ISO 42001, 27001 y 27701: Construyendo un Sistema de Gestión Integrado
Definición
Las organizaciones que ya poseen la certificación ISO 27001, y en ocasiones también la ISO 27701, suelen plantear la misma pregunta cuando la 42001 entra en la conversación: ¿hay que construir un segundo sistema de gestión desde cero, o podemos ampliar lo que ya tenemos?
La respuesta técnica es la segunda. La respuesta organizativa depende de si el equipo que implanta la 42001 entiende cómo comparten ADN las tres normas, y en qué puntos divergen.
La creencia habitual
Dos errores opuestos dominan este espacio. El primero es que la 42001 es «básicamente la 27001 con un toque de IA», y por tanto una extensión menor del SGSI existente. El segundo es que la 42001 es tan diferente que requiere un sistema de gestión paralelo con sus propias políticas, procesos y documentación.
Ambos son incorrectos. Las tres normas están diseñadas deliberadamente para interoperar, pero cada una rige un dominio distinto con diferencias no triviales en alcance, modelo de riesgo y filosofía de control.
Dónde reside el problema real
ISO 27001, 27701 y 42001 siguen todas la Estructura Armonizada (anteriormente Anexo SL) que rige los estándares modernos de sistemas de gestión ISO. Comparten las mismas cláusulas de nivel superior: contexto, liderazgo, planificación, apoyo, operación, evaluación del desempeño y mejora. Eso es el andamiaje.
La diferencia está en lo que se encuentra dentro de ese andamiaje. Cada norma define sus propios controles del Anexo A, su propio enfoque de riesgo y sus propias definiciones del activo protegido.
ISO 27001
Protege los activos de información. Confidencialidad, integridad, disponibilidad. El Anexo A de la versión 2022 tiene 93 controles distribuidos en cuatro temáticas: organizativos, de personas, físicos y tecnológicos. Modelo de riesgo: amenazas y vulnerabilidades que actúan sobre los activos.
ISO 27701
Extiende la ISO 27001 para proteger la información de identificación personal (PII). Añade requisitos específicos del SGPI, diferenciando entre roles de responsable y encargado del tratamiento. Modelo de riesgo: hereda el enfoque de riesgo de la 27001 y añade derechos de privacidad y cumplimiento normativo (GDPR, CCPA y otros).
ISO 42001
Protege a las partes interesadas afectadas por los sistemas de IA, incluidos usuarios, sujetos y la sociedad en su conjunto. El Anexo A tiene 38 controles centrados en cuestiones específicas de la IA: evaluación de impacto, datos para IA, gestión del ciclo de vida, IA de terceros y supervisión humana. Modelo de riesgo: impacto de las decisiones de IA sobre individuos y grupos, no solo sobre la organización.
La 27001 protege la información. La 27701 protege a las personas cuyos datos están en esa información. La 42001 protege a las personas afectadas por las decisiones tomadas con esa información.
Qué se puede integrar realmente
La integración es significativa. La Estructura Armonizada compartida permite utilizar el mismo análisis de contexto, la misma estructura de liderazgo y responsabilidad, el mismo programa de auditoría interna, el mismo ciclo de revisión por la dirección, el mismo control de documentos, el mismo marco de competencias y formación, y el mismo proceso de mejora continua.
Para una organización mediana con un SGSI maduro, aproximadamente entre el 30 % y el 45 % del esfuerzo necesario para la 42001 ya está cubierto por el sistema de gestión existente. El 55 % a 70 % restante es específico de la IA y no admite atajos.
Qué no se puede integrar (y no se debe intentar)
Los controles del Anexo A son la parte más difícil de integrar, y la más tentadora de forzar. Cinco áreas en las que intentar la integración suele producir evidencias débiles:
Evaluación de riesgos. Las evaluaciones de riesgo de la 27001 evalúan las amenazas a los activos de información. Las evaluaciones de riesgo de la 42001 evalúan el impacto sobre las partes afectadas. Un registro de riesgos fusionado suele perder la granularidad que los auditores esperan de los controles de evaluación de impacto de la 42001.
Gobernanza de datos. La 27001 pregunta cómo se protegen los datos frente a accesos no autorizados. La 42001 pregunta cómo se garantiza que los datos son apropiados para entrenar y operar un sistema de IA. Preguntas relacionadas, controles distintos, evidencias distintas.
Gestión de terceros. La evaluación de riesgos de proveedores en la 27001 evalúa la postura de seguridad del proveedor. La evaluación de IA de terceros en la 42001 examina cómo el proveedor construyó, documentó y probó su sistema de IA, y qué obligaciones se trasladan al desplegador.
Respuesta a incidentes. Los incidentes en la 27001 son eventos de seguridad. Los incidentes en la 42001 incluyen modos de fallo específicos de la IA: deriva, manifestación de sesgos, salidas perjudiciales, comportamiento no controlado de sistemas agénticos. Los manuales de respuesta difieren de forma significativa.
Supervisión humana. Un control genuinamente específico de la 42001 sin equivalente en la 27001 ni en la 27701. No puede adaptarse de la documentación existente.
La pregunta no es «¿Cómo añadimos la 42001 a nuestro SGSI?». La pregunta es «¿Cómo operamos un sistema de gestión integrado que gobierne conjuntamente la seguridad de la información, la privacidad y la IA, preservando al mismo tiempo los controles especializados que requiere cada dominio?»
La distinción importa. Un sistema de gestión integrado es una capacidad organizativa única que aplica los controles adecuados a los riesgos adecuados. Una fusión forzada es un ejercicio documental que fracasa ante la primera auditoría especializada.
El cambio estructural
Durante la última década, las grandes organizaciones han ido adoptando los Sistemas de Gestión Integrados (SGI) como arquitectura predeterminada: calidad, medioambiente, seguridad y salud en el trabajo, seguridad de la información y privacidad, todos gobernados a través de un único sistema con extensiones específicas por dominio.
La IA es el siguiente dominio en esa progresión. La disciplina de los sistemas de gestión es lo suficientemente madura como para absorber la 42001 sin reescribir el manual. La disciplina no es lo suficientemente madura como para colapsar los controles específicos de IA en controles generales sin perder significado.
Qué significa esto para su organización
Planifique la integración en la capa de arquitectura, no en la capa documental. Gobernanza compartida, programa de auditoría compartido, revisión por la dirección compartida, ciclo de mejora compartido. Implementaciones de controles del Anexo A separadas con referencias cruzadas explícitas donde se solapen de forma genuina.
Reutilice las evidencias de forma deliberada. Los registros de formación, los marcos de competencias, el control de documentos y la incorporación de proveedores sirven legítimamente a las tres normas. Las evaluaciones de riesgo específicas de IA, las evaluaciones de impacto y los registros de monitorización no.
Programe las auditorías de seguimiento con cuidado. Las auditorías integradas son eficientes cuando el sistema de gestión es maduro, y contraproducentes cuando todavía se está estabilizando. La certificación 42001 del primer año suele ser más limpia cuando se audita de forma independiente, incluso si el sistema subyacente está integrado.
La integración es un logro organizativo, no un atajo documental. Bien hecha, reduce el coste de auditoría año tras año. Mal hecha, convierte tres certificados en una estructura frágil.
¿Listo para pasar de la documentación a la certificación?
📩 [email protected] · 🌐 zertia.ai
Definiciones que se sostienen ante un auditor.
¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.
