Las organizaciones que ya tienen ISO 27001, y a veces ISO 27701, suelen hacer la misma pregunta cuando 42001 entra en la conversación: ¿tenemos que construir un segundo sistema de gestión desde cero, o podemos extender el que ya tenemos?
La respuesta técnica es la segunda. La respuesta organizativa depende de si el equipo que implanta 42001 entiende cómo las tres normas realmente comparten ADN, y dónde divergen.
## La creencia habitual
Dos errores opuestos dominan este espacio. El primero es que 42001 es “básicamente 27001 con un toque de IA”, y por tanto una extensión menor del SGSI existente. El segundo es que 42001 es tan diferente que requiere un sistema de gestión paralelo con sus propias políticas, procesos y documentación.
Ambos son erróneos. Las tres normas están deliberadamente diseñadas para interoperar, pero cada una gobierna un dominio distinto con diferencias no triviales en alcance, modelo de riesgo, y filosofía de control.
## Dónde está el problema real
ISO 27001, 27701 y 42001 siguen todas la Harmonized Structure (antes Anexo SL) que rige las normas modernas de sistemas de gestión ISO. Comparten los mismos apartados de alto nivel: contexto, liderazgo, planificación, soporte, operación, evaluación del desempeño, mejora. Ese es el andamiaje.
Donde difieren es en lo que se sienta dentro de ese andamiaje. Cada norma define su propio Anexo A de controles, su propio foco de riesgo, y sus propias definiciones de activo protegido.
### ISO 27001
Protege activos de información. Confidencialidad, integridad, disponibilidad. El Anexo A de la versión 2022 tiene 93 controles en cuatro temas: organizativos, de personas, físicos, tecnológicos. Modelo de riesgo: amenazas y vulnerabilidades actuando sobre activos.
### ISO 27701
Extiende ISO 27001 para proteger información personal identificable (PII). Añade requisitos específicos de PIMS, distinguiendo entre roles de responsable y encargado. Modelo de riesgo: hereda el enfoque de 27001, añade derechos de privacidad y cumplimiento regulatorio (GDPR, CCPA, otros).
### ISO 42001
Protege a las partes interesadas afectadas por sistemas de IA, incluidos usuarios, sujetos, y sociedad. El Anexo A tiene 38 controles centrados en preocupaciones específicas de IA: evaluación de impacto, datos para IA, gestión del ciclo de vida, IA de terceros, supervisión humana. Modelo de riesgo: impacto de las decisiones de IA sobre individuos y grupos, no solo sobre la organización.
> 27001 protege la información. 27701 protege a las personas cuyos datos están en esa información. 42001 protege a las personas afectadas por decisiones tomadas con esa información.
>
## Lo que realmente se puede integrar
La integración es significativa. La Harmonized Structure compartida te permite usar el mismo análisis de contexto, la misma estructura de liderazgo y responsabilidad, el mismo programa de auditoría interna, el mismo ciclo de revisión por la dirección, el mismo control documental, el mismo marco de competencia y formación, y el mismo proceso de mejora continua.
Para una organización mediana con un SGSI maduro, aproximadamente entre el 30% y el 45% del esfuerzo requerido para 42001 ya queda cubierto por el sistema de gestión existente. El 55%–70% restante es específico de IA y no puede acortarse.
## Lo que no se puede integrar (y no hay que intentarlo)
Los controles del Anexo A son la parte más difícil de integrar, y la más tentadora de forzar. Cinco áreas donde intentar la integración suele producir evidencia débil:
Evaluación de riesgos. Las evaluaciones de 27001 evalúan amenazas sobre activos de información. Las de 42001 evalúan impacto sobre partes afectadas. Un registro de riesgos fusionado suele perder la granularidad que los auditores esperan de los controles de impacto de 42001.
Gobierno del dato. 27001 pregunta cómo proteges los datos de accesos no autorizados. 42001 pregunta cómo aseguras que los datos son apropiados para entrenar y operar un sistema de IA. Preguntas relacionadas, controles distintos, evidencia distinta.
Gestión de terceros. El vendor risk de 27001 evalúa la postura de seguridad del proveedor. La evaluación de IA de terceros de 42001 mira cómo el proveedor construyó, documentó y testó su sistema de IA, y qué obligaciones fluyen hacia el desplegador.
Respuesta a incidentes. Los incidentes de 27001 son eventos de seguridad. Los incidentes de 42001 incluyen modos de fallo específicos de IA: drift, manifestación de sesgo, salidas dañinas, comportamiento no controlado de sistemas agénticos. Los playbooks de respuesta son materialmente distintos.
Supervisión humana. Un control genuinamente específico de 42001 sin equivalente en 27001 o 27701. No se puede retrofitear desde la documentación existente.
## Replanteando la pregunta
La pregunta no es “¿Cómo añadimos 42001 a nuestro SGSI?”. La pregunta es “¿Cómo operamos un sistema de gestión integrado que gobierne la seguridad de la información, la privacidad y la IA juntas, preservando los controles especializados que cada dominio requiere?”.
La distinción importa. Un sistema de gestión integrado es una única capacidad organizativa que aplica los controles correctos a los riesgos correctos. Una fusión forzada es un ejercicio documental que falla en la primera auditoría especializada.
## El cambio estructural
Durante la última década, las grandes organizaciones han ido moviéndose hacia Sistemas de Gestión Integrados (IMS) como arquitectura por defecto: calidad, medio ambiente, seguridad y salud, seguridad de la información y privacidad, todos gobernados a través de un único sistema con extensiones específicas por dominio.
La IA es el siguiente dominio en esa progresión. La disciplina de sistemas de gestión es lo suficientemente madura para absorber 42001 sin reescribir el manual. La disciplina no es lo suficientemente madura para colapsar los controles específicos de IA en controles generales sin perder significado.
## Qué significa esto para tu organización
Planifica la integración en la capa de arquitectura, no en la capa documental. Gobernanza compartida, programa de auditoría compartido, revisión por la dirección compartida, ciclo de mejora compartido. Implementaciones separadas de los controles del Anexo A con referencias cruzadas explícitas donde genuinamente solapan.
Reutiliza la evidencia deliberadamente. Los registros de formación, los marcos de competencia, el control documental y el onboarding de proveedores sirven legítimamente a las tres normas. Las evaluaciones de riesgo específicas de IA, las evaluaciones de impacto, y los logs de monitorización no.
Secuencia las auditorías de vigilancia con cuidado. Las auditorías integradas son eficientes cuando el sistema de gestión es maduro, contraproducentes cuando todavía se está estabilizando. La certificación 42001 del primer año suele ser más limpia cuando se audita independientemente, incluso si el sistema subyacente está integrado.
> La integración es un logro organizativo, no un atajo documental. Bien hecha, reduce el coste de auditoría año tras año. Mal hecha, convierte tres certificados en una estructura frágil.
>
—
¿Listo para pasar de la documentación a la certificación?
📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)
