ISO 27001 + ISO 42001: implementación coordinada en Chile
Por qué conviene implementar ISO 27001 (seguridad de la información) e ISO 42001 (gestión de IA) de forma coordinada: qué comparten, qué agrega cada una, la ruta de certificación integrada y su rol frente a la Ley 21.719.
ISO/IEC 27001 gestiona la seguridad de la información; ISO/IEC 42001, publicada en 2023, es la primera norma internacional certificable para la gestión de la inteligencia artificial. La pregunta que recibimos en Cognitiva, agencia chilena de IA, es si conviene implementarlas por separado o juntas, y la respuesta es clara: coordinadas. Ambas comparten la misma armazón (la estructura Annex SL, cláusulas 4 a 10), de modo que el liderazgo, la gestión de riesgos, el control documental, la auditoría interna y la mejora continua se reutilizan de una a otra; según estimaciones de la industria, buena parte de los controles se solapan. ISO 42001 agrega lo que 27001 no cubre —sesgo, transparencia, supervisión humana, evaluación de impacto y ciclo de vida del sistema de IA— y, a la vez, asume la seguridad de la información que 27001 aporta. Para una empresa chilena, hacerlo coordinado reduce tiempo y costo, y construye la evidencia de diligencia que exigen la Ley 21.719 (vigente el 1 de diciembre de 2026) y el futuro marco de IA.
Qué es cada norma
ISO/IEC 27001 — seguridad de la información (ISMS)
La versión vigente es ISO/IEC 27001:2022. Define un sistema de gestión de seguridad de la información con cláusulas 4 a 10 (contexto, liderazgo, planificación, soporte, operación, evaluación, mejora) y un Anexo A de 93 controles organizados en cuatro temas: organizacionales, de personas, físicos y tecnológicos. La empresa selecciona controles según su evaluación de riesgos y los registra en la Declaración de Aplicabilidad.
ISO/IEC 42001 — gestión de IA (AIMS)
Publicada en diciembre de 2023, es la primera norma internacional certificable de sistema de gestión de IA. Aplica a cualquier organización que provea o use IA, de cualquier tamaño, y cubre todo el ciclo de vida del sistema (diseño, desarrollo, despliegue, monitoreo, retiro). Tiene la misma estructura de cláusulas 4 a 10 y un Anexo A de 38 controles en categorías como políticas de IA, organización interna, recursos, evaluación de impactos, ciclo de vida, datos, información a interesados, uso responsable y relaciones con terceros.
El mito a derribar: "ya tengo 27001, estoy cubierto"
Es el error más común. ISO 27001 protege la confidencialidad, integridad y disponibilidad de la información, pero no dice nada sobre los riesgos propios de la IA. ISO 42001 cubre justamente ese vacío:
- Gestión de sesgo, equidad y no discriminación en los sistemas de IA.
- Transparencia y explicabilidad de las decisiones automatizadas.
- Evaluación del impacto del sistema de IA en las personas y la sociedad.
- Gobernanza de los datos de entrenamiento y del ciclo de vida del modelo.
- Supervisión humana sobre decisiones autónomas.
Tener 27001 es una base excelente, pero no equivale a gobernar la IA. Quien usa o desarrolla IA y solo tiene 27001 tiene cubierta la seguridad, no la responsabilidad sobre el comportamiento de sus modelos.
Por qué encajan: la armazón Annex SL
Ambas normas comparten la "estructura armonizada" Annex SL: las cláusulas 4 a 10 ocupan las mismas posiciones y siguen la misma lógica. En la práctica, eso significa que estos elementos se construyen una vez y sirven para las dos:
- Contexto de la organización y partes interesadas.
- Liderazgo y política (cláusula 5).
- Metodología de gestión de riesgos.
- Control documental, competencias y comunicación.
- Auditoría interna y revisión por la dirección.
- Gestión de no conformidades y mejora continua.
Según estimaciones de la industria, una parte importante de los controles de 27001 se traslada o conecta con 42001. La divergencia real está en la materia específica: 27001 aplica la estructura a la seguridad de la información; 42001, a la IA. De hecho, el Anexo D de ISO 42001 ofrece guía explícita para integrar el sistema de gestión de IA con un ISMS existente: si ya tienes 27001, extiendes en lugar de reconstruir.
La ruta de implementación coordinada
Los pasos típicos según los organismos de certificación:
- **Gap analysis** contra las cláusulas y los controles de 42001 (y de 27001 si aún no la tienes), priorizando por criticidad.
