ISO 27001 y socios de automatización externos: En qué deben fijarse las pequeñas y medianas empresas al elegir

ISO 27001 como criterio de selección para socios de automatización: Qué realmente demuestra el certificado y qué deben verificar en su lugar las pequeñas y medianas empresas.

Boceto dibujado a mano: una mano sostiene una lupa sobre un documento con un sello de certificación redondo

Quien encarga a un socio externo la automatización de entrada de facturas, CRM o gestión de candidatos, le da necesariamente acceso a datos sensibles: registros de clientes, cifras financieras, en parte también expedientes de personal. La pregunta "¿está el proveedor certificado en ISO 27001?" aparece por ello cada vez más frecuentemente en convocatorias y primeras conversaciones. Pero muchas pequeñas y medianas empresas no saben exactamente qué demuestra el certificado y qué no cubre. Este artículo aclara en qué realmente importa al elegir un socio de automatización.

Lo que realmente dice ISO 27001 como certificado

ISO/IEC 27001:2022 establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI) y por lo tanto no es un sello para una herramienta individual, sino una prueba de procesos sistemáticos y verificados repetidamente en toda la empresa. El Anexo A de la norma contiene 93 controles en cuatro categorías: 37 medidas organizacionales, 8 relacionadas con personas, 14 físicas y 34 tecnológicas, como muestra el análisis especializado de secjur sobre la versión actual. La versión anterior de 2013 aún contenía 114 controles, la reducción a 93 vino acompañada de una estructura más clara y once nuevas medidas, por ejemplo sobre seguridad en la nube y supervisión de actividades.

Hay dos caminos hacia el certificado: nativo según ISO/IEC 27001:2022 con elección libre de metodología, o basado en IT-Grundschutz según la metodología de la Oficina Federal Alemana para la Seguridad en la Tecnología de la Información (BSI, Normas 200-1 a 200-4). Ambos caminos conducen según BSI al certificado ISO-27001 internacionalmente reconocido, el camino de protección básica está documentado públicamente en el esquema de certificación del BSI y los certificados emitidos son allí consultables. Para la selección de un socio, esto es relevante porque ambos caminos se consideran equivalentes, pero son verificables con diferente nivel de detalle.

Por qué la seguridad del socio de automatización es directamente tu propio riesgo

El daño total por robo de datos, espionaje y sabotaje en la economía alemana alcanzó 289,2 mil millones de euros en 2025, de los cuales, según Bitkom-Studie Wirtschaftsschutz 2025 202,4 mil millones de euros (70 por ciento) correspondieron a ciberataques. El 34 por ciento de las empresas encuestadas fueron afectadas por ransomware, casi tres veces más que en 2022. Un bot RPA, un flujo de trabajo n8n o un agente Copilot necesita credenciales de acceso y acceso por API a ERP, CRM o DATEV para poder automatizar en absoluto. Si el socio de automatización es comprometido, es una vía directa a los sistemas del cliente. Por lo tanto, la seguridad de la información del socio no es un asunto secundario formal, sino una verdadera expansión de la superficie de ataque propia.

Qué específicamente debes verificar cuando un proveedor promociona ISO 27001

Un certificado mostrado por sí solo dice poco sin que se verifique la validez y el alcance (Scope). Cuatro puntos merecen la pena verificar específicamente:

  • Alcance: ¿Realmente cubre el certificado el departamento o la ubicación que atiende tu proyecto de automatización, o solo una filial?
  • Camino de certificación: nativo u a través de BSI-IT-Grundschutz, ambos válidos, en el camino de protección básica el certificado puede verificarse en la base de datos pública de certificados del BSI.
  • Ciclo de recertificación: Una certificación BSI-Grundschutz es válida por tres años, entre medias hay auditorías de vigilancia anuales, así que vale la pena preguntar por la fecha de la última auditoría.
  • Organismo emisor: ¿Fue emitido el certificado por un organismo de certificación acreditado e independiente, no por una auditoría interna?

