la postura de seguridad frente a amenazas actuales. Si bien la norma no obliga a una ruta única, la recomendación operativa es actuar con rapidez: gap analysis, plan de remediación priorizado y pilotos para validar evidencias. Estas acciones permiten no solo demostrar conformidad con la edición 2022, sino también endurecer la resiliencia frente a riesgos digitales contemporáneos (ISO, 2022; Kitsios, 2023).
Referencias
HighTable. (2025). The ultimate guide to ISO/IEC 27002:2022. https://hightable.io/the-ultimate-guide-to-iso-27002-changes-2022/
ISACA. (2024). Navigating the ISO/IEC 27001:2022 transition: a 90-day challenge. ISACA Journal. https://www.isaca.org/resources/isaca-journal
ISO. (2022). ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Organization for Standardization. https://www.iso.org/standard/27001
ISO. (s. f.). ISO/IEC 27002:2022 — Code of practice for information security controls. International Organization for Standardization. https://www.iso.org/standard/75652.html
Kitsios, F. (2023). The ISO/IEC 27001 information security management — implementation case studies and review. Sustainability. https://www.mdpi.com/ (consultar DOI en la base de datos MDPI)
PrivacyPerfect. (2025). ISO/IEC 27001:2022 — Everything you need to know before the 2025 deadline. https://privacyperfect.com/iso-270012022-everything-you-need-to-know-before-the-25-october-2025-deadline/
ResearchGate. (2022). A review of ISO/IEC 27001:2022. ResearchGate. https://www.researchgate.net/publication/368911662_Management_of_enterprise_cyber_security_A_review_of_ISOIEC_270012022
Sprinto. (2024). ISO/IEC 27002:2022 — Controls list and changes. https://sprinto.com/blog/iso-27002-controls/
Dataguard. (2025). ISO 27001:2022 — Annex A explained. https://www.dataguard.com/iso-27001/annex-a/