De la ISO 27001 a la ISO 42001: cómo ampliar su SGSI hacia un sistema de gestión de IA (2026)
ai-governance
audit-certification

De la ISO 27001 a la ISO 42001: cómo ampliar su SGSI hacia un sistema de gestión de IA (2026)

La ISO 27001 le da ventaja sobre la ISO 42001, no un pase libre. Esto es lo que se traslada, lo que es nuevo y cómo ampliar su SGSI hacia un SGIA, paso a paso.

Alexis HIRSCHHORN
Alexis HIRSCHHORN
12 min read

Si su organización ya tiene la ISO/IEC 27001, no empieza su recorrido hacia la ISO/IEC 42001 desde cero. Según nuestra experiencia, los equipos con un sistema de gestión de seguridad de la información maduro comprueban que una gran parte de la maquinaria de gobernanza se traslada directamente. Lo que no se traslada es la parte que más importa para la IA: los controles que rigen cómo se construyen, entrenan, supervisan y autorizan a decidir los sistemas de IA. En Abilene Academy, el único socio PECB Titanium de Suiza, es una pregunta que recibimos constantemente de equipos que acaban de obtener su certificado SGSI y ahora se enfrentan al Reglamento de IA de la UE: ¿necesitamos la ISO 42001 y qué parte de nuestro trabajo de 27001 podemos reutilizar? Esta guía responde a ambas, de forma práctica y paso a paso, a partir de los documentos que usted ya posee.

La versión corta

Reutilice su sistema de gestión, no sus controles. Las cláusulas 4 a 10 de la ISO 27001 se corresponden en gran medida, cláusula por cláusula, con las de la ISO 42001: su estructura de gobernanza, su programa de auditoría interna y sus revisiones por la dirección se amplían con ajustes en lugar de una reconstrucción. El verdadero trabajo está en el conjunto de controles específicos de IA y en la evaluación de impacto de los sistemas de IA, que no tienen equivalente en su SGSI.

La ISO 27001 es su punto de partida, no su meta

La ISO 27001 protege la información. La ISO 42001 gobierna la inteligencia artificial. Se apoyan en el mismo esqueleto pero responden a preguntas distintas. Su SGSI pregunta si la información sigue siendo confidencial, disponible e íntegra. Un sistema de gestión de IA, o SGIA, pregunta si sus sistemas de IA son equitativos, transparentes, responsables y seguros a lo largo de todo su ciclo de vida. Un equipo que trata la 42001 como una 27001 con una etiqueta de IA suspende su primera auditoría de certificación, porque el auditor busca evidencias de una gobernanza de la IA que un SGSI nunca fue diseñado para producir.

ISO/IEC 42001:2023 es la primera norma internacional de sistema de gestión para la inteligencia artificial. Especifica los requisitos para establecer, implementar, mantener y mejorar de forma continua un sistema de gestión de IA, de modo que una organización pueda desarrollar o utilizar la IA de manera responsable.

Un sistema de gestión de IA (SGIA) es el conjunto de políticas, roles, procesos y controles que una organización utiliza para gobernar sus sistemas de IA, del mismo modo que un SGSI gobierna la seguridad de la información.

Este es el reparto honesto: la estructura se transfiere, el fondo no. El diagrama siguiente muestra qué partes de su SGSI existente reutiliza y cuáles construye de nuevo.

Widget

Un diagrama de correspondencia que muestra el SGSI ISO 27001 como base, la estructura armonizada compartida (cláusulas 4 a 10) reutilizada en el centro, y las adiciones del SGIA ISO 42001 a la derecha: controles específicos de IA del Anexo A, evaluación de impacto de los sistemas de IA, clasificación de roles, gobernanza de datos y del ciclo de vida.

Lo que realmente se traslada de la ISO 27001

Ambas normas siguen la estructura armonizada de ISO, la plantilla común de 10 cláusulas que ISO utiliza para todo sistema de gestión moderno. Las cláusulas 4 a 10 son estructuralmente casi idénticas en su intención. Si ya realizó este trabajo para su SGSI, lo adapta en lugar de reconstruirlo.

