¿Qué es un análisis de brechas según la norma ISO 27701:2025?
Un análisis de brechas compara tus prácticas de privacidad actuales con los requisitos de la norma ISO 27701:2025 para identificar dónde ya cumples y dónde necesitas mejorar. Es el primer paso esencial de cualquier proyecto de implementación, ya que proporciona la base a partir de la cual planificarás, asignarás recursos y priorizarás tu camino hacia la certificación.
Sin un análisis de brechas, las organizaciones se arriesgan a cometer dos errores costosos: subestimar el trabajo que implica (lo que conlleva incumplimiento de plazos y sobrecostes) o sobrediseñar áreas en las que ya cumplen con la normativa (desperdiciando tiempo y recursos).
El análisis abarca tanto el Requisitos del sistema de gestión en las cláusulas 4 a 10. y el aplicable Controles de privacidad del Anexo ADado que ISO 27701:2025 es ahora una estándar certificable independienteSu análisis de brechas debe evaluar el alcance completo de los requisitos de forma independiente, no solo las adiciones específicas de privacidad.
¿Cómo se realiza un análisis de brechas paso a paso?
Un análisis exhaustivo de las brechas sigue un proceso estructurado. Realizarlo con prisas o basarse en suposiciones menoscaba el valor de todo el ejercicio.
Paso 1: Defina su alcance
Antes de evaluar nada, establezca los límites de su PIMS. Determine qué partes de su organización, procesos, sistemas y datos están dentro del alcance. Considere lo siguiente:
- ¿Qué funciones empresariales procesan la información de identificación personal (PII)?
- ¿Qué tipos de información personal identificable (PII) procesa (datos de clientes, datos de empleados, datos de proveedores)?
- ¿Actúa usted como controlador, procesador o ambos?
- ¿Qué ubicaciones, sistemas y terceros están involucrados?
Paso 2: Evaluar los requisitos del sistema de gestión (Cláusulas 4 a 10)
Analice cada cláusula del sistema de gestión y evalúe su situación actual en función de cada requisito. Para cada requisito, registre lo siguiente:
- Estado actual — Lo que tienes implementado hoy
- Brecha identificada — ¿Qué falta o es insuficiente?
- Nivel de madurez — No iniciado, parcialmente implementado, totalmente implementado
- Evidencia disponible — ¿Qué documentación o registros existen?
Paso 3: Evaluar los controles del Anexo A
Evalúe cada control del Anexo A en función de sus prácticas actuales. Los controles se organizan en tres tablas: controles del responsable del tratamiento de datos personales, controles del encargado del tratamiento de datos personales y controles de seguridad compartida. Evalúe únicamente los controles que correspondan a su función (responsable del tratamiento, encargado del tratamiento o ambos).
Paso 4: Calificar y categorizar las brechas
Asigne una puntuación de madurez a cada requisito y control. Un sistema sencillo de semáforo funciona bien:
| Puntuación | Significado | Acción típica |
|---|---|---|
| Verde | Implementado en su totalidad y con evidencia | Mantener y monitorear |
| Amber | Implementado parcialmente o sin evidencia | Cerrar la brecha: puede requerir documentación, formalización o evidencia adicional. |
| Rojo | No se ha iniciado o le falta fundamentalmente | Planificar e implementar desde cero |
Paso 5: Priorizar y planificar
No todas las brechas tienen la misma importancia. Priorice en función de:
- Riesgo de certificación — Las lagunas en los requisitos obligatorios (cláusulas del sistema de gestión) son más críticas que las lagunas en los controles que usted pueda excluir de su sistema. Declaración de aplicabilidad
- Riesgo del negocio — Brechas que exponen a la organización a la regulación multas o las filtraciones de datos deben abordarse con urgencia
- Esfuerzo y dependencias — Algunas brechas requieren un cambio cultural o la cooperación de terceros, lo que lleva más tiempo.
El resultado de su análisis de brechas debe ser un plan de implementación priorizado con plazos, requisitos de recursos y una clara asignación de responsabilidades para cada elemento de acción.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué aspectos debe evaluar en cada cláusula?
