ISO 27001: IA para Gestionar la Documentación del SGSI en la Industria y RegTech
La seguridad de la información ha dejado de ser exclusiva del departamento de TI. En el entorno industrial actual, donde los sistemas OT (Operational Technology) convergen con IT, donde los PLCs y SCADAs están conectados a redes corporativas, y donde las directivas NIS2 y DORA exigen niveles de gobernanza formal de ciberseguridad sin precedentes, el Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001 se ha convertido en una necesidad operativa. El problema, como en todos los sistemas de gestión normalizados, es que la documentación del SGSI crece continuamente y se vuelve inaccesible. IgeraRegTech resuelve este problema indexando toda la documentación del SGSI y permitiendo consultarla en lenguaje natural.
ISO 27001:2022: los cambios clave respecto a la versión 2013
La versión 2022 de ISO 27001 introdujo cambios significativos que afectan a la documentación del SGSI y que deben reflejarse en la Declaración de Aplicabilidad (SoA) de las organizaciones certificadas:
- Reducción de 114 a 93 controles en el Anexo A, agrupados en 4 temas en lugar de 14 dominios.
- 11 controles nuevos, entre ellos: A.5.7 Inteligencia de amenazas, A.5.23 Seguridad de servicios en la nube, A.5.30 Continuidad TIC para BCM, A.8.9 Gestión de la configuración, A.8.10 Eliminación de información.
- Introducción de atributos de control (tipo de control, propiedades de seguridad, conceptos de ciberseguridad, capacidades operativas, dominios de seguridad) que facilitan el filtrado y el análisis del Anexo A.
- Mayor alineación con el marco NIST Cybersecurity Framework: los atributos permiten mapear controles ISO 27001 con NIST CSF y CIS Controls.
Para las organizaciones certificadas con ISO 27001:2013, el plazo de transición a la versión 2022 finalizó el 31 de octubre de 2025. Las que aún no han actualizado su SGSI y SoA están en situación de no conformidad con los organismos de certificación.
Evaluación y tratamiento de riesgos: el proceso más documentado
El apartado 6.1.2 de ISO 27001:2022 exige un proceso formal de evaluación de riesgos de seguridad de la información que debe estar documentado y producir resultados reproducibles. El proceso incluye:
- Definición de criterios de riesgo: apetito de riesgo, criterios de aceptación, escala de impacto y probabilidad.
- Identificación de riesgos: activos de información, amenazas, vulnerabilidades, propietarios de riesgo.
- Análisis y evaluación: cálculo del riesgo inherente, comparación con criterios de aceptación.
- Tratamiento de riesgos: decisión para cada riesgo (mitigar, transferir, aceptar, evitar) y selección de controles del Anexo A u otros.
- Declaración de Aplicabilidad (SoA): documento que lista todos los controles del Anexo A, indica si están implementados y justifica las exclusiones.
- Plan de tratamiento de riesgos: acciones, responsables, recursos y plazos para implementar los controles seleccionados.
340%
Aumento de los ataques de ransomware contra instalaciones industriales (OT/ICS) entre 2021 y 2024, según el informe Dragos ICS/OT Cybersecurity Year in Review 2024. Las organizaciones con SGSI ISO 27001 certificado tienen controles documentados específicos para este vector de ataque.
NIS2 y DORA: la presión regulatoria que impulsa ISO 27001
La Directiva NIS2 (Directiva UE 2022/2555), transpuesta en España por la Ley de Seguridad de las Redes y Sistemas de Información, exige que las entidades esenciales e importantes (incluyendo empresas industriales en sectores de energía, transporte, agua, producción y distribución de alimentos, y fabricación de productos críticos) implementen medidas de gestión de riesgos de ciberseguridad que incluyen:
- Políticas de seguridad de redes y sistemas de información.
- Gestión de incidentes (detección, notificación en 24h/72h, resolución).
- Continuidad de negocio y gestión de crisis.
- Seguridad de la cadena de suministro.
- Seguridad en la adquisición, desarrollo y mantenimiento de sistemas.
- Evaluación de la eficacia de las medidas de gestión de riesgos de ciberseguridad.
Un SGSI basado en ISO 27001:2022 proporciona el marco estructurado para cumplir con estos requisitos de NIS2. La documentación del SGSI —políticas, procedimientos de gestión de incidentes, evaluaciones de riesgo, registros de formación— es la evidencia que las autoridades competentes (INCIBE, CCN-CERT) pueden requerir en caso de inspección o tras un incidente grave.
El Reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554), aplicable desde enero de 2025 a entidades financieras y sus proveedores TIC críticos, va más allá de NIS2 con requisitos específicos de resiliencia operativa digital, pruebas de penetración basadas en amenazas (TLPT) y gestión del riesgo de terceros.
