En este artículo
- ISO 27001 y IA: dónde encaja la automatización
- Mapeo de controles del Anexo A con IA
- Generación automática de políticas y procedimientos
- Análisis de gaps automatizado
- Preparación de auditorías con IA
- Monitorización continua del SGSI
- Soberanía de datos: LLM locales para ISO 27001
- ROI de implementar IA en tu SGSI
- Preguntas frecuentes
ISO 27001 es el estándar internacional de referencia para sistemas de gestión de seguridad de la información (SGSI). Certificarse demuestra a clientes, partners y reguladores que tu organización gestiona la seguridad de forma sistemática. El problema es que implementar ISO 27001 es un proyecto largo, documentalmente intensivo y costoso.
La versión 2022 del estándar reorganizó los controles del Anexo A en 4 categorías (organizativos, personas, físicos, tecnológicos) con 93 controles. Cada control requiere una política o procedimiento documentado, evidencias de implementación y un proceso de revisión. Multiplicado por 93, estamos hablando de cientos de documentos.
La IA no certifica tu organización. Lo que hace es reducir el esfuerzo de documentación un 60-70%, automatizar la monitorización continua de controles y acelerar la preparación de auditorías. En esta guía vamos a ver cómo aplicar IA a cada fase del ciclo de vida de ISO 27001.
Resumen rápido
La IA reduce el esfuerzo de implementación de ISO 27001 un 25-35%, principalmente en documentación y monitorización. Genera borradores de políticas, mapea controles, identifica gaps y prepara evidencias para auditoría. Para datos sensibles del SGSI, usa modelos locales.
ISO 27001 y IA: dónde encaja la automatización
ISO 27001 tiene un ciclo de vida con fases bien definidas. La IA aporta valor diferente en cada una.
Fase de planificación (cláusulas 4-6). Comprensión del contexto, partes interesadas, alcance, análisis de riesgos y plan de tratamiento. La IA ayuda a analizar el contexto organizativo, identificar activos y generar el primer borrador del análisis de riesgos. No sustituye al equipo de dirección en las decisiones, pero acelera la recopilación y estructuración de la información.
Fase de implementación (cláusulas 7-8). Recursos, competencia, documentación, operación y evaluación de riesgos. Aquí es donde la IA tiene el mayor impacto: generación de políticas, procedimientos, registros y controles operativos documentados.
Fase de evaluación (cláusula 9). Monitorización, auditoría interna y revisión por dirección. La IA automatiza la monitorización de controles, genera informes de estado y prepara la documentación para auditorías internas y externas.
Fase de mejora (cláusula 10). No conformidades, acciones correctivas y mejora continua. La IA analiza tendencias en no conformidades, sugiere acciones correctivas basadas en el histórico y genera informes de seguimiento.
Mapeo de controles del Anexo A con IA
El Anexo A de ISO 27001:2022 contiene 93 controles organizados en 4 dominios. El primer paso es determinar cuáles aplican a tu organización (Statement of Applicability, SoA).
Generación del SoA con IA. Proporciona al modelo la descripción de tu organización (sector, tamaño, servicios, infraestructura) y los 93 controles del Anexo A. El modelo genera un borrador de SoA indicando para cada control: aplica/no aplica, justificación y estado de implementación estimado.
Eres un consultor ISO 27001 certificado. Genera un Statement of Applicability
(SoA) para una empresa con estas características:
- Sector: [tecnología/salud/finanzas/...]
- Empleados: [número]
- Servicios: [descripción de servicios]
- Infraestructura: [cloud/on-premise/híbrido, proveedores principales]
- Datos sensibles: [tipos de datos que manejan]
- Normativas adicionales: [ENS, NIS2, RGPD...]
Para cada control del Anexo A (A.5 a A.8), indica:
1. Aplica / No aplica
2. Justificación (1 frase)
3. Estado estimado: Implementado / Parcial / No implementado
4. Prioridad: Alta / Media / Baja
Formato tabla Markdown.
