ISO 42001 vs ISO 27001: en qué se diferencian
Desde que la ISO 42001 apareció, muchas empresas que ya tienen la ISO 27001 se hacen la misma pregunta: «Si ya gestiono la seguridad de la información, ¿no está la IA cubierta?». La respuesta corta es no: son dos normas con objetivos distintos que, eso sí, se apoyan muy bien la una en la otra. Vamos a aclararlo.
¿Qué gestiona cada norma?
ISO 27001 es la norma de seguridad de la información. Su objetivo es proteger la confidencialidad, la integridad y la disponibilidad de los datos: quién accede a qué, cómo se protege frente a ataques, cómo se responde a incidentes. Su sistema de gestión se llama SGSI.
ISO 42001 es la norma de gestión de la inteligencia artificial. Su objetivo es que una organización desarrolle y use IA de forma responsable: gestionar los riesgos propios de la IA —sesgos, falta de transparencia, decisiones automatizadas que afectan a personas, uso indebido— a lo largo de todo el ciclo de vida del sistema de IA. Su sistema de gestión suele denominarse SGIA.
La diferencia esencial
Es una cuestión de qué protegen. ISO 27001 protege la información; ISO 42001 gobierna cómo se usa la IA y qué impacto tiene. Un modelo de IA puede ser perfectamente seguro desde el punto de vista de la 27001 —nadie puede robar los datos— y aun así ser problemático desde la 42001 si discrimina, si nadie entiende por qué decide lo que decide o si no hay supervisión humana. Son riesgos distintos y hacen falta controles distintos.
| Aspecto | ISO 27001 | ISO 42001 |
|---|---|---|
| Foco | Seguridad de la información | Gestión responsable de la IA |
| Protege | Confidencialidad, integridad, disponibilidad de datos | Uso ético, transparente y controlado de la IA |
| Riesgos típicos | Accesos, ataques, fugas de datos | Sesgos, opacidad, decisiones automatizadas, supervisión |
| Sistema de gestión | SGSI | SGIA |
| Certificable | Sí | Sí |
¿En qué se parecen?
Ambas comparten la misma estructura de alto nivel de las normas ISO de gestión: análisis del contexto, liderazgo, planificación basada en riesgos, apoyo, operación, evaluación del desempeño y mejora continua. Por eso, quien ya tiene un SGSI de ISO 27001 parte con mucho terreno ganado: los procesos de evaluación de riesgos, gestión documental, auditoría interna y revisión por la dirección se reaprovechan casi enteros. Implantar la 42001 sobre una base 27001 es mucho más rápido que empezar de cero.
¿Cuál necesita tu empresa?
- Si tratas información sensible pero no desarrollas ni utilizas IA de forma relevante, tu norma es ISO 27001.
- Si desarrollas, integras o utilizas sistemas de IA que toman o apoyan decisiones —selección de personal, scoring, atención automatizada, análisis de datos personales—, te interesa ISO 42001, sobre todo con el Reglamento Europeo de IA (AI Act) en marcha.
- Muchas organizaciones tecnológicas acabarán necesitando ambas: la 27001 para proteger los datos y la 42001 para gobernar la IA que los usa. Y, como comparten estructura, tenerlas juntas es más eficiente que gestionarlas por separado.
Prepárate para la norma de IA: en el curso ISO/IEC 42001 — Sistema de Gestión de Inteligencia Artificial aprendes a implantar el SGIA paso a paso y a aprovechar lo que ya tienes si vienes de la ISO 27001. Y si quieres el fundamento de la norma, empieza por qué es la ISO 42001.