Playbook para CISOs: Cómo mapear los controles humanos de la ISO 27001:2022  para cumplir con NIS2

Por Grupo Micronet en 13/01/2026 10:35:57 AM

La revisión de 2022 de la norma ISO/IEC 27001 marca un punto de inflexión decisivo en la gestión de la seguridad de la información: por primera vez, todas las medidas centradas en las personas se consolidan en un dominio único y explícito, el Anexo A.6 – Controles de Personas.

 

Este cambio no es cosmético. Refleja una realidad operativa y regulatoria: el riesgo humano es hoy uno de los principales vectores de ciberincidentes, y ha dejado de ser un asunto secundario de Recursos Humanos para convertirse en una responsabilidad directa de la alta dirección.

 

En paralelo, la Directiva NIS2 refuerza este enfoque al exigir que los órganos de dirección aprueben, supervisen y respondan legalmente por las medidas de ciberseguridad. Para CISOs y Directores de RRHH en sectores regulados, el mensaje es claro: el cumplimiento formal ya no es suficiente.

 

Esta guía práctica te muestra cómo mapear, implementar y evidenciar los controles humanos de la ISO 27001:2022 de forma que:

 

  • Superes con solvencia una auditoría ISO.

  • Generes pruebas claras de diligencia debida ante NIS2.

  • Reduzcas la exposición personal de la C‑Suite.

  •  

 

El nuevo rol del factor humano en ISO 27001 y NIS2

 

El Anexo A.6 agrupa ocho controles específicos que cubren todo el ciclo de vida del empleado, desde el cribado previo a la contratación hasta la revocación de accesos tras el cese.

 

Este enfoque se alinea con el principio central de NIS2: la ciberseguridad debe gestionarse como un riesgo empresarial, no solo tecnológico. Tener políticas aisladas o formaciones puntuales ya no es defendible.

 

Hoy, los auditores y reguladores buscan evidencias de un marco integrado, basado en riesgos y con resultados medibles.

 

 

La base de todo: Cláusula 6.1.2 y gestión del riesgo humano

 

La Cláusula 6.1.2 (Evaluación de riesgos de seguridad de la información) es el pilar que justifica cada control humano del Anexo A.6.

 

No puedes seleccionar controles “porque sí”. Cada uno debe ser la respuesta directa a un riesgo identificado, documentado y tratado.

 

Dejar atrás el “check‑the‑box”

 

Un auditor no preguntará solo qué control tienes, sino por qué lo tienes.

Ejemplo:

 

  • Riesgo identificado: fraude del CEO mediante ingeniería social.

  • Tratamiento: reducir la probabilidad de error humano.

  • Controles aplicados: A.6.3 (concienciación) y A.6.8 (reporte de eventos).

  • SoA: justificación explícita basada en ese riesgo.

Esta trazabilidad es exactamente lo que NIS2 espera ver cuando evalúa si la organización actuó con diligencia.

 

 

Controles “Antes” del empleo: A.6.1 y A.6.2

 

A.6.1 – Cribado de antecedentes

 

El cribado debe ser proporcional al riesgo del rol y cumplir estrictamente con RGPD y legislación laboral.

 

No todos los puestos requieren el mismo nivel de verificación. El objetivo es prevenir amenazas internas sin vulnerar derechos.

 

Evidencias clave:

 

  • Política formal de cribado basada en riesgo.

  • Registros anonimizados de verificación completada.

  • Re‑cribado en cambios de rol críticos.

  •  

A.6.2 – Términos y condiciones del empleo

 

Las responsabilidades de seguridad deben estar integradas en el contrato desde el primer día.

 

Evidencias clave:

 

  • Cláusulas contractuales de seguridad y confidencialidad.

  • NDAs firmados antes de otorgar accesos.

  •  

Controles “Durante” el empleo: A.6.3 y A.6.7

 

A.6.3 – Concienciación, educación y formación

 

Este es el control humano más crítico del Anexo A.6. La norma exige que la formación sea:

 

  • Relevante para el rol.

  • Continua.

  • Efectiva.

Los certificados de asistencia ya no bastan.

 

Buenas evidencias:

 

  • Métricas de simulaciones de phishing.

  • Incremento en tasas de reporte.

  • Dashboards que demuestren mejora sostenida del comportamiento.

  •  

A.6.7 – Trabajo remoto

 

El teletrabajo es parte del alcance normal del SGSI.

No basta con VPNs y EDR; los empleados deben entender las reglas físicas y conductuales de su entorno remoto.

 

Evidencias clave:

 

  • Política de teletrabajo formal.

  • Formación específica en riesgos remotos.

  • Autoevaluaciones de seguridad del puesto doméstico.

  •  

 

Controles de “Eventos”: A.6.8 y A.6.4

 

A.6.8 – Reporte de eventos de seguridad

 

Los empleados deben actuar como sensores activos.

Un canal claro y sencillo de reporte es crítico para cumplir los plazos de notificación de NIS2.

 

Buenas evidencias:

  • Procedimiento documentado de reporte.

  • Registros de tickets o alertas generadas por empleados.

  • Métricas de volumen y rapidez de reporte.

  •  

A.6.4 – Proceso disciplinario

 

El proceso disciplinario debe ser form

al, proporcional y conocido por todos.

La formación correctiva es preferible a la sanción, salvo en casos de reincidencia o mala fe.

 

 

Controles “Después” del empleo: A.6.5 y A.6.6

 

A.6.5 – Responsabilidades tras el cese

A.6.6 – Acuerdos de confidencialidad

 

La salida del empleado es una ventana crítica de riesgo.

 

Evidencias imprescindibles:

 

  • Comunicación previa de RRHH a TI.

  • Logs de revocación inmediata de accesos.

  • Devolución documentada de activos.

  • Cláusulas de confidencialidad con vigencia post‑contractual.

  •  

Un retraso en la revocación de accesos suele considerarse no conformidad mayor.

 

 

Conclusión: el Anexo A.6 como prueba de diligencia debida

 

Mapear y evidenciar los controles humanos de la ISO 27001:2022 ya no es un ejercicio documental.

 

Es la base para demostrar:

 

  • Gestión activa del riesgo humano.

  • Cumplimiento real del enfoque de NIS2.

  • Diligencia debida de la alta dirección.

Las métricas, logs y procesos que construyes para el Anexo A.6 son exactamente las pruebas que un regulador NIS2 esperará ver tras un incidente.

 

Convertir el cumplimiento en un sistema vivo y basado en datos no solo reduce riesgos: protege a la organización y a su liderazgo.

 

Preguntas frecuentes

 

¿Cuál es el control humano más importante de la ISO 27001:2022?
El A.6.3. Sin una cultura de concienciación efectiva, el resto de controles pierde eficacia.

 

¿Cumplir con ISO 27001 implica cumplir automáticamente con NIS2?
No automáticamente, pero es el mejor marco para lograrlo si se implementa con enfoque de riesgos.

 

¿Qué relación existe entre la Cláusula 6.1.2 y el Anexo A?
La 6.1.2 define el por qué (riesgos) y el Anexo A el cómo (controles). La SoA conecta ambos.