Crosswalk con otras normativas. Si tu organización ya cumple con ENS o NIS2, la IA mapea los controles existentes contra ISO 27001. Esto evita duplicar esfuerzos: un control de ENS que ya tienes implementado puede cubrir parcial o totalmente un control de ISO 27001. El crosswalk reduce el esfuerzo de implementación un 30-40% en organizaciones que ya cumplen otra normativa. Para más detalles sobre cumplimiento normativo con IA, consulta nuestra guía de IA para compliance.
Mapeo de controles contra infraestructura. Para los controles tecnológicos (A.8), la IA puede cruzar los requisitos del control con tu stack tecnológico y determinar qué herramientas ya cubren qué controles. Por ejemplo: si usas CrowdStrike, ya tienes cubierto parcialmente A.8.7 (protección contra malware). Si usas Vault de HashiCorp, cubres parte de A.8.24 (uso de criptografía).
Generación automática de políticas y procedimientos
Esta es la aplicación con mayor ROI inmediato. ISO 27001 requiere documentar políticas y procedimientos para cada control aplicable. Son documentos con estructura estandarizada que la IA genera con alta calidad.
Política de seguridad de la información (A.5.1). El documento maestro del SGSI. La IA genera un borrador completo con: declaración de compromiso de la dirección, objetivos de seguridad, alcance, roles y responsabilidades, principios rectores y proceso de revisión.
Procedimientos operativos. Para cada control técnico, necesitas un procedimiento que describa cómo se implementa, quién es responsable, con qué frecuencia se revisa y cómo se evidencia. La IA genera estos procedimientos a partir de la descripción del control y las características de tu infraestructura.
Registros y evidencias. La IA genera las plantillas de registros que necesitas mantener: registro de activos (A.5.9), registro de riesgos (cláusula 6.1.2), registro de incidentes (A.5.24-5.28), registro de accesos (A.5.15-5.18). Cada plantilla incluye los campos obligatorios según el estándar.
Análisis de gaps automatizado
El gap analysis identifica la distancia entre tu estado actual y los requisitos de ISO 27001. Es una de las fases más laboriosas porque requiere evaluar 93 controles contra la realidad de tu organización.
Gap analysis con IA. Proporciona al modelo tu SoA con el estado actual de cada control, las evidencias que tienes y la descripción de tu infraestructura. El modelo genera un informe de gaps priorizado por riesgo e impacto.
Priorización inteligente. No todos los gaps tienen la misma urgencia. Un gap en cifrado de datos en tránsito (A.8.24) en un sistema expuesto a internet es crítico. Un gap en la documentación del proceso de contratación (A.6.1) es importante pero no urgente. La IA prioriza los gaps cruzando: severidad del control, exposición del sistema, probabilidad de que el auditor lo revise y esfuerzo de remediación.
Plan de remediación. Para cada gap identificado, la IA genera una ficha de remediación con: descripción del gap, requisito de ISO 27001, acción correctiva propuesta, responsable sugerido, plazo estimado, coste estimado y dependencias. Esto convierte el gap analysis en un plan de proyecto ejecutable.
Seguimiento de progreso. Un LLM puede comparar el estado actual de los controles contra el plan de remediación y generar un informe de progreso: controles remediados, en curso, pendientes y retrasados. Este informe se puede automatizar semanalmente para mantener a dirección informada.
Preparación de auditorías con IA
La auditoría es el momento de la verdad. Un auditor externo revisa tu SGSI, verifica evidencias y determina si cumples con el estándar. La preparación es clave.
Simulación de auditoría. La IA puede actuar como auditor simulado. Le proporcionas tu documentación (SoA, políticas, procedimientos, evidencias) y le pides que identifique debilidades, inconsistencias y posibles no conformidades. No es igual que un auditor real, pero detecta un 60-70% de los problemas antes de la auditoría.