Contexto y partes interesadas (cláusula 4)

Ya cartografió sus cuestiones internas y externas y sus partes interesadas para el SGSI. Para el SGIA amplía ese mapa para incluir a las partes específicas de la IA, como las personas afectadas por decisiones automatizadas y los proveedores de los modelos que despliega.

Liderazgo y política (cláusula 5)

Su política de seguridad de la información y su estructura de gobernanza se transfieren directamente. Añade una política de IA y asigna la responsabilidad de la IA, que puede recaer en el mismo órgano de gobernanza que ya gestiona el SGSI.

Planificación y gestión del cambio (cláusula 6)

Su metodología de riesgos se traslada como método. El objeto del riesgo pasa de los activos de información a los sistemas de IA y sus impactos, pero el proceso de identificar, evaluar y tratar el riesgo es el que ya ejecuta.

Apoyo, concienciación y competencia (cláusula 7)

El control documental, la comunicación y los procesos de formación se amplían tal cual. Añade requisitos de competencia específicos de IA para las personas que construyen y operan los sistemas de IA.

Operación, evaluación y mejora (cláusulas 8 a 10)

La auditoría interna, la revisión por la dirección, la no conformidad y la acción correctiva reutilizan toda la maquinaria existente de su SGSI. Amplía el enunciado del alcance y el programa de auditoría para incluir el SGIA.

La trampa que buscan los auditores

Reutilizar el sistema de gestión es correcto. Copiar su Declaración de Aplicabilidad de la ISO 27001 y renombrarla no lo es. Los controles del Anexo A pertenecen a normas distintas con objetivos distintos, y un auditor que vea controles de seguridad de la información disfrazados de controles de IA levantará una no conformidad mayor.

Lo que es genuinamente nuevo en la ISO 42001

Aquí es donde su SGSI no le ofrece ningún atajo, y donde reside la mayor parte del verdadero esfuerzo de implementación. La ISO 42001 introduce su propio conjunto de controles del Anexo A (citado a menudo como 38 controles de referencia) organizados en dominios que cubren la política de IA, la organización interna, los recursos de los sistemas de IA, la evaluación del impacto de los sistemas de IA, el ciclo de vida de los sistemas de IA, los datos de los sistemas de IA, la información para las partes interesadas, el uso de los sistemas de IA y las relaciones con terceros. La ISO 27001 solo tiene el Anexo A. La ISO 42001 añade tres anexos más que hacen un trabajo real: el Anexo B ofrece orientación de implementación para cada control, el Anexo C enumera los objetivos y las fuentes de riesgo potenciales relacionados con la IA, y el Anexo D explica cómo aplicar el SGIA en distintos dominios y sectores.

Una evaluación de impacto de los sistemas de IA es una evaluación estructurada de las consecuencias potenciales de un sistema de IA para las personas, los grupos y la sociedad, incluida la equidad, la seguridad y los derechos. La exige la ISO 42001 y no tiene equivalente en la ISO 27001. La ISO/IEC 42005 proporciona un método reconocido para llevarla a cabo.

Tres adiciones merecen atención específica, porque los equipos las subestiman de forma sistemática. Primero, la evaluación de impacto de los sistemas de IA es una disciplina nueva, no una evaluación de riesgos renombrada: mira hacia fuera, al efecto del sistema sobre las personas, mientras que su evaluación de riesgos del SGSI mira hacia dentro, a las amenazas sobre sus activos. Segundo, la ISO 42001 exige que clasifique su rol para cada sistema de IA, porque un proveedor que desarrolla un modelo asume obligaciones distintas de las de un desplegador que simplemente lo usa. Tercero, la norma exige gobernanza sobre los datos y sobre todo el ciclo de vida del modelo, mucho más amplia que los controles de tratamiento de datos de su SGSI.

