Controles organizativos nuevos (A.5)
A.5.7 Threat Intelligence (Inteligencia sobre amenazas) exige que la organización recopile, analice y utilice información sobre amenazas a la seguridad de la información de forma proactiva. No se trata de tener un antivirus actualizado: se trata de monitorizar fuentes de inteligencia sobre amenazas relevantes para tu sector y geografía (feeds de IoC, boletines CERT, análisis de tendencias de ataque), analizar esa información para identificar amenazas específicas contra tu organización, y utilizar los resultados para tomar decisiones de seguridad informadas. Para una PYME, esto puede traducirse en suscribirse al servicio de alertas del CCN-CERT y al INCIBE, revisar periódicamente los boletines de amenazas sectoriales, y documentar cómo esa información se integra en las decisiones de seguridad.
A.5.23 Information Security for Use of Cloud Services exige gestionar la seguridad de la información en servicios cloud de forma específica. Esto incluye definir una política de uso de cloud, evaluar los riesgos de cada servicio cloud que utiliza la organización, establecer requisitos contractuales con los proveedores cloud, y monitorizar el cumplimiento. La nueva Directiva NIS2 refuerza este control al exigir gestión de riesgos en la cadena de suministro digital. A.5.30 ICT Readiness for Business Continuity exige que la infraestructura TIC esté preparada para mantener la continuidad del negocio ante un incidente. Esto va más allá del backup: incluye planes de recuperación tecnológica con RTOs y RPOs definidos, pruebas periódicas de recuperación, y la garantía de que los sistemas críticos pueden restablecerse en el tiempo acordado.
Te puede interesar:ISO 9001:2026: Qué Cambios Trae la Revisión y CómoCertificaciones ISO en España 2024: Ranking Mundia.
Control físico nuevo (A.7)
A.7.4 Physical Security Monitoring exige que las instalaciones de la organización se monitoricen de forma continua para detectar accesos físicos no autorizados. Esto puede implementarse con sistemas de videovigilancia (cumpliendo la LOPDGDD y la instrucción 1/2006 de la AEPD), control de acceso electrónico, sensores de intrusión, o vigilancia humana, según el nivel de riesgo. Para una PYME, el mínimo razonable suele ser un sistema de alarma con sensores y CCTV en zonas donde se ubican servidores o documentación sensible.
Controles tecnológicos nuevos (A.8)
A.8.9 Configuration Management exige gestionar de forma documentada las configuraciones de hardware, software, servicios y redes. Esto incluye definir configuraciones de seguridad estándar (hardening), controlar los cambios de configuración, y auditar periódicamente que las configuraciones reales coinciden con las aprobadas. Las guías CCN-STIC del Centro Criptológico Nacional proporcionan configuraciones de referencia para entornos Windows, Linux y cloud que son directamente aplicables. A.8.10 Information Deletion exige procedimientos para el borrado seguro de información cuando ya no es necesaria, cumpliendo con requisitos legales como el RGPD (derecho de supresión). A.8.11 Data Masking exige proteger datos sensibles mediante técnicas de enmascaramiento cuando se utilizan en entornos de prueba, desarrollo o análisis.
A.8.12 Data Leakage Prevention (DLP) es quizá el control más complejo de implementar para PYMEs: exige medidas para prevenir la fuga de información, tanto accidental como malintencionada. Esto puede ir desde políticas de clasificación de la información y restricciones de USB hasta herramientas de DLP que monitorizan el correo electrónico y los canales de comunicación. A.8.16 Monitoring Activities exige actividades de monitorización para detectar comportamientos anómalos y posibles incidentes de seguridad. A.8.23 Web Filtering exige controlar el acceso a sitios web externos para prevenir exposición a contenido malicioso. Y A.8.28 Secure Coding exige que el desarrollo de software siga principios de codificación segura, incluyendo revisiones de código, pruebas de seguridad y gestión de vulnerabilidades en el código propio.
/transicion-iso-27001-2022/, /blog/ens-vs-iso-27001/, /nis2-espana-empresas/, /precio-iso-27001/
ARTÍCULOS RELACIONADOS SUGERIDOS: ver índice del cluster ISO para enlazado cruzado.
Preguntas frecuentes
¿Los 11 controles son obligatorios para todas las empresas?
Solo debes implementar los controles que sean aplicables según tu evaluación de riesgos y tu Declaración de Aplicabilidad (SoA). Sin embargo, debes justificar documentalmente la exclusión de cualquier control que decidas no aplicar.
¿Cuánto cuesta implementar estos controles en una PYME?
Depende enormemente del punto de partida. Para una PYME que ya tenía ISO 27001:2013, la adaptación a los nuevos controles oscila entre 5.000 y 15.000 euros de consultoría. Si partes de cero, el proyecto completo de ISO 27001:2022 para PYME ronda los 14.000-46.000 euros.
¿Los certificados ISO 27001:2013 siguen siendo válidos?
No. Desde el 1 de noviembre de 2025, todos los certificados deben ser de ISO 27001:2022. Los certificados 2013 han dejado de ser válidos. Si tu empresa aún tiene un certificado 2013, necesitas actuar de inmediato.
¿DLP es realmente necesario para una PYME de 20 empleados?
El control A.8.12 exige medidas proporcionadas al riesgo. Para una PYME de 20 empleados, esto puede ser tan simple como políticas de clasificación de información, restricciones de USB y reglas de correo electrónico. No necesitas una herramienta enterprise de DLP.
¿Threat intelligence es viable para una empresa pequeña?
Sí. Para una PYME, threat intelligence puede ser suscribirse a las alertas del CCN-CERT e INCIBE, revisar los boletines de amenazas relevantes para tu sector, y documentar cómo esa información se integra en tus decisiones de seguridad.
Preguntas frecuentes.
¿Los 11 controles son obligatorios para todas las empresas?
Solo debes implementar los controles que sean aplicables según tu evaluación de riesgos y tu Declaración de Aplicabilidad (SoA). Sin embargo, debes justificar documentalmente la exclusión de cualquier control que decidas no aplicar.
¿Cuánto cuesta implementar estos controles en una PYME?
Depende enormemente del punto de partida. Para una PYME que ya tenía ISO 27001:2013, la adaptación a los nuevos controles oscila entre 5.000 y 15.000 euros de consultoría. Si partes de cero, el proyecto completo de ISO 27001:2022 para PYME ronda los 14.000-46.000 euros.
¿Los certificados ISO 27001:2013 siguen siendo válidos?
No. Desde el 1 de noviembre de 2025, todos los certificados deben ser de ISO 27001:2022. Los certificados 2013 han dejado de ser válidos. Si tu empresa aún tiene un certificado 2013, necesitas actuar de inmediato.
¿DLP es realmente necesario para una PYME de 20 empleados?
El control A.8.12 exige medidas proporcionadas al riesgo. Para una PYME de 20 empleados, esto puede ser tan simple como políticas de clasificación de información, restricciones de USB y reglas de correo electrónico. No necesitas una herramienta enterprise de DLP.
¿Threat intelligence es viable para una empresa pequeña?
Sí. Para una PYME, threat intelligence puede ser suscribirse a las alertas del CCN-CERT e INCIBE, revisar los boletines de amenazas relevantes para tu sector, y documentar cómo esa información se integra en tus decisiones de seguridad.
¿Empezamos a trabajar juntos?
Cuéntanos qué necesitas. Te respondemos en menos de 24 h con un plan concreto.
Empecemos →