ISO 27001:2013 dejará de ser válida en octubre de 2025: ¿Estás listo para la transición?

nextjs
Grave vulnerabilidad en Next.js permite eludir comprobaciones de autorización en el middleware
25 de marzo de 2025
Ver todo
ISO-27001

El tiempo se agota para las organizaciones certificadas bajo la norma ISO/IEC 27001:2013. A partir del 31 de octubre de 2025, esta versión dejará de ser válida oficialmente, y todas las empresas deberán haber migrado a la nueva versión ISO/IEC 27001:2022 si desean mantener su certificación activa.

¿Qué implica esta transición?

La norma ISO 27001 establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI), y su actualización en 2022 incluye cambios importantes en la estructura de controles, alineación con otros estándares y una mayor atención al contexto organizacional.

Aunque las diferencias no son drásticas, sí implican un análisis detallado y un rediseño parcial del SGSI, sobre todo en lo relacionado con el Anexo A, que ahora está alineado con la ISO/IEC 27002:2022.

Fechas clave que no puedes ignorar

  • 31 de julio de 2025: Fecha límite para realizar la auditoría de transición. Si tu organización no la ha completado antes de esta fecha, corre el riesgo de no contar con tiempo suficiente para corregir hallazgos.
  • 31 de octubre de 2025: Último día de validez para la certificación ISO 27001:2013.

Después de esa fecha, cualquier certificado basado en la versión 2013 será automáticamente invalidado.

¿Por qué necesitas un auditor interno?

La transición no es simplemente una cuestión documental: requiere una revisión profunda del SGSI actual y su alineación con los nuevos requisitos. Por ello, es fundamental contratar o designar un auditor interno con experiencia en ISO 27001:2022. Esta figura es clave para:

  • Identificar brechas entre las versiones 2013 y 2022.
  • Guiar el rediseño de políticas, controles y documentación.
  • Realizar auditorías internas previas a la transición oficial.
  • Asegurar que la organización esté lista para enfrentar con éxito la auditoría externa.

Un auditor interno no solo detectará errores a tiempo, sino que también aportará una visión objetiva para mejorar los procesos de seguridad de la información.

Recomendaciones para una transición exitosa

  1. Realiza un gap analysis entre ISO 27001:2013 y 2022.
  2. Capacita al personal clave en los cambios de la nueva versión.
  3. Actualiza tu SGSI, incluyendo políticas, controles y evaluaciones de riesgos.
  4. Contrata un auditor interno o capacita uno dentro de tu equipo.
  5. Programa la auditoría de transición antes de julio de 2025.

La actualización a ISO/IEC 27001:2022 es una oportunidad para fortalecer tu sistema de gestión de seguridad de la información y adaptarte a los nuevos desafíos del entorno digital. No dejes que el tiempo juegue en tu contra: planifica tu transición ahora y asegúrate de contar con los profesionales adecuados, incluyendo un auditor interno capacitado, para cumplir con los plazos y mantener tu certificación vigente.

Artículos relacionados

auditoria basada en riesgos
6 de marzo de 2025

Auditoría basada en Riesgos: Un enfoque inteligente para garantizar la eficacia del sistema de Gestión

Leer más
opsec
3 de marzo de 2025

Seguridad Operacional (OPSEC): Protegiendo la Información crítica

Leer más
OSINT
21 de febrero de 2025

Sin regulación ni transparencia: OSINT en México como herramienta de vigilancia estatal

Leer más
zte arquitectura
2 de enero de 2025

Introducción a la Implementación de la Norma Zero Trust Architecture (ZTA)

Leer más
BCP DRP
31 de octubre de 2024

Consideraciones para la continuidad del negocio según ISO 27001

Leer más
19 de octubre de 2024

ISO 27001 y el escalamiento de Agile

Leer más