- **Alcance común**: definir el ámbito conjunto del ISMS y el AIMS.
- **Evaluación de riesgos integrada**: reutilizar la metodología de 27001 y extenderla con los riesgos propios de la IA (sesgo, impacto en personas).
- **Controles compartidos**: políticas de acceso, gestión de proveedores, auditoría interna y tratamiento de riesgos se reutilizan; se añaden los controles específicos de IA.
- **Auditoría integrada**: un solo programa de auditoría; el organismo emite certificados separados por cada norma tras una auditoría conjunta.
Según estimaciones de la industria, partir de un ISO 27001 maduro puede recortar de forma significativa el tiempo y el costo de certificar 42001 frente a hacerlo desde cero, porque buena parte de la estructura de gestión ya existe. Trátalo como esfuerzo coordinado, no como dos proyectos paralelos.
Diferencias y solapamientos de un vistazo
| Dimensión | ISO 27001 | ISO 42001 |
|---|---|---|
| Objeto | Seguridad de la información | Gestión de la IA |
| Versión | 2022 | 2023 |
| Estructura | Annex SL (cláusulas 4-10) | Annex SL (cláusulas 4-10) |
| Controles (Anexo A) | 93 | 38 |
| Riesgo central | Confidencialidad, integridad, disponibilidad | Impacto en personas, sesgo, ciclo de vida |
| Certificable | Sí | Sí (primera norma de IA) |
| Relación | Base de seguridad | Extiende con gobernanza de IA (Anexo D) |
Contexto chileno: por qué importa ahora
Dos fuerzas regulatorias convergen. La **Ley 21.719** de protección de datos personales entra en plena vigencia el 1 de diciembre de 2026 e introduce el principio de responsabilidad proactiva: la empresa debe poder demostrar su cumplimiento con evidencia. Exige evaluación de impacto en tratamientos de alto riesgo, transparencia frente a decisiones automatizadas y figuras como el delegado de protección de datos. Los controles de 27001 y 42001 producen exactamente esa evidencia auditable.
Además, el proyecto de ley de IA chileno avanza con un enfoque basado en riesgo, y la **Ley 21.663 de Ciberseguridad** ya empuja a muchas empresas (operadores de importancia vital) hacia ISO 27001. Para ellas, el ISMS es el trampolín natural hacia ISO 42001: la ventaja inicial está dada. La adopción de 42001 en Chile es todavía incipiente, lo que la convierte hoy en un diferenciador competitivo, no solo en un requisito.
Este artículo no constituye asesoría legal ni de certificación. El alcance y los tiempos reales dependen de cada organismo certificador y de la madurez de tu empresa.
¿Cuándo conviene certificar?
No toda empresa necesita certificar ISO 42001 mañana. Tiene sentido cuando: desarrollas o despliegas IA que afecta a personas (scoring, selección, atención), vendes a clientes que exigen garantías de gobernanza de IA, ya tienes ISO 27001 y quieres capitalizar esa base, o operas en un sector donde la regulación te alcanzará pronto.
Si aún no estás listo para certificar, implementar los controles igual ordena la casa y adelanta el cumplimiento de la Ley 21.719. Para entender cómo se compara este enfoque con marcos voluntarios, revisa nuestro artículo sobre NIST AI RMF frente a ISO 42001, y para la norma de IA en detalle, el de ISO 42001 para empresas chilenas.
Ruta de certificación coordinada 27001 + 42001
Cómo abordar ambas normas como un solo esfuerzo.
- Mes 1
Diagnóstico
Saber dónde estás.
- Gap analysis contra ambas normas
- Definir alcance común del ISMS y el AIMS
- Inventariar sistemas de IA y datos
- Mes 2-3
Riesgos y controles
La base compartida.
- Evaluación de riesgos integrada
- Reutilizar controles comunes (Annex SL)
- Añadir controles específicos de IA (sesgo, impacto, ciclo de vida)
- Mes 3-5
Operación y evidencia
Hacer funcionar el sistema.
- Documentar políticas y Declaración de Aplicabilidad
- Evaluaciones de impacto (alineadas a Ley 21.719)
- Auditoría interna conjunta
- Mes 6
Certificación
Validación externa.
- Auditoría integrada con organismo certificador
- Cierre de no conformidades
- Mantener mejora continua
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.