Actúa como auditor ISO 27001 certificado. Revisa la siguiente documentación
del SGSI y genera un informe de pre-auditoría con:
1. No conformidades mayores potenciales (showstoppers)
2. No conformidades menores potenciales (requieren corrección)
3. Observaciones (oportunidades de mejora)
4. Documentación faltante o incompleta
5. Inconsistencias entre documentos
Para cada hallazgo, indica:
- Control/cláusula afectada
- Descripción del hallazgo
- Evidencia necesaria para cerrar
- Prioridad de corrección
Documentación a revisar:
[Pega políticas, procedimientos, registros]
Preparación de evidencias. El auditor pedirá evidencias de que los controles están implementados y funcionando. La IA genera un checklist de evidencias por control: qué necesitas mostrar, dónde obtenerlo, en qué formato y quién lo tiene. Distribuye este checklist a los responsables con antelación suficiente.
Informe de revisión por dirección. La cláusula 9.3 exige una revisión por dirección del SGSI. La IA genera el informe con: estado de acciones de la revisión anterior, cambios en el contexto, resultados de auditorías internas, estado de no conformidades, resultados de monitorización, oportunidades de mejora y decisiones necesarias.
Monitorización continua del SGSI
La certificación ISO 27001 no es un evento, es un proceso continuo. La monitorización es donde la IA aporta más valor a largo plazo.
Dashboard de estado de controles. Un sistema automatizado que verifica periódicamente el estado de cada control. Para controles técnicos: ¿el antivirus está actualizado? ¿Los backups se ejecutaron? ¿Las vulnerabilidades críticas están parcheadas? Para controles organizativos: ¿la formación de concienciación se completó? ¿Las políticas se revisaron este trimestre? ¿El comité de seguridad se reunió?
Alertas de desviación. Cuando un control sale de cumplimiento, el sistema genera una alerta con: qué control está afectado, cuál es la desviación, desde cuándo y qué acción se recomienda. Esto convierte la gestión del SGSI de reactiva (prepararse para la auditoría) a proactiva (mantener el cumplimiento continuo).
Métricas de seguridad. ISO 27001 exige medir la eficacia de los controles (cláusula 9.1). La IA puede calcular y reportar métricas como: tiempo medio de respuesta a incidentes, porcentaje de controles conformes, número de vulnerabilidades abiertas por severidad, tasa de falsos positivos del SOC y progreso en remediación de hallazgos.
Informes periódicos automatizados. Mensual o trimestralmente, un workflow automatizado genera un informe de estado del SGSI: controles conformes/no conformes, incidentes del período, métricas de rendimiento, acciones correctivas en curso y próximas actividades. Este informe sirve como input para la revisión por dirección.
Soberanía de datos: LLM locales para ISO 27001
Aquí hay una ironía que no se puede ignorar: estás implementando un sistema de gestión de seguridad de la información y, para generar la documentación, envías información sobre tus controles, vulnerabilidades y riesgos a una API externa.
Qué datos son sensibles en el contexto de ISO 27001:
- Inventario de activos y su clasificación de seguridad.
- Análisis de riesgos (amenazas, vulnerabilidades, probabilidades, impacto).
- Estado de controles (qué está implementado, qué no, qué gaps tienes).
- Informes de auditoría interna y hallazgos.
- Planes de tratamiento de riesgos (tus debilidades y cómo planeas corregirlas).
- Registros de incidentes de seguridad.
Enviar esta información a una API externa es, en sí mismo, un riesgo de seguridad. Un atacante que acceda a esa información tendría un mapa detallado de tus debilidades.
La solución: modelos locales. Para toda la documentación sensible del SGSI, usa modelos que se ejecuten en tu propia infraestructura. Qwen3 27B o Llama 3.3 70B desplegados en un servidor con GPU producen documentación de calidad comparable a los modelos comerciales. Para una guía de cómo desplegar modelos locales, consulta nuestra guía de Ollama.
Excepción para datos genéricos. Las plantillas de políticas genéricas (sin datos específicos de tu organización), la estructura del SGSI y la información pública sobre ISO 27001 se pueden procesar con APIs comerciales sin riesgo. La regla es simple: si el documento contiene información que un atacante podría usar contra ti, procesálo en local.
Para profundizar en la aplicación de IA en ciberseguridad, consulta nuestra guía de IA para ciberseguridad.