Importante para la expectativa: A finales de 2022, solo alrededor de 1.582 empresas en Alemania estaban certificadas en ISO 27001, según cifras de Statista muestran, entre aproximadamente 3,1 millones de empresas en total. Por lo tanto, la falta de un certificado no es un criterio de exclusión automático para un socio de automatización competente, pero desplaza la carga de la prueba a otras pruebas igualmente verificables.

Si el socio no está certificado: Qué pruebas cuentan en su lugar

Sin certificado ISO-27001, un contrato de encargo de tratamiento de datos limpio conforme al art. 28 RGPD y medidas técnicas y organizacionales documentadas (TOMs) son el mínimo que cada socio de automatización serio debe poder presentar. El contrato de encargo de tratamiento es obligatorio de todas formas una vez que se procesan datos personales, independientemente de cualquier certificación. Adicionalmente, vale la pena preguntar sobre la ubicación del servidor (Alemania o UE), sobre conceptos de acceso para automatizaciones individuales y si incidentes en el pasado fueron documentados y reportados.

NordFlux tampoco se presenta ante los clientes con su propio certificado ISO-27001, sino con un contrato de encargo de tratamiento de datos por cliente, TOMs documentadas y almacenamiento de datos en centros de datos alemanes o europeos respectivamente. Exactamente esta transparencia, no solo un sello, es el estándar que recomendamos a las pequeñas y medianas empresas para la selección de cualquier socio de automatización. Por eso estas preguntas pertenecen a cada Consultoría de IA antes del primer proyecto, porque al final afectan exactamente la Integración de interfaces a través de la cual fluyen datos sensibles.

De Simon Glowik, publicado el 9 de julio de 2026.

Preguntas frecuentes

¿Es ISO 27001 obligatorio por ley para un socio de automatización?

No para la mayoría de los sectores. Solo en áreas reguladas como infraestructura crítica (KRITIS) o partes del sector financiero puede asumirse de facto una certificación. Para las pequeñas y medianas empresas, ISO 27001 hoy es más una exigencia del cliente cada vez más común que una obligación legal.

¿Qué significa "ISO 27001 basado en IT-Grundschutz"?

Este es el camino de certificación alternativo a través de la metodología del BSI en lugar de la elección libre de metodología. Un auditor acreditado por el BSI verifica documentos de referencia y realiza una auditoría in situ, el BSI decide después sobre la emisión del certificado ISO-27001.

¿Cuánto tiempo es válido un certificado ISO-27001?

Una certificación basada en IT-Grundschutz es válida durante tres años, después es necesaria una recertificación. Mientras tanto, se realizan auditorías de vigilancia anuales. Por lo tanto, vale la pena preguntar por la fecha de la última auditoría, no solo por el certificado en sí.

¿Es suficiente una declaración de información propia sin certificado como prueba?

Una declaración de información propia sin sustancia no es suficiente. Un contrato de encargo de tratamiento de datos sólido conforme al art. 28 RGPD y medidas técnicas y organizacionales documentadas son el mínimo que cada socio de automatización debería poder presentar independientemente de una certificación ISO.

¿Cómo verifico si un certificado ISO-27001 presentado es auténtico?

Para certificados basados en IT-Grundschutz, la emisión puede verificarse en la lista pública de certificados del BSI. Para certificados ISO-27001 nativos, ayuda revisar la acreditación del organismo de certificación emisor, por ejemplo en la Entidad Alemana de Acreditación (DAkkS), o una consulta directa al organismo.

Sobre NordFlux

NordFlux UG (haftungsbeschränkt)

NordFlux crea empleados digitales para las organizaciones: automatizaciones y agentes KI que asumen el trabajo repetitivo. Usted mantiene el control.

Más sobre nosotros
Análisis inicial gratuito

¿Preguntas concretas sobre automatización o IA?

En un análisis inicial gratuito hablamos directamente de su caso. Sin compromiso.

ISO 27001 en socios de automatización: Criterios de selección