El ciclo de vida de los sistemas de IA que ahora debe gobernar

La ISO 42001 espera controles a lo largo de toda la vida de un modelo: diseño y objetivos, recopilación y preparación de datos, desarrollo y entrenamiento, verificación y validación, despliegue, operación y supervisión, y finalmente retirada. Cada etapa introduce sus propios riesgos, desde datos de entrenamiento sesgados hasta la deriva del modelo en producción, y cada una necesita evidencias de que la gestiona. Para la disciplina de riesgo que sustenta esto, la ISO/IEC 23894 ofrece orientación sobre la gestión del riesgo de IA que complementa los requisitos de la 42001 y encaja en la misma metodología que ya utiliza para la ISO 27001.

Cómo ampliar su SGSI hacia un SGIA, paso a paso

Esta es la secuencia práctica que enseñamos en el aula y aplicamos en implementaciones reales. Supone que usted tiene un certificado ISO 27001 vigente y quiere alcanzar la ISO 42001 con el menor esfuerzo duplicado.

Paso 1. Construya el inventario de sus sistemas de IA

No puede gobernar lo que no ha inventariado. Inventaríe cada sistema de IA que desarrolla, integra o utiliza, incluidas las herramientas de terceros y cualquier IA generativa de uso diario. Para cada uno, registre su finalidad, los datos que consume, las decisiones en las que influye y quién es su responsable. Es el equivalente, para el SGIA, de su registro de activos de información, y todo lo demás se apoya en él.

Paso 2. Clasifique su rol para cada sistema

Para cada sistema del inventario, decida si es el proveedor, el desarrollador o productor, o el desplegador. La clasificación fija sus obligaciones tanto en la ISO 42001 como en el Reglamento de IA de la UE: resuélvala antes de delimitar cualquier otra cosa.

Paso 3. Realice un análisis de brechas frente al Anexo A de la ISO 42001

Coloque sus controles SGSI existentes junto a los controles de IA del Anexo A. Comprobará que los controles organizativos, documentales y de acceso se transfieren en gran medida, mientras que los controles específicos de IA en torno al impacto, la calidad de los datos, la transparencia y el ciclo de vida están vacíos. Las filas vacías son su backlog de implementación. Cuando hacemos este mapeo nosotros mismos, lo mantenemos en una plataforma GRC multimarco, Acuna GRC, en lugar de una hoja de cálculo, porque enlaza los conjuntos de controles de 27001 y 42001 de modo que, cuando un control cambia, usted ve qué afecta en el otro, algo que una hoja de cálculo estática no puede hacer.

Paso 4. Amplíe su alcance y sus criterios de riesgo

Amplíe el enunciado del alcance de su sistema de gestión para cubrir el SGIA, y añada criterios de riesgo e impacto de IA a su metodología existente. Mantenga un único proceso de riesgo integrado en lugar de dos paralelos; los auditores y su propio equipo se lo agradecerán.

Paso 5. Realice las evaluaciones de impacto de los sistemas de IA

Para cada sistema de alto impacto, realice una evaluación de impacto que cubra la equidad, la seguridad, la transparencia y el efecto sobre las personas, utilizando la ISO/IEC 42005 como método. Es la brecha más frecuente en la certificación: hágalo pronto y documéntelo bien.

Paso 6. Construya los controles de IA y redacte una Declaración de Aplicabilidad para el SGIA

Implemente los controles del Anexo A que su análisis de brechas señaló como ausentes, y luego produzca una nueva Declaración de Aplicabilidad para el SGIA. No reutilice el documento del SGSI; justifique cada control de IA por sus propios términos.

Paso 7. Amplíe su maquinaria de auditoría y revisión, y realice una auditoría interna

Amplíe su programa de auditoría interna ISO 27001 y su revisión por la dirección para incluir el SGIA, y luego realice una auditoría interna completa frente a la ISO 42001. Trate los hallazgos como su ensayo general antes de la certificación.

Paso 8. Reutilice las evidencias de auditoría donde realmente se solapen

Las evidencias de compromiso de la dirección, control documental, registros de formación y disciplina de acción correctiva de su última auditoría de seguimiento ISO 27001 pueden respaldar directamente la auditoría del SGIA. Las evidencias de los controles de IA, las evaluaciones de impacto y la gobernanza de datos deben generarse de nuevo.

