Cuando una empresa o un organismo público contrata software externo, está poniendo sus datos —y los de sus clientes o ciudadanos— en manos de un tercero. La pregunta que muy pocas organizaciones hacen antes de firmar el contrato es: ¿qué controles de seguridad tiene ese proveedor sobre mis datos? La certificación ISO 27001 es la respuesta más objetiva a esa pregunta. No porque sea perfecta ni porque garantice que nunca ocurrirá un incidente, sino porque certifica que el proveedor tiene un sistema de gestión de seguridad de la información auditado, con controles documentados y mejorados de forma continua. Esta guía explica qué certifica realmente la ISO 27001, cómo leer un certificado de forma crítica y qué riesgos concretos asumes si tu proveedor de software no la tiene. ## Qué es la ISO 27001 La **ISO/IEC 27001** es la norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un **Sistema de Gestión de Seguridad de la Información (SGSI)**. La versión vigente es la de 2022. No es una certificación de producto (no certifica que el software en sí sea seguro). Es una certificación de proceso: certifica que la organización que desarrolla o gestiona software tiene un sistema de gestión con controles para proteger la confidencialidad, integridad y disponibilidad de la información. Los controles del Anexo A de la ISO 27001:2022 cubren 93 áreas, organizadas en 4 temas: - **Controles organizativos**: políticas de seguridad, gestión de incidentes, continuidad de negocio - **Controles de personas**: formación, acuerdos de confidencialidad, teletrabajo - **Controles físicos**: protección de centros de datos, acceso a instalaciones - **Controles tecnológicos**: gestión de accesos, cifrado, copias de seguridad, seguridad en desarrollo de software ## Qué certifica y qué NO certifica la ISO 27001 ### Sí certifica - Que el proveedor tiene una política de seguridad documentada y aprobada por dirección - Que existe un proceso formal de evaluación y tratamiento de riesgos de seguridad - Que los accesos a sistemas están controlados y auditados - Que hay un proceso de gestión de incidentes de seguridad - Que el desarrollo de software sigue prácticas de seguridad documentadas (controles A.8.25 a A.8.31 de la norma) - Que se realizan auditorías internas y externas del SGSI - Que la dirección revisa periódicamente el sistema y aprueba mejoras ### No certifica - Que el software está libre de vulnerabilidades - Que el proveedor nunca sufrirá un incidente de seguridad - Que todos los empleados siguen siempre los procedimientos - Que la infraestructura técnica es segura per se (eso lo evalúan otros controles, como las pruebas de penetración) La ISO 27001 es un sistema de gestión, no una garantía técnica absoluta. Pero un proveedor certificado tiene probabilidades estadísticamente menores de sufrir un incidente grave, y si lo sufre, tiene procesos definidos para gestionarlo y notificarlo. ## Cómo leer un certificado ISO 27001 No todos los certificados ISO 27001 son iguales. Antes de aceptar uno como válido, verifica estos elementos: ### 1. Organismo certificador La certificación debe haberla emitido un organismo acreditado por **ENAC** (Entidad Nacional de Acreditación, en España) o por un organismo equivalente en el IAF (International Accreditation Forum). Los más habituales en España: AENOR, Bureau Veritas, SGS, BSI Group, Applus, TÜV Rheinland. Un certificado emitido por un organismo no acreditado por ENAC o IAF no tiene validez reconocida. Esto ocurre más de lo que se cree: hay empresas que muestran certificados de entidades de dudosa acreditación. **Cómo verificar**: Accede a la web de ENAC (enac.es) → Entidades acreditadas → busca el organismo emisor del certificado. Si no aparece, el certificado no es válido. ### 2. Alcance del certificado El certificado ISO 27001 tiene un **alcance** definido: qué actividades, procesos, sistemas o sedes están incluidos. Un proveedor puede estar certificado para "desarrollo de software para clientes del sector financiero" y no para "soporte técnico" o "infraestructura cloud". Verifica que el alcance del certificado incluye el servicio que vas a contratar. Si el proveedor va a mantener tu sistema en producción pero el certificado solo cubre el desarrollo, el mantenimiento no está auditado. ### 3. Fecha de