ISO 27001 e ISO 37001 son las dos normas de gestión que más crecen en el mercado mexicano de compliance corporativo. La primera responde a la preocupación creciente por ciberseguridad y privacidad de datos. La segunda responde al marco anticorrupción que se endureció con la LGSNA (Ley General del Sistema Nacional Anticorrupción).
ISO 27001 protege la información que tu empresa maneja. ISO 37001 protege a tu empresa contra prácticas corruptas que podrían responsabilizar civil o penalmente a la organización.
Tabla comparativa
| Aspecto | ISO 27001 | ISO 37001 |
|---|---|---|
| Foco principal | Confidencialidad, integridad y disponibilidad de la información | Prevención, detección y respuesta a actos de soborno |
| Tipo de norma | Sistema de Gestión de Seguridad de la Información (SGSI) | Sistema de Gestión Antisoborno (SGAS) |
| Versión actual | ISO/IEC 27001:2022 | ISO 37001:2016 + NMX-CC-19600-IMNC-2017 (compliance) |
| Marco regulatorio mexicano relacionado | LFPDPPP (Ley Federal de Protección de Datos Personales) · CNBV para sector financiero | LGSNA (Ley General del Sistema Nacional Anticorrupción) · LFR (Ley Federal de Responsabilidades) · LRRPRC |
| Documento clave del SGSI/SGAS | Declaración de Aplicabilidad (SoA) sobre los 93 controles del Anexo A | Política antisoborno + procedimiento de debida diligencia de socios comerciales |
| Análisis de riesgos requerido | Evaluación de riesgos de seguridad sobre activos de información | Evaluación de riesgos de soborno por relación, sector geográfico y transacción |
| Compatibilidad estructural Annex SL | Sí | Sí |
| Sectores donde es exigida o recomendada | Tecnología, finanzas, salud, gobierno, BPO, e-commerce, software, telecom | Sectores regulados, empresas que trabajan con gobierno, exportación a EE.UU./Reino Unido (FCPA/UK Bribery Act), grandes corporativos |
| Mercado en México (ISO Survey 2024) | 475 empresas certificadas | 144 empresas certificadas |
| Plazo típico con IBIZA Consultores | 12 a 20 semanas | 12 a 20 semanas |
| Beneficio comercial inmediato | Acceso a clientes que exigen SGSI: corporativos, gobierno, salud, finanzas | Defensa legal frente a la LGSNA · acceso a contratos con grandes corporativos y gobierno |
Caso Idear Electrónica BEA — proyecto integrado
Idear Electrónica (BEA), empresa del sector electrónico que trabaja con clientes corporativos y gobierno, requirió ISO 27001 + ISO 37001 en proyecto integrado. La razón: cada cliente nuevo enviaba checklists distintos cubriendo ambos frentes (seguridad de información para proyectos sensibles + compliance antisoborno por trabajar con gobierno). Con las dos certificaciones obtenidas, BEA dejó de llenar checklists ad-hoc y empezó a presentar evidencia formal ante todos los procesos de calificación de proveedores. El sistema integrado bajo Annex SL permitió compartir el análisis de riesgos, las auditorías internas y la revisión por la dirección.
Cuándo conviene cada una
Elegir ISO 27001 si:
- La empresa maneja datos personales sujetos a la LFPDPPP.
- Es BPO, software, e-commerce o telecom.
- Trabaja con sector financiero (CNBV exige medidas equivalentes a ISO 27001).
- Tiene incidentes pasados de seguridad o filtraciones documentadas.
- Un cliente corporativo lo exige en su checklist de proveedores.
Elegir ISO 37001 si:
- La empresa trabaja con gobierno (federal, estatal o municipal).
- Exporta a EE.UU. (FCPA aplica) o Reino Unido (UK Bribery Act).
- Está en sector regulado: farmacéutico, energético, financiero, aeroespacial, defensa.
- Ha enfrentado o quiere prevenir denuncias por presuntas prácticas corruptas.
- Un gran corporativo lo exige (caso típico en cadenas de suministro automotriz).
Hacer ambas integradas si:
- Aplican ambos perfiles (caso Idear Electrónica BEA).
- El cliente recibe checklists de proveedores que cubren ambos frentes.
- La empresa cotiza en bolsa o se prepara para hacerlo.
Preguntas frecuentes
Sí, son complementarias y no sustitutivas. ISO 27001 protege la información que manejas. ISO 37001 protege a la organización contra prácticas corruptas. Una empresa con ambos sistemas implementados está significativamente mejor posicionada ante auditorías regulatorias y ante clientes corporativos exigentes.
No automáticamente, pero ayuda mucho. La LGSNA establece que las empresas pueden mitigar su responsabilidad si demuestran haber implementado un sistema de prevención adecuado. Un SGAS bajo ISO 37001 es la evidencia más clara y reconocida internacionalmente de ese sistema. Es un argumento defensivo fuerte ante un proceso administrativo o penal.
Idear Electrónica (BEA) implementó ISO 27001 + ISO 37001 en proyecto integrado. Como empresa del sector electrónico que trabaja con clientes corporativos y gobierno, ambas certificaciones eran requisitos comerciales: la primera por manejo de información sensible de proyectos, la segunda por compliance ante el marco anticorrupción. La integración les permitió cubrir ambos frentes en un solo proyecto.
El Anexo A de ISO 27001:2022 contiene 93 controles de seguridad organizados en 4 temas: organizacional (37), personas (8), físicos (14), tecnológicos (34). La organización selecciona cuáles aplica según su análisis de riesgos y los documenta en la Declaración de Aplicabilidad (SoA). No todos los controles son obligatorios — pero excluir uno requiere justificación documentada.
Sí. Es uno de los componentes obligatorios. ISO 37001 exige una política antisoborno aprobada al máximo nivel directivo, que incluye guías sobre regalos, hospitalidad, donaciones políticas, contribuciones de caridad, gastos de viaje, y cualquier otra forma de beneficio que pueda interpretarse como soborno. La política debe ser comunicada a empleados y socios comerciales relevantes.
ISO 27001 típicamente lo lidera un CISO o responsable de seguridad de la información, con apoyo de TI y de Recursos Humanos. ISO 37001 lo lidera un Compliance Officer o responsable de cumplimiento, con apoyo de Legal y Finanzas. En empresas medianas, el mismo Compliance Officer puede coordinar ambos sistemas si tiene el respaldo técnico necesario.
La LFPDPPP en México exige medidas de seguridad para el tratamiento de datos personales. ISO 27001 provee el marco más reconocido para implementar esas medidas. Una empresa certificada ISO 27001 cumple con creces las obligaciones técnicas de la LFPDPPP — pero hay que asegurar que el alcance del SGSI cubra los procesos de tratamiento de datos personales, y que el aviso de privacidad esté alineado.
¿Cuál es tu caso?
IBIZA Experts te ayuda a decidir desde el diagnóstico inicial, sin costo. Si tu situación es similar a Idear Electrónica BEA, sabemos exactamente cómo estructurar el proyecto integrado.