IMAGEN ISO 27006

Guía Completa de la Nueva ISO/IEC 27006-1:2024: Impacto y Estrategias de Adaptación para el Éxito en la Certificación

En el dinámico panorama de la ciberseguridad, la actualización de los marcos normativos no es solo un trámite administrativo, sino una respuesta necesaria a la evolución de las amenazas y las infraestructuras digitales. En Alisios Consultores, entendemos que la reciente publicación de la norma ISO/IEC 27006-1:2024 marca un antes y un después para todas las organizaciones que poseen o aspiran a la certificación ISO/IEC 27001.

Esta actualización técnica, aunque dirigida primordialmente a los organismos de certificación y acreditación (como ENAC en España), tiene un impacto directo y profundo en las empresas auditadas. Los cambios en el cálculo de tiempos, la clasificación del personal y la evaluación de riesgos redefinen las reglas del juego. A continuación, desglosamos todo lo que necesita saber para que su organización no solo cumpla, sino que optimice su proceso de certificación bajo este nuevo paradigma.

El Nuevo Marco de Acreditación: ¿Qué es la ISO/IEC 27006-1:2024?

La norma ISO/IEC 27006-1:2024 sustituye a las versiones anteriores para establecer los requisitos específicos que deben cumplir los organismos que realizan la auditoría y certificación de Sistemas de Gestión de Seguridad de la Información (SGSI). Su publicación en diciembre de 2024 responde a la necesidad de alinear los procesos de auditoría con la nueva estructura de controles de la ISO/IEC 27001:2022.

Para nosotros, como consultores expertos, esta norma representa el «manual de instrucciones» que seguirán los auditores para decidir cuánto tiempo pasarán en sus instalaciones y qué profundidad tendrá su examen. Ignorar estos cambios podría derivar en presupuestos de certificación imprevistos o, peor aún, en auditorías insuficientes que pongan en riesgo la validez del certificado.

El Rol de ENAC y el Calendario de Transición

Es crucial destacar que entidades como la Entidad Nacional de Acreditación (ENAC) ya han establecido la obligatoriedad de esta norma. Los organismos de certificación deben adaptar sus procesos internos de inmediato. Para las empresas, esto significa que las auditorías programadas a partir de mediados de 2025 probablemente se rijan ya por estos nuevos criterios de cálculo y planificación.

Cambios Fundamentales en la Determinación del Tiempo de Auditoría

Uno de los pilares de la reforma es cómo se cuantifica el esfuerzo auditor. Históricamente, muchas organizaciones tendían a minimizar el «recuento» de empleados para reducir los días de auditoría. La versión 2024 elimina estas ambigüedades.

Del Personal IT al Personal bajo Control Total

Hasta ahora, existía una tendencia a considerar únicamente al personal técnico o a aquellos con acceso directo a sistemas críticos. La ISO/IEC 27006-1:2024 da un giro de 180 grados: ahora se debe considerar a todas las personas bajo el control de la organización que formen parte del alcance.

Esto incluye:

  • Empleados a tiempo completo y parcial.
  • Contratistas externos que operan dentro de los procesos del SGSI.
  • Personal administrativo y operativo, incluso si su interacción con la tecnología es limitada.

Desde nuestra perspectiva en consultoría, ayudamos a nuestros clientes a realizar un censo preciso para evitar sorpresas durante la fase de contratación con la certificadora.

Clasificación del Personal en Actividades Idénticas

Afortunadamente, la norma no es puramente punitiva en cuanto a tiempos. Introduce la posibilidad de aplicar reducciones significativas si se demuestra que existen grupos de trabajadores que realizan actividades idénticas.

  • Ejemplos: Teleoperadores en un call center, operarios de almacén o personal comercial con perfiles de acceso estandarizados.
  • El beneficio: Si podemos documentar y probar que estos grupos operan bajo los mismos controles y riesgos, el tiempo de auditoría puede ajustarse a la baja, optimizando los costes de certificación.

Evaluación de Complejidad: Nuevos Criterios de Riesgo del SGSI

La norma 27006-1:2024 introduce una matriz más sofisticada para evaluar la complejidad de la organización. Ya no basta con el número de empleados; el auditor debe ponderar factores intrínsecos al negocio que pueden elevar o reducir la duración de la evaluación.

Factores que Incrementan la Complejidad

En Alisios Consultores, analizamos preventivamente estos factores para preparar a la organización:

  1. Entorno Tecnológico: El uso de nubes híbridas, arquitecturas de microservicios o tecnologías emergentes (IA, IoT) añade capas de complejidad.
  2. Criticidad de Servicios: Organizaciones que gestionan infraestructuras críticas o datos de salud pública enfrentarán auditorías más exhaustivas.
  3. Proveedores Externos: Una alta dependencia de terceros para procesos clave requiere que el auditor verifique cómo se gestiona la seguridad en la cadena de suministro.

El Impacto de los Centros de Procesamiento de Datos (CPD)

La norma clarifica cómo tratar los CPDs, ya sean internos o externos (Colocation). Si su organización depende críticamente de un centro de datos, el auditor deberá dedicar tiempo específico a evaluar la seguridad física y ambiental, lo cual debe estar perfectamente reflejado en el plan de auditoría.

Requisitos Estrictos para la Ampliación del Alcance

Es común que las empresas, tras un año exitoso de certificación, decidan incluir nuevos departamentos, procesos o sedes geográficas en su SGSI. La ISO/IEC 27006-1:2024 elimina la discrecionalidad del auditor en estos casos, imponiendo tiempos adicionales obligatorios.

