La revisión de 2022 de la norma ISO/IEC 27001 marca un punto de inflexión decisivo en la gestión de la seguridad de la información: por primera vez, todas las medidas centradas en las personas se consolidan en un dominio único y explícito, el Anexo A.6 – Controles de Personas.
Este cambio no es cosmético. Refleja una realidad operativa y regulatoria: el riesgo humano es hoy uno de los principales vectores de ciberincidentes, y ha dejado de ser un asunto secundario de Recursos Humanos para convertirse en una responsabilidad directa de la alta dirección.
En paralelo, la Directiva NIS2 refuerza este enfoque al exigir que los órganos de dirección aprueben, supervisen y respondan legalmente por las medidas de ciberseguridad. Para CISOs y Directores de RRHH en sectores regulados, el mensaje es claro: el cumplimiento formal ya no es suficiente.
Esta guía práctica te muestra cómo mapear, implementar y evidenciar los controles humanos de la ISO 27001:2022 de forma que:
Superes con solvencia una auditoría ISO.
Generes pruebas claras de diligencia debida ante NIS2.
Reduzcas la exposición personal de la C‑Suite.
El Anexo A.6 agrupa ocho controles específicos que cubren todo el ciclo de vida del empleado, desde el cribado previo a la contratación hasta la revocación de accesos tras el cese.
Este enfoque se alinea con el principio central de NIS2: la ciberseguridad debe gestionarse como un riesgo empresarial, no solo tecnológico. Tener políticas aisladas o formaciones puntuales ya no es defendible.
Hoy, los auditores y reguladores buscan evidencias de un marco integrado, basado en riesgos y con resultados medibles.
La Cláusula 6.1.2 (Evaluación de riesgos de seguridad de la información) es el pilar que justifica cada control humano del Anexo A.6.
No puedes seleccionar controles “porque sí”. Cada uno debe ser la respuesta directa a un riesgo identificado, documentado y tratado.
Un auditor no preguntará solo qué control tienes, sino por qué lo tienes.
Ejemplo:
Riesgo identificado: fraude del CEO mediante ingeniería social.
Tratamiento: reducir la probabilidad de error humano.
Controles aplicados: A.6.3 (concienciación) y A.6.8 (reporte de eventos).
SoA: justificación explícita basada en ese riesgo.
Esta trazabilidad es exactamente lo que NIS2 espera ver cuando evalúa si la organización actuó con diligencia.
El cribado debe ser proporcional al riesgo del rol y cumplir estrictamente con RGPD y legislación laboral.
No todos los puestos requieren el mismo nivel de verificación. El objetivo es prevenir amenazas internas sin vulnerar derechos.
Evidencias clave:
Política formal de cribado basada en riesgo.
Registros anonimizados de verificación completada.
Re‑cribado en cambios de rol críticos.
Las responsabilidades de seguridad deben estar integradas en el contrato desde el primer día.
Evidencias clave:
Cláusulas contractuales de seguridad y confidencialidad.
NDAs firmados antes de otorgar accesos.
Este es el control humano más crítico del Anexo A.6. La norma exige que la formación sea:
Relevante para el rol.
Continua.
Efectiva.
Los certificados de asistencia ya no bastan.
Buenas evidencias:
Métricas de simulaciones de phishing.
Incremento en tasas de reporte.
Dashboards que demuestren mejora sostenida del comportamiento.
El teletrabajo es parte del alcance normal del SGSI.
No basta con VPNs y EDR; los empleados deben entender las reglas físicas y conductuales de su entorno remoto.
Evidencias clave:
Política de teletrabajo formal.
Formación específica en riesgos remotos.
Autoevaluaciones de seguridad del puesto doméstico.
Los empleados deben actuar como sensores activos.
Un canal claro y sencillo de reporte es crítico para cumplir los plazos de notificación de NIS2.
Buenas evidencias:
Procedimiento documentado de reporte.
Registros de tickets o alertas generadas por empleados.
Métricas de volumen y rapidez de reporte.
El proceso disciplinario debe ser form
al, proporcional y conocido por todos.
La formación correctiva es preferible a la sanción, salvo en casos de reincidencia o mala fe.
La salida del empleado es una ventana crítica de riesgo.
Evidencias imprescindibles:
Comunicación previa de RRHH a TI.
Logs de revocación inmediata de accesos.
Devolución documentada de activos.
Cláusulas de confidencialidad con vigencia post‑contractual.
Un retraso en la revocación de accesos suele considerarse no conformidad mayor.
Mapear y evidenciar los controles humanos de la ISO 27001:2022 ya no es un ejercicio documental.
Es la base para demostrar:
Gestión activa del riesgo humano.
Cumplimiento real del enfoque de NIS2.
Diligencia debida de la alta dirección.
Las métricas, logs y procesos que construyes para el Anexo A.6 son exactamente las pruebas que un regulador NIS2 esperará ver tras un incidente.
Convertir el cumplimiento en un sistema vivo y basado en datos no solo reduce riesgos: protege a la organización y a su liderazgo.
¿Cuál es el control humano más importante de la ISO 27001:2022?
El A.6.3. Sin una cultura de concienciación efectiva, el resto de controles pierde eficacia.
¿Cumplir con ISO 27001 implica cumplir automáticamente con NIS2?
No automáticamente, pero es el mejor marco para lograrlo si se implementa con enfoque de riesgos.
¿Qué relación existe entre la Cláusula 6.1.2 y el Anexo A?
La 6.1.2 define el por qué (riesgos) y el Anexo A el cómo (controles). La SoA conecta ambos.