La tabla que aparece a continuación proporciona una lista de verificación práctica de lo que se debe tener en cuenta al evaluar cada cláusula del sistema de gestión durante el análisis de brechas.
| Cláusula | Preguntas clave para hacer |
|---|---|
| Cláusula 4: Contexto | ¿Ha identificado a todas las partes interesadas? ¿Está claramente definido y documentado el alcance de su PIMS? ¿Comprende el contexto del procesamiento de la información de identificación personal (PII)? |
| Cláusula 5: Liderazgo | ¿Existe una política de privacidad aprobada por la alta dirección? ¿Están claramente definidas las funciones y responsabilidades en materia de privacidad? ¿Hay pruebas del compromiso de la dirección? |
| Cláusula 6: Planificación | ¿Disponen de una metodología de evaluación de riesgos de privacidad? ¿Existe un registro de riesgos con las entradas actualizadas? ¿Existe una Declaración de Aplicabilidad? ¿Están definidos y son medibles los objetivos de privacidad? |
| Cláusula 7: Soporte | ¿El personal es competente en sus funciones relacionadas con la privacidad? ¿Existe un programa de capacitación y sensibilización? ¿Se controla la información documentada (control de versiones, aprobación, distribución)? |
| Cláusula 8: Operación | ¿Se planifican y controlan los procesos operativos? ¿Se realizan evaluaciones de riesgos a intervalos planificados? ¿Se está implementando el tratamiento de riesgos según lo previsto? |
| Cláusula 9: Ejecución | ¿Está usted supervisando y midiendo la eficacia de su PIMS? ¿Se han realizado auditorías internas? ¿Se ha llevado a cabo una revisión por parte de la dirección? |
| Cláusula 10: Mejora | ¿Existe un proceso para gestionar las no conformidades? ¿Se realiza un seguimiento de las acciones correctivas hasta su finalización? ¿Existe evidencia de mejora continua? |
¿Cuáles son las deficiencias más comunes según el tipo de organización?
Las distintas organizaciones suelen encontrar perfiles de brechas diferentes. Comprender tus posibles áreas débiles antes de comenzar ayuda a enfocar la evaluación.
Organizaciones nuevas en sistemas de gestión
Si su organización nunca ha implementado un sistema de gestión ISO, espere importantes deficiencias en:
- Metodología de evaluación de riesgos y registro de riesgos
- programa de auditoría interna
- proceso de revisión de la dirección
- Control de la información documentada
- Procesos de acción correctiva y mejora continua
Se trata de requisitos estructurales que sustentan todo el PIMS. Requieren nuevos procesos, no solo la documentación de las prácticas existentes.
Organizaciones que ya cuentan con la certificación ISO 27001.
Si ya cuenta con la certificación ISO 27001, su marco de sistema de gestión está en gran medida establecido. Las deficiencias típicas se centran en áreas específicas de privacidad:
- Documentación sobre el contexto y la limitación de la finalidad del procesamiento de información de identificación personal (PII).
- Procedimientos de gestión de los derechos de los interesados
- Criterios de evaluación de riesgos específicos para la privacidad
- Definiciones de las funciones del controlador y del procesador
- Evaluaciones del impacto en la privacidad
Organizaciones en transición desde la norma ISO 27701:2019
Si está realizando la transición desde la edición de 2019, su análisis de brechas debe centrarse en los cambios estructurales de la edición de 2025. Consulte nuestra guía de transición Para obtener un desglose completo de los cambios, consulte la sección correspondiente. Las deficiencias más comunes incluyen:
- Estructura de control actualizada del Anexo A (la edición de 2025 reorganiza significativamente los controles).
- Nuevos requisitos para sistemas de gestión independientes que se heredaron previamente de la norma ISO 27001.
- Enfoque de evaluación de riesgos actualizado que refleja la naturaleza independiente de la norma.
Organizaciones con un sólido cumplimiento del RGPD
GDPRLas organizaciones maduras suelen tener prácticas de privacidad sólidas, pero pueden carecer de la estructura formal del sistema de gestión que exige la norma ISO 27701:2025. Anexo D Mapeo del RGPD Ayuda a identificar dónde el trabajo existente en materia de RGPD cumple con los requisitos de la norma ISO 27701. Las deficiencias típicas incluyen:
- Metodología formalizada de evaluación de riesgos (en lugar de evaluaciones de impacto sobre la protección de datos ad hoc)
- Programa de auditoría interna que abarca todo el PIMS
- Proceso estructurado de revisión de la gestión con decisiones registradas.
- Declaración de aplicabilidad de los controles del Anexo A
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Cómo acelera ISMS.online su análisis de brechas?
SGSI.online Transforma el análisis de brechas, que antes era un ejercicio manual basado en hojas de cálculo, en una evaluación guiada y estructurada que ahorra tiempo y produce resultados más prácticos.
- Marco de evaluación predefinido — Cada cláusula y control del Anexo A ya está mapeado en la plataforma, por lo que puede evaluar según el estándar completo sin necesidad de crear su propia lista de verificación.