El SGSI en entornos industriales OT: el reto de la convergencia IT/OT
La aplicación de ISO 27001 en entornos industriales con sistemas OT (PLCs, SCADAs, DCS, sistemas de control de procesos) presenta desafíos específicos que la edición 2022 aborda mejor que la de 2013:
- Los sistemas OT tienen ciclos de vida muy largos (15-25 años), con sistemas legacy que no admiten parches de seguridad convencionales.
- La disponibilidad es prioritaria sobre la confidencialidad, al contrario que en entornos IT.
- Los protocolos industriales (Modbus, Profinet, DNP3) tienen limitaciones de autenticación y cifrado.
- La segmentación de red IT/OT mediante DMZ industrial es el control más importante y más documentado.
IgEraRegTech indexa tanto la documentación del SGSI corporativo (alcance IT) como la específica del entorno OT, permitiendo consultas que cruzan ambos dominios.
// Demo IgeraRegTech — Consulta SGSI ISO 27001
CISO: ¿Cuál es el tratamiento de riesgo aprobado para la amenaza de ransomware sobre los sistemas OT de la planta y qué controles del Anexo A están implementados?
IgeraRegTech: Según la Evaluación de Riesgos ER-2025 (revisión 2, aprobada por el Comité de Seguridad el 15/01/2026, sección 4.3 «Amenazas sobre entorno OT»): el riesgo «Ransomware sobre SCADA planta» tiene impacto Muy Alto (5) y probabilidad Alta (4), riesgo inherente 20/25. Tratamiento: Mitigar. Controles implementados del Anexo A: A.8.7 Protección contra malware (EDR en servidores SCADA, NAC en switch industrial), A.8.20 Seguridad de redes (DMZ IT/OT con firewall industrial Fortinet FortiGate-101F, documentado en IT-SEC-045), A.5.30 Continuidad TIC (plan de recuperación OT, RTO 4h, RPO 24h, documentado en PC-OT-012). Riesgo residual: Medio (8/25). Próxima revisión: enero 2027.
La Declaración de Aplicabilidad (SoA): el documento central del SGSI
La SoA es el documento que recoge todos los controles del Anexo A de ISO 27001:2022, indica para cada uno si está implementado, justifica las exclusiones y referencia los procedimientos o evidencias de implementación. Para ISO 27001:2022 con 93 controles, la SoA es un documento complejo que debe mantenerse actualizado ante cada cambio organizativo, tecnológico o de contexto.
IgeraRegTech indexa la SoA junto con todos los procedimientos, políticas y registros referenciados, permitiendo consultas como «qué controles del dominio tecnológico están pendientes de implementación» o «cuáles son las evidencias de cumplimiento del control A.8.15 Registro de eventos».
| Aspecto | ISO 27001:2022 | NIS2 (Directiva 2022/2555) |
|---|---|---|
| Naturaleza | Norma voluntaria de certificación | Directiva de obligado cumplimiento (transpuesta a ley nacional) |
| Gestión de riesgos | Proceso formal documentado con SoA | Obligatoria, con medidas mínimas definidas en Art. 21 |
| Notificación incidentes | Procedimiento interno recomendado | Obligatoria: alerta temprana 24h, notificación 72h, informe final 30 días |
| Cadena de suministro | Control A.5.21 incluido en Anexo A | Requisito explícito Art. 21(2)(d): evaluación de proveedores TIC |
| Sanciones | Pérdida de certificación | Hasta €10M o 2% facturación global (entidades importantes) / €7M o 1.4% (esenciales) |
| Complementariedad | ISO 27001 certificado facilita demostrar cumplimiento NIS2; no es automático pero reduce la carga de prueba | |
¿Tu CISO pierde tiempo buscando controles, evaluaciones de riesgo y la SoA del SGSI ISO 27001? IgeraRegTech lo indexa todo y responde en segundos.
Prueba gratuita 14 días- ISO 27001:2022 reduce los controles de 114 a 93, agrupados en 4 temas, con 11 nuevos controles relevantes para entornos cloud e industriales.
- La Declaración de Aplicabilidad (SoA) y la evaluación de riesgos son los documentos más consultados del SGSI.
- NIS2 obliga a entidades industriales esenciales e importantes a implementar medidas de gestión de riesgos de ciberseguridad, con sanciones de hasta €10M.
- La convergencia IT/OT en entornos industriales crea riesgos específicos (ransomware sobre SCADA, protocolos industriales sin autenticación) que el SGSI debe documentar y controlar.
- IgeraRegTech indexa toda la documentación del SGSI —SoA, evaluaciones de riesgo, procedimientos, registros— y permite consultas en lenguaje natural con cita exacta de la fuente.
Artículo revisado por el equipo técnico de IgeraSolutions el junio de 2026. Normativa de referencia: ISO/IEC 27001:2022, Directiva NIS2 (UE) 2022/2555, Reglamento DORA (UE) 2022/2554, Esquema Nacional de Seguridad (RD 311/2022).