Incrementos Mínimos de Tiempo

  • Evaluación conjunta (+0,5 días): Si la ampliación de alcance se realiza durante una auditoría de seguimiento o renovación programada, se debe sumar obligatoriamente medio día al cálculo base.
  • Auditoría independiente (+1 día): Si la organización requiere que la ampliación se certifique fuera de los ciclos normales, el tiempo mínimo adicional será de un día completo.

Este cambio es vital para la planificación presupuestaria anual. En nuestra consultoría, recomendamos integrar las ampliaciones de alcance dentro de los ciclos de renovación para maximizar la eficiencia en costes.

Auditorías Multisite: Identificación y Muestreo

Para organizaciones con múltiples sedes, la nueva norma aporta mayor claridad pero también mayor rigor en la selección de los centros a auditar.

Criterios de Muestreo y Sedes Relevantes

La norma refuerza que no todas las sedes son iguales. Se deben identificar las «sedes relevantes» basándose en el riesgo. Si una oficina remota maneja datos sensibles de clientes, no puede ser excluida del muestreo simplemente por su tamaño reducido.

El muestreo ahora requiere una justificación documental más sólida por parte de la certificadora, lo que obliga a la empresa a tener una gestión centralizada del SGSI impecable. Nosotros nos encargamos de asegurar que la comunicación entre la sede central y las delegaciones cumpla con estos estándares de auditoría.

¿Cómo puede Alisios Consultores ayudarle en esta transición?

Adaptarse a la ISO/IEC 27006-1:2024 no es solo una cuestión de cumplir con la ley, sino de aprovechar la oportunidad para fortalecer la seguridad de su información. Como su socio estratégico, ofrecemos un enfoque integral:

  1. Diagnóstico de Brechas (Gap Analysis): Evaluamos su situación actual frente a los nuevos criterios de complejidad y personal para predecir el impacto en sus futuras auditorías.
  2. Recálculo de Personal y Actividades: Ayudamos a categorizar su plantilla de manera que pueda beneficiarse de las reducciones por «actividades idénticas», optimizando el tiempo de auditoría.
  3. Actualización de la Documentación del SGSI: Alineamos sus políticas y procedimientos para que el auditor encuentre la evidencia necesaria de forma eficiente, reduciendo el riesgo de no conformidades.
  4. Gestión de la Certificadora: Actuamos como interlocutores con los organismos de certificación para asegurar que el cálculo de días propuesto sea justo y se ajuste a la realidad de su negocio.

Preguntas Frecuentes (FAQs)

1. ¿Si ya estoy certificado en ISO 27001, me afecta este cambio inmediatamente? No de forma inmediata en la validez de su certificado, pero sí en su próxima auditoría de seguimiento o renovación. La certificadora deberá aplicar los nuevos criterios de tiempo y complejidad en su próxima visita programada.

2. ¿Por qué ahora cuentan a todo el personal y no solo a los de IT? Porque la seguridad de la información es una responsabilidad transversal. Un error humano en el departamento de contabilidad o recursos humanos puede ser tan crítico como un fallo en el servidor. La norma busca una visión holística de la seguridad.

3. ¿Puedo reducir los días de auditoría si mi personal teletrabaja? El teletrabajo suele considerarse un factor de complejidad adicional debido a la dispersión del perímetro de seguridad. Sin embargo, si los procesos son idénticos, se pueden aplicar las reducciones por categorías homogéneas de personal.

4. ¿Qué pasa si mi empresa utiliza servicios en la nube (SaaS/IaaS)? La norma exige evaluar la gestión de esos proveedores. Si su dependencia es alta, esto influirá en la calificación de complejidad del SGSI, y el auditor dedicará más tiempo a revisar los acuerdos de nivel de servicio (SLA) y los controles de acceso a la nube.

5. ¿Es obligatorio el incremento de tiempo por ampliación de alcance? Sí, es un requisito normativo para la certificadora. No es una decisión comercial de la entidad auditora, sino una exigencia de la ISO/IEC 27006-1:2024 para garantizar que la nueva parte del alcance se evalúa con rigor.

Conclusión

La ISO/IEC 27006-1:2024 representa una maduración necesaria en la forma en que auditamos la seguridad de la información. Aunque introduce requisitos más estrictos en cuanto a la duración y profundidad de las auditorías, también ofrece una estructura más clara y justa para las organizaciones que gestionan sus riesgos de manera proactiva.

En Alisios Consultores, estamos preparados para guiar a su organización a través de estos cambios técnicos, asegurando que su transición sea fluida, sus costes estén optimizados y, sobre todo, que su certificación ISO 27001 siga siendo un sello de confianza y excelencia para sus clientes.

¿Desea saber cómo afectarán estos cambios específicamente al tiempo de su próxima auditoría? Contacte con nosotros hoy mismo para una consultoría personalizada.

Fecha

SOLICITE INFORMACIÓN

NOS PONDREMOS EN CONTACTO EN MENOS DE 24H.

Más
artículos

Alisios Consultores

Somos líderes en certificación, auditoría y evaluaciones en las áreas de calidad, medioambiente, seguridad alimentaria y salud en el trabajo.

Certificación de Sistemas

Cambio Climático - ODS

Seguridad Alimentaria

Oficinas en:

Santa Cruz de Tenerife – Las Palmas de G.C. – Lanzarote – Madrid – Barcelona – Murcia – Zaragoza – País Vasco – Sevilla – Málaga – Valencia –  Mallorca – Salamanca

©2004-2025 – ALISIOS CONSULTORES®

Protección de Datos | ISO 9001 | ISO 14001 | ISO 27001| ISO 45001 | ISO 22000 | Huella de Carbono | ENS | CompliancePlanes de Igualdad

error: Contenido protegido!!