Artículos

La pregunta del millón: ¿ISO 27001 o NIST?

Mi recomendación como profesional en ciberseguridad

Por: Joaquín Guerrero

Consultor de ciberseguridad en Scube, S.A.

  • 3 Noviembre, 2025
  • 5 minutos de lectura

¿Debemos implementar ISO 27001 o seguir el marco NIST?, es una de las preguntas que suelo escuchar frecuentemente de mis amigos y colegas, líderes tecnológicos, quienes laboran para distintas organizaciones en la región centroamericana. Esta duda es más común de lo que parece en el camino hacia la madurez en ciberseguridad. La variedad de estándares disponibles, sumada a la presión por cumplir con regulaciones y gestionar riesgos, puede generar confusión sobre por dónde empezar o qué adoptar.

Dos enfoques, un objetivo común

ISO/IEC 27001 es una norma internacional que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Su enfoque se centra en la gestión continua de riesgos y el establecimiento de políticas, procesos y controles basados en la mejora continua (ciclo PDCA: Planificar, Hacer, Verificar, Actuar). 

Por otro lado, el marco NIST (National Institute of Standards and Technology), específicamente el Cybersecurity Framework (CSF), ofrece un conjunto de buenas prácticas centradas en funciones clave como Identificar, Proteger, Detectar, Responder y Recuperar. Su estructura es altamente flexible y adoptable, ideal para organizaciones que buscan una guía táctica y práctica, especialmente en sectores productivos ágiles o dinámicos. 

Más que una elección, una sinergia

Lejos de ser excluyentes, ISO 27001 y NIST se complementan perfectamente. ISO 27001 proporciona la gobernanza y estructura necesaria para gestionar la seguridad de la información de forma integral y sostenible. Una vez establecido este marco de gobierno, NIST puede actuar como una guía detallada para seleccionar, implementar y evaluar controles técnicos y operativos específicos dentro del SGSI. 

Por ejemplo, mientras ISO 27001 exige que se gestionen los riesgos, NIST ofrece herramientas concretas para identificarlos y mitigarlos. Así, NIST puede enriquecer la etapa de “Hacer” del ciclo PDCA, proporcionando tácticas y controles alineados a funciones clave del marco. 

¿Por dónde empezar?

Para organizaciones que desean construir una base sólida y alineada con estándares internacionales, recomiendo implementar primero ISO 27001 como marco de gobernanza. Este paso ayudará a estructurar procesos, responsabilidades y políticas claras. Una vez en marcha, apoyarse en NIST — especialmente en su marco de ciberseguridad o controles SP 800-53— permitirá fortalecer la parte operativa y técnica de la seguridad. 

ISO 27001 establece el “qué” y el “por qué”; NIST ayuda con el “cómo”. La combinación de ambos puede llevar a las organizaciones a un nivel superior de madurez y resiliencia en seguridad de la información. 

Más allá de ISO 27001 y NIST

Además de estos dos marcos, existen otros estándares y frameworks reconocidos que pueden complementar aún más una estrategia de ciberseguridad robusta. Por ejemplo: 

CIS Controls, una guía priorizada de controles de seguridad práctica y fácil de aplicar.

OWASP, ideal para fortalecer la seguridad en aplicaciones web y móviles.

PCI-DSS, especialmente relevante para organizaciones que manejan datos de tarjetas de pago.

Estos marcos pueden ser utilizados para seleccionar controles específicos y adaptarlos al contexto de cada organización, reforzando áreas clave como la protección de datos, seguridad de aplicaciones o defensa contra amenazas comunes. 

Algo que muchas veces se pasa por alto es que existe un porcentaje de controles y principios comunes entre los distintos marcos de seguridad. Conceptos como la gestión de accesos, protección de datos, monitoreo continuo, capacitación, respuesta ante incidentes y mejora continua están presentes en los estándares indicados. 

El valor de la auditoría en la continuidad

Un sistema de gestión de seguridad se establece, madura y mejora con el tiempo. En ese proceso, es natural que las personas cambien, es decir, se den situaciones de rotación de personal, cambios de liderazgo, reorganización de equipos. Para que el sistema no dependa exclusivamente de las personas y realmente se mantenga fuerte, es fundamental que pase por procesos formales de revisión, como auditorías internas y externas. 

Aquí es donde estándares como ISO 27001 o PCI-DSS aportan un valor diferenciador: al ser estándares certificables, obliga a realizar auditorías periódicas (generalmente anuales). Permiten evaluar el desempeño de los controles implementados, identificar desviaciones y fomentar una cultura de mejora continua. Esto no solo fortalece la postura de seguridad, sino que también brinda confianza a clientes, socios y entes reguladores. 

Espero que este artículo pueda ayudarte a despejar dudas sobre cómo abordar dos de los estándares más utilizados en el ámbito de la ciberseguridad. Si te resultó útil, estaré encantado de seguir la conversación o ayudarte a explorar más a fondo cómo aplicarlos en tu organización. 

Solicita una evaluación

Acerca del autor

Joaquín Guerrero es Ingeniero en Ciencias y Sistemas, consultor experto con más de 16 años de experiencia. Es fundador de la empresa Scube, S.A., en donde brinda consultorías y soluciones de seguridad de la información y ciberseguridad. Ha liderado proyectos en organizaciones de los sectores financiero, tecnológico, industria, retail, BPOgobierno, entre otros. 

Somos una empresa de ciberseguridad que ofrece soluciones para proteger, optimizar y hacer crecer tu empresa.

Enlaces rápidos

Contacto

Teléfono

(+502) 2302-2239

Email

ventas@scube.com.gt

Dirección

6a. calle 5-28 zona 9, edificio Torre Cristal, nivel 1, oficina 103.
Copyright Scube, S.A. © 2025 Todos los derechos reservados