Reutilice el documento, no el contenido

Su reutilización más sólida es estructural: la misma plantilla de registro de riesgos, el mismo formato de lista de verificación de auditoría interna, el mismo orden del día de la revisión por la dirección. Conserve los formatos que su equipo ya conoce y rellénelos con contenido de IA. Estructura familiar más fondo nuevo es la vía honesta más eficiente hacia la certificación.

La ISO 27001 y la ISO 42001 en paralelo

La ISO 27001 frente a la ISO 42001 de un vistazo

Dimensión: Qué gobierna

ISO/IEC 27001La seguridad de la información (un SGSI)
ISO/IEC 42001La inteligencia artificial (un SGIA)
Qué reutilizaLa estructura de sistema de gestión, no el tema

Dimensión: Pregunta central

ISO/IEC 27001¿Es la información confidencial, disponible e íntegra?
ISO/IEC 42001¿Son los sistemas de IA equitativos, transparentes, responsables y seguros?
Qué reutilizaSu modelo de gobernanza y rendición de cuentas

Dimensión: Cláusulas de gestión

ISO/IEC 27001Cláusulas 4 a 10 (estructura armonizada)
ISO/IEC 42001Cláusulas 4 a 10 (estructura armonizada)
Qué reutilizaCasi todo, con ajustes

Dimensión: Estructura de anexos

ISO/IEC 27001Solo Anexo A (93 controles)
ISO/IEC 42001Anexo A más los anexos B, C y D
Qué reutilizaLa disciplina de una DdA, no su contenido

Dimensión: Foco del riesgo

ISO/IEC 27001Amenazas a los activos de información
ISO/IEC 42001Riesgos e impactos de los sistemas de IA sobre las personas
Qué reutilizaEl método de riesgo, no el objeto del riesgo

Dimensión: Artefacto distintivo

ISO/IEC 27001Declaración de Aplicabilidad
ISO/IEC 42001Evaluación de impacto de los sistemas de IA y una nueva DdA
Qué reutilizaEl registro de riesgos y las plantillas de auditoría

Dimensión: Certificación

ISO/IEC 27001Auditoría de tercera parte acreditada
ISO/IEC 42001Auditoría de tercera parte acreditada
Qué reutilizaSu maquinaria de auditoría y revisión

Sobre nosotros

Abilene Academy tiene una tasa de aprobado del 99 % en los exámenes PECB a la primera, con más de 2.500 profesionales formados en más de 120 países y más de 600 organizaciones atendidas. Impartimos los cursos de ISO 27001 e ISO 42001 en español, inglés y francés, con otros idiomas bajo petición.

Por qué el calendario no es opcional

El Reglamento de IA de la UE, el Reglamento (UE) 2024/1689, se aplica por fases, y un hito clave, el 2 de agosto de 2026, pone en vigor las obligaciones para la IA de uso general y las disposiciones de gobernanza del Reglamento. El Reglamento va más allá de la Unión Europea: una organización suiza que coloca un sistema de IA en el mercado de la UE, o cuya salida de IA se utiliza dentro de la UE, entra en su ámbito. La ISO 42001 es la vía reconocida para demostrar la gobernanza que el Reglamento espera, y por eso los equipos que ya invirtieron en la ISO 27001 están ampliando hacia la 42001 ahora en lugar de esperar. Nuestra guía de conformidad con el Reglamento de IA desglosa las obligaciones y los plazos, y el panorama suizo se conecta directamente con las expectativas de la FINMA y la LPD revisada.

Un certificado ISO 27001 no es conformidad con la IA

Tener la ISO 27001 no le hace conforme con el Reglamento de IA de la UE, y no cubre el riesgo específico de la IA. Si despliega o desarrolla sistemas de IA que tocan el mercado de la UE, planifique su trabajo de ISO 42001 frente al hito del 2 de agosto de 2026 ahora, no después de que pase.

