Manuel Zaera — COO, Zertia
Este artículo, escrito por Manuel Zaera de COO de ZERTIA, empresa líder en certificación ISO27001 e ISO42001, explica con claridad las ventajas de certificarse en estas normativas para las empresas desarrolladoras de software y clientes finales.
La industria del software opera hoy en un entorno regulatorio que no para de densificarse. El RGPD lleva años exigiendo medidas técnicas y organizativas proporcionales al riesgo. NIS2 ha ampliado el perímetro de las obligaciones de ciberseguridad. El Reglamento Europeo de Inteligencia Artificial introduce por primera vez un marco jurídico específico para los sistemas de IA. Y el Cyber Resilience Act traslada la responsabilidad por la seguridad del producto directamente al fabricante.
En este contexto, una pregunta recorre de forma transversal los debates entre juristas, directivos y responsables de cumplimiento: ¿cómo demuestra una organización que ha actuado con diligencia? No basta con afirmarlo. Hay que poder probarlo.
El problema de la demostración
El derecho exige diligencia, pero no la define con precisión técnica. El RGPD habla de “medidas técnicas y organizativas apropiadas”; NIS2 remite a “medidas adecuadas y proporcionadas de gestión de riesgos de ciberseguridad”; el Reglamento de IA exige “sistemas de gestión de riesgos”, “documentación técnica” y “supervisión humana”. En todos los casos, la carga de la prueba recae sobre la organización.
Es aquí donde los estándares internacionales de sistemas de gestión (ISO 27001 en materia de seguridad de la información e ISO 42001 en materia de inteligencia artificial) ofrecen un valor que va mucho más allá de lo operativo. Proporcionan un marco estructurado, reconocido globalmente y verificable de forma independiente, que permite a las organizaciones demostrar de manera creíble que han establecido, implementado y mantenido los controles que la regulación exige.
Qué aportan ISO 27001 e ISO 42001
ISO 27001 es hoy el estándar de referencia global para la gestión de la seguridad de la información. Establece un sistema de gestión completo con requisitos de liderazgo, evaluación de riesgos, controles técnicos y organizativos, auditoría interna y mejora continua que obliga a la organización a identificar sus activos de información, valorar los riesgos a los que están expuestos y aplicar controles proporcionales. No es una lista de comprobación; es un ciclo de gestión continua.
ISO 42001, publicada en diciembre de 2023, traslada esa misma lógica al ámbito de la inteligencia artificial. Es el primer estándar internacional para la gestión responsable de la IA, y su objeto es permitir que cualquier organización que desarrolla, despliega o utiliza sistemas de IA gobierne ese uso de forma sistemática: evaluando riesgos específicos de IA (sesgo, opacidad, comportamiento inesperado, impacto sobre derechos fundamentales), documentando el ciclo de vida de los modelos, estableciendo mecanismos de supervisión humana y garantizando la trazabilidad de las decisiones automatizadas.
Ambos estándares comparten un rasgo esencial desde la perspectiva jurídica: la certificación no es una autodeclaración. Es el resultado de una auditoría de tercera parte realizada por un organismo de certificación acreditado ante una autoridad de acreditación reconocida. Esa independencia es precisamente lo que le confiere valor probatorio: no es la propia organización quien afirma haber actuado con diligencia, sino un tercero acreditado quien lo ha verificado.
Los datos de adopción reflejan que el mercado ha interiorizado este valor. Según el IAF (Foro de Acreditación Internacional, por sus siglas en inglés), en 2024 se registraron cerca de 100.000 certificados ISO 27001 acreditados activos en todo el mundo, con un crecimiento interanual del 104%. ISO 42001, pese a su reciente publicación, acumula ya alrededor de 400 certificados acreditados activos globalmente (el doble que hace seis meses), lo que la sitúa entre las normas con mayor velocidad de adopción en sus primeros años de vida.
Más allá del cumplimiento: ventaja competitiva tangible
Desde Zertia observamos que las organizaciones que abordan la certificación exclusivamente como obligación de cumplimiento suelen infraestimar su dimensión comercial. La certificación acreditada frente a ISO 27001 o ISO 42001 actúa simultáneamente en tres planos que tienen impacto directo en el negocio.
El primero es la reducción de fricción comercial. Las grandes corporaciones y las administraciones públicas incluyen con creciente frecuencia requisitos de seguridad y gobernanza de IA en sus procesos de homologación de proveedores y en sus RFPs. Una certificación vigente emitida por un organismo acreditado permite responder de forma inmediata y creíble a esas exigencias, reduciendo significativamente los tiempos y costes del proceso comercial.
El segundo es el refuerzo de la posición frente a inversores y partners. Un sistema de gestión certificado y auditado externamente reduce la incertidumbre sobre los riesgos operativos de la organización, lo que se traduce en valoraciones más favorables en procesos de inversión o M&A, donde la madurez en seguridad y gobernanza de IA se considera cada vez más un indicador de calidad de gestión.
El tercero es la reducción de la exposición a incidentes con coste reputacional o legal. Contar con evidencias verificables de que se han implementado y mantenido controles razonables es el argumento más sólido disponible frente a reclamaciones civiles, sanciones regulatorias o procedimientos judiciales derivados de un incidente de seguridad o de un mal funcionamiento de un sistema de IA.
La integración como palanca de eficiencia
ISO 27001, ISO 27701 (el estándar para la gestión de la privacidad de la información) e ISO 42001 comparten la misma arquitectura: la Estructura Harmonizada de ISO, basada en el ciclo Planificar-Hacer-Verificar-Actuar. Esto significa que sus requisitos de liderazgo, gestión de riesgos, auditoría interna, revisión por la dirección y mejora continua son estructuralmente equivalentes y, en gran medida, superponibles.
Para una organización que desarrolla software con componentes de IA y trata datos personales, es decir, para la inmensa mayoría de los fabricantes de software actuales, los tres marcos son aplicables de forma simultánea. Y la buena noticia es que están diseñados para que puedan integrarse, pudiéndose implementar un sistema de gestión unificado que cubra seguridad, privacidad y gobernanza de IA de manera coherente, reduciendo duplicidades y optimizando los costes de implementación y auditoría.
Una reflexión final
El debate jurídico sobre responsabilidad en el software tiende a plantearse en términos reactivos: qué ocurre cuando hay un incidente, quién responde y en qué medida. Los estándares de sistemas de gestión invierten esa lógica: obligan a las organizaciones a estructurar su gobierno de la seguridad y de la IA de forma proactiva, y les proporcionan las evidencias para demostrar que lo han hecho.
En un entorno regulatorio que no deja de evolucionar, esa capacidad de demostración no es un detalle administrativo. Es, cada vez más, un activo estratégico.
Contacta con nosotros en este formulario y estaremos encantados de atenderles.