ROI de implementar IA en tu SGSI
Veamos los números concretos de lo que cuesta implementar ISO 27001 con y sin IA.
Coste tradicional (sin IA) para una PYME de 100 empleados:
- Consultoría externa: 20.000-40.000 EUR
- Herramienta GRC: 5.000-15.000 EUR/año
- Tiempo interno del equipo: 500-800 horas
- Auditoría de certificación: 5.000-10.000 EUR
- Total primer año: 35.000-70.000 EUR
Coste con IA:
- Consultoría externa (reducida): 10.000-20.000 EUR (la IA genera borradores, el consultor valida)
- Herramienta GRC + IA: 5.000-15.000 EUR/año
- Infraestructura LLM local: 200-500 EUR/mes (servidor con GPU)
- Tiempo interno del equipo: 250-400 horas (reducción del 50%)
- Auditoría de certificación: 5.000-10.000 EUR (no cambia)
- Total primer año: 25.000-50.000 EUR
Ahorro estimado: 25-35% en el primer año. El mayor ahorro está en la reducción de horas de consultoría y tiempo interno. En años siguientes, el ahorro es mayor porque la monitorización continua con IA reduce el esfuerzo de mantenimiento del SGSI un 40-50%.
Beneficios no cuantificables:
- Monitorización continua vs. preparación puntual para auditoría.
- Detección temprana de desviaciones antes de que se conviertan en no conformidades.
- Documentación más consistente y actualizada.
- Menor dependencia de consultores externos para el mantenimiento.
Preguntas frecuentes
¿Puede la IA ayudar a certificarse en ISO 27001?
Sí, significativamente. La IA acelera la generación de documentación (60-70% más rápido), mapea controles del Anexo A contra tu infraestructura, identifica gaps y prepara evidencias para la auditoría. Lo que no puede hacer es tomar decisiones de gestión de riesgos ni sustituir la competencia del equipo. El auditor evalúa la implementación real, no solo los documentos. Pero unos documentos bien generados con IA y revisados por el equipo pasan la auditoría sin problemas.
¿Qué controles de ISO 27001 se pueden automatizar con IA?
Los controles tecnológicos (A.8) son los más automatizables: gestión de vulnerabilidades, monitorización de logs, detección de anomalías, cifrado, backups. Los controles organizativos (A.5) se benefician de la generación automática de documentación. Los de personas (A.6) se apoyan con formación y concienciación automatizada. Los controles físicos (A.7) son los menos automatizables con IA, aunque la monitorización de accesos físicos con cámaras inteligentes es un caso emergente.
¿Es seguro usar IA comercial para documentación de ISO 27001?
Para plantillas genéricas y estructura del SGSI, sí. Para análisis de riesgos, inventario de activos, estado de controles, hallazgos de auditoría y planes de tratamiento, no. Esa información revela tus debilidades de seguridad. Usa modelos locales (Qwen3, Llama) para toda la documentación que contenga datos específicos de tu organización. La regla: si un atacante podría usar esa información contra ti, procesálo en local.
¿Cuánto reduce la IA el coste de implementar ISO 27001?
En el primer año, el ahorro es del 25-35% sobre el coste total. La mayor reducción está en documentación (60-70% menos tiempo) y en horas de consultoría (el consultor valida borradores en lugar de crearlos desde cero). En años siguientes, la monitorización continua con IA reduce el esfuerzo de mantenimiento un 40-50%. Para una PYME de 100 empleados, el ahorro es de 10.000-20.000 EUR en el primer año.
Si quieres aprender a aplicar IA a cumplimiento normativo y seguridad, consulta los planes de IAcademy.
Domina la IA aplicada a GRC y seguridad
Los 3 primeros módulos de IAcademy son gratis. Incluyen prompting avanzado, automatización y IA para equipos de seguridad.
Empieza gratisCurso completo: 108 módulos de IA aplicada
11 especializaciones por departamento. Dashboard con progreso. Quizzes y skills desbloqueables. Desde 399 EUR.