El camino de formación de la 27001 a la 42001

Si su equipo ya tiene las certificaciones ISO 27001 Lead Implementer o Lead Auditor, el salto a la ISO 42001 es menor de lo que sugiere el título, porque el razonamiento de sistema de gestión es idéntico. Lo que su gente necesita es la capa específica de IA: los controles del Anexo A, la evaluación de impacto y las obligaciones de rol. La ISO 42001 Lead Implementer es el siguiente paso directo para el equipo que amplía el sistema de gestión, la ISO 42001 Lead Auditor conviene a quienes auditarán el SGIA, y el Lead AI Risk Manager encaja con el responsable de riesgos que realizará las evaluaciones de riesgo e impacto de IA. Las impartimos en aula presencial, aula virtual, eLearning y autoestudio.

¿Listo para ampliar su SGSI hacia un SGIA? El curso ISO 42001 Lead Implementer es el siguiente paso directo para el equipo que construye el SGIA, y ISO 42001 Lead Auditor prepara a quienes lo auditarán.

Para una organización con un SGSI ISO 27001 maduro, una ampliación centrada hacia la ISO 42001 lleva habitualmente de tres a seis meses, según cuántos sistemas de IA estén en el alcance y cuánta gobernanza de IA ya exista de manera informal. El trabajo de sistema de gestión es rápido porque reutiliza lo existente; el tiempo se concentra en el inventario de sistemas de IA, las evaluaciones de impacto y la construcción de los nuevos controles del Anexo A.

Fuentes y referencias

ISO/IEC 42001:2023, Inteligencia artificial, Sistema de gestión (iso.org).

ISO/IEC 27001:2022, Sistemas de gestión de la seguridad de la información, Requisitos (iso.org).

ISO/IEC 42005, Inteligencia artificial, Evaluación de impacto de los sistemas de IA (iso.org).

ISO/IEC 23894:2023, Inteligencia artificial, Orientación sobre la gestión del riesgo (iso.org).

Reglamento (UE) 2024/1689 (el Reglamento de IA de la UE) (eur-lex.europa.eu).

Preguntas frecuentes

La ISO 27001 no cubre la inteligencia artificial: si usted desarrolla o despliega sistemas de IA, la ISO 27001 por sí sola deja una brecha de gobernanza. La ISO 42001 es la norma diseñada para esa brecha, y es la vía reconocida para demostrar la gobernanza de la IA que el Reglamento de IA de la UE exige a partir del 2 de agosto de 2026. La buena noticia: su SGSI le da una ventaja considerable, porque ambas normas comparten la misma estructura de sistema de gestión. Usted amplía en lugar de empezar de cero.

Las cláusulas de sistema de gestión, las cláusulas 4 a 10, se trasladan casi por completo: su estructura de gobernanza, su metodología de riesgos, su programa de auditoría interna y su revisión por la dirección se amplían con ajustes en lugar de reconstruirse. Lo que no se traslada es el conjunto de controles del Anexo A. La ISO 42001 tiene sus propios controles específicos de IA y exige una evaluación de impacto de los sistemas de IA que no tiene equivalente en un SGSI. En la práctica, la estructura se transfiere y el fondo es nuevo.

Sí. La ISO 42001 es una norma de sistema de gestión autónoma y no exige la ISO 27001 como requisito previo. Dicho esto, las organizaciones que ya tienen la ISO 27001 alcanzan la ISO 42001 más rápido y a menor coste, porque reutilizan la base de gestión compartida. Si no tiene ninguna de las dos, muchos equipos construyen primero el SGSI, porque una seguridad de la información sólida sustenta una IA responsable.

Solo en parte. La ISO 27001 cubre la seguridad de la información que utiliza un sistema de IA, pero no dice nada sobre la equidad, la transparencia, la rendición de cuentas ni el impacto de las decisiones automatizadas en las personas. Esas son las preocupaciones que la ISO 42001 fue escrita para abordar, mediante su evaluación de impacto de los sistemas de IA y sus controles específicos de IA. Considerar la ISO 27001 como cobertura del riesgo de IA es el malentendido más frecuente y más costoso que encontramos.