vigencia Los certificados ISO 27001 tienen una validez de tres años, con auditorías de seguimiento anuales. Verifica que el certificado está en vigor y que la última auditoría de seguimiento se realizó hace menos de 12 meses. ### 4. Versión de la norma La versión vigente es ISO/IEC 27001:2022. Si el certificado hace referencia a la versión 2013, el proveedor puede estar en proceso de transición, pero debería haberla completado antes del 31 de octubre de 2025 (fecha límite del período de transición marcado por IAF). ## Riesgos de contratar software sin ISO 27001 ### Riesgo RGPD Cuando contratas un proveedor de software que trata datos personales de tu empresa o tus clientes, ese proveedor es un **encargado del tratamiento** según el RGPD. Estás obligado a firmarlo y a verificar que tiene garantías suficientes de cumplimiento. Si el proveedor sufre una brecha de datos y no tiene ISO 27001, tú como responsable del tratamiento puedes ser sancionado por la AEPD por no haber aplicado la diligencia debida en la selección del encargado. Las sanciones del RGPD pueden llegar al 4% de la facturación anual global o 20 millones de euros, lo que sea mayor. ### Riesgo de continuidad de negocio Un proveedor sin gestión formal de continuidad de negocio (que es uno de los controles de ISO 27001) puede verse incapacitado para dar servicio después de un incidente. Sin copias de seguridad testadas, sin plan de recuperación documentado y sin redundancia de sistemas, un ransomware o un fallo de hardware puede dejar tus sistemas inoperativos días o semanas. ### Riesgo en licitaciones y contratos En sectores regulados (sector público, servicios financieros, utilities, salud), la ISO 27001 está empezando a aparecer como requisito mínimo en pliegos de contratación. Trabajar con un proveedor no certificado puede invalidar tu cumplimiento de los requisitos de seguridad del pliego y, en el sector público, puede implicar la resolución del contrato. ### Riesgo reputacional Si un proveedor tuyo sufre una brecha de datos que afecta a tus clientes, la percepción pública es que tu empresa no tomó las precauciones necesarias, independientemente de la responsabilidad legal. La selección de proveedores con certificaciones de seguridad reconocidas es parte de la debida diligencia que se espera de cualquier organización. ## ISO 27001 vs otras certificaciones de seguridad | Certificación | Ámbito | A quién interesa | |---|---|---| | ISO 27001 | Sistema de gestión de seguridad de la información | Cualquier empresa que gestione información sensible | | ENS (Esquema Nacional de Seguridad) | Seguridad para sistemas de la Administración Pública española | Proveedores del sector público español | | SOC 2 | Seguridad de servicios en la nube (Estados Unidos) | Proveedores SaaS con clientes norteamericanos | | PCI DSS | Seguridad en pagos con tarjeta | Empresas que procesan pagos con tarjeta | | TISAX | Seguridad en la industria del automóvil | Proveedores del sector automotriz | Para la mayoría de las empresas españolas, la combinación **ISO 27001 + ENS** cubre todos los escenarios de contratación: sector privado (ISO 27001) y sector público (ENS). Un proveedor que tenga ambas certificaciones puede trabajar con cualquier tipo de cliente sin restricciones de seguridad. ## Preguntas que debes hacer a tu proveedor de software Antes de firmar el contrato, pide estas respuestas por escrito: 1. ¿Tienen certificación ISO 27001 vigente? ¿Puedo ver el certificado y verificar el organismo emisor? 2. ¿El alcance del certificado incluye el servicio que voy a contratar? 3. ¿Cuándo fue la última auditoría de seguimiento y cuáles fueron los hallazgos? 4. ¿Tienen plan de continuidad de negocio testado? ¿Con qué frecuencia lo prueban? 5. ¿Cómo gestionan los incidentes de seguridad? ¿En qué plazo me notificarían una brecha que afecte a mis datos? 6. ¿Qué controles aplican al desarrollo seguro de software? ¿Realizan análisis de vulnerabilidades antes de poner en producción? 7. ¿Cómo controlan el acceso de sus empleados y subcontratistas a mis datos? Un proveedor con ISO 27001 real debe poder responder a todas estas preguntas con documentación concreta, no con generalidades. Si las respuestas son vagas o hay resistencia a compartir información sobre el SGSI, es una señal de alerta.