- Puntuación de madurez — Califica cada requisito utilizando un modelo de madurez coherente, y la plataforma resaltará automáticamente las deficiencias de mayor prioridad.
- Seguimiento de la brecha a la acción — Convertir directamente los hallazgos de brechas en elementos de acción con responsables, fechas límite y seguimiento del estado
- Vinculación de evidencias — Adjunte la evidencia existente a los requisitos durante la evaluación, para que sepa exactamente qué tiene y qué aún necesita.
- Paneles de progreso — Visualice su nivel de cumplimiento de un vistazo y realice un seguimiento de la mejora a lo largo del tiempo.
- Plantillas de implementación — Por cada brecha que identifique, SGSI.online Proporciona plantillas de políticas, procedimientos y documentación para cerrarlo más rápidamente.
Para conocer los siguientes pasos después de su análisis de brechas, consulte nuestra guía para Primeros pasos con la implementación de la norma ISO 27701:2025, que cubre todo el recorrido desde la evaluación hasta título o certificación.
¿Por qué elegir ISMS.online para su análisis de brechas?
- Cobertura estándar integral — Evalúe cada cláusula y control del Anexo A sin necesidad de crear su propio marco de evaluación desde cero.
- Proceso de evaluación guiada — La guía paso a paso garantiza que no se pase nada por alto, incluso si está realizando su primer análisis de brechas del sistema de gestión.
- Priorización instantánea — La puntuación automatizada resalta tus deficiencias más críticas para que sepas dónde concentrar los recursos primero.
- Transición sin problemas a la implementación — Los hallazgos de brechas se convierten directamente en tareas de implementación dentro de la misma plataforma, evitando la pérdida de datos entre la evaluación y la acción.
- Compatibilidad con múltiples marcos — Si planea implementar la norma ISO 27701 junto con la ISO 27001 u otras normas, SGSI.online Los mapas de requisitos superpuestos permiten evaluar una sola vez y cumplir con múltiples marcos de trabajo.
- Colaboración integrada — Asigne secciones de evaluación a diferentes miembros del equipo y realice un seguimiento centralizado del progreso.
- Con la confianza de miles de organizaciones - SGSI.online ha ayudado a empresas de todos los tamaños a realizar análisis de brechas y obtener la certificación ISO.
Preguntas Frecuentes
¿Cuánto tiempo lleva un análisis de brechas según la norma ISO 27701:2025?
Un análisis de brechas típico tarda entre dos y cuatro semanas, dependiendo del tamaño y la complejidad de su organización. Las organizaciones más pequeñas con un alcance específico pueden completarlo en una o dos semanas. Las organizaciones más grandes con múltiples unidades de negocio, un procesamiento de datos extenso y sistemas de gestión ya establecidos pueden necesitar cuatro semanas o más.
¿Debemos realizar el análisis de brechas internamente o contratar a un consultor?
Ambos enfoques funcionan. Las evaluaciones internas son rentables y desarrollan el conocimiento organizacional, pero pueden pasar por alto deficiencias si los miembros del equipo carecen de experiencia con los sistemas de gestión ISO. consultor aporta experiencia y objetividad, pero a un coste mayor. Muchas organizaciones adoptan un enfoque híbrido: realizan la evaluación inicial internamente utilizando una plataforma como SGSI.online y luego contratar a un consultor para validar los resultados.
¿Podemos utilizar nuestro análisis de brechas según la norma ISO 27001 como punto de partida?
Sí. Si ya cuenta con la certificación ISO 27001, las cláusulas de su sistema de gestión ya están prácticamente implementadas y su análisis de brechas puede centrarse en los requisitos específicos de privacidad y los controles del Anexo A. Sin embargo, conviene revisar las cláusulas del sistema de gestión, ya que la norma ISO 27701:2025 incluye aspectos específicos de privacidad que la ISO 27001 no contempla.
¿Qué resultado debería producir el análisis de brechas?
El resultado principal es una lista priorizada de brechas con puntuaciones de madurez, mapeadas a los requisitos y controles del estándar. Esto debe alimentar directamente un plan de implementación con cronogramas, estimaciones de recursos y propietarios. SGSI.onlineEste resultado se genera automáticamente a medida que completa la evaluación.
¿Con qué frecuencia debemos repetir el análisis de brechas?
Un análisis completo de brechas se realiza normalmente una vez durante la implementación inicial y otra vez al cambiar de edición (por ejemplo, de 2019 a 2025). Tras la certificación, las auditorías internas periódicas cumplen una función similar. Sin embargo, repetir un análisis de brechas específico anualmente o después de cambios organizativos importantes es una buena práctica para garantizar que su PIMS se mantenga actualizado.