Para una organización con un SGSI ISO 27001 maduro, una ampliación centrada hacia la ISO 42001 lleva habitualmente de tres a seis meses, según cuántos sistemas de IA estén en el alcance y cuánta gobernanza de IA ya exista de manera informal. El trabajo de sistema de gestión es rápido porque reutiliza lo existente; el tiempo se concentra en el inventario de sistemas de IA, las evaluaciones de impacto y la construcción de los nuevos controles del Anexo A.

Formaciones relacionadas

Cursos mencionados en este artículo

ISO 42001 Lead Implementer

Este curso ISO/IEC 42001 Lead Implementer forma a profesionales para diseñar y desplegar un Sistema de Gestión de Inteligencia Artificial que resista el escrutinio regulatorio, ético y operativo.

Ver curso

ISO 42001 Lead Auditor

Esta formación ISO/IEC 42001 Lead Auditor prepara a profesionales de auditoría, riesgos y cumplimiento para evaluar Sistemas de Gestión de Inteligencia Artificial (AIMS) de forma estructurada y defendible. El curso se centra en planificar, ejecutar y cerrar auditorías ISO/IEC 42001 en entornos organizativos reales, abordando gobernanza, uso ético de la IA, gestión de riesgos y las expectativas regulatorias que marcan 2024-2025. Los participantes aprenden a interpretar los requisitos de ISO/IEC 42001 desde la perspectiva de un auditor, evaluar evidencia objetiva y formular conclusiones de auditoría que resistan el escrutinio de la certificación y la revisión ejecutiva.

Ver curso

Lead AI Risk Manager

Esta formación Lead AI Risk Manager prepara a los profesionales para diseñar, operar y defender un programa de gestión de riesgos de IA alineado con las expectativas regulatorias y de gobernanza. El curso se centra en la identificación práctica de riesgos, la trazabilidad de decisiones y estrategias de mitigación defendibles a lo largo del ciclo de vida de la IA.

Ver curso

ISO 27001 Lead Implementer

La capacitación de Implementador Líder ISO 27001 le permitirá adquirir la experiencia necesaria para apoyar a una organización en el establecimiento, la implementación, la gestión y el mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la ISO/IEC 27001.

Ver curso

Preguntas relacionadas

Respuestas expertas mencionadas en este artículo

¿Qué es la Declaración de Aplicabilidad en la implementación de un AIMS?

Una Declaración de Aplicabilidad documenta qué controles se seleccionan para el AIMS y por qué aplican, creando trazabilidad entre riesgos, requisitos y controles.

Leer respuesta

¿Cuál es la diferencia entre CAIM e ISO 42001 Lead Implementer?

CAIM se centra en gestionar proyectos de IA y construir marcos de gobernanza desde una perspectiva operativa y de negocio; es adecuado para responsables que gobiernan el uso de la IA en una organización. ISO 42001 Lead Implementer se centra en construir y certificar un Sistema de Gestión de IA formal alineado con el estándar ISO 42001.

Leer respuesta

¿Por qué importan la gobernanza, la ética y la gestión de riesgos de IA en despliegues reales?

Reducen fallos por sesgo, violaciones de privacidad, problemas de seguridad e incumplimiento, y ayudan a garantizar que la IA se mantenga alineada con los objetivos de negocio a lo largo del tiempo.

Leer respuesta

¿Cómo se prepara una organización para una auditoría de certificación ISO/IEC 42001 como implementador?

Se prepara asegurando que el alcance, los controles, la información documentada y la evidencia operativa estén en su sitio, y validándolos después mediante auditoría interna y revisión por la dirección antes de la auditoría de certificación.

Leer respuesta

¿Qué hace eficaz a un programa de auditoría ISO/IEC 42001 a lo largo del tiempo?

Un programa de auditoría eficaz se mantiene basado en riesgos, lleva las acciones correctivas hasta su cierre, y actualiza los planes a medida que evolucionan los sistemas de IA, los riesgos y la gobernanza.

Leer respuesta

Certifícate

ISO 27001, NIS2, gobernanza de IA y más. Únase a 2.500+ profesionales.

Ver cursos
Preguntar a nuestra IA

Related Articles

Continue exploring topics that matter to your organization

Usamos cookies para mejorar su experiencia

Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.