ISO 27001 en 2026: qué cambia con la era de la IA

ISO/IEC 27001 lleva más de dos décadas siendo el estándar global de referencia en seguridad de la información. La versión 2022 ya introdujo cambios importantes — pero la adopción masiva de IA generativa en 2024-2026 está forzando a auditores, certificadoras y organizaciones a reinterpretar controles clásicos en clave de IA.

Los controles que cambian de significado

• A.5.30 Adquisición de servicios: ahora incluye la evaluación de proveedores de modelos (OpenAI, Anthropic, Google). ¿Qué hacen con tus prompts? ¿Cumplen residencia de datos?
• A.8.16 Monitoreo: requiere observabilidad sobre interacciones humano-IA y prompts, no solo logs tradicionales.
• A.8.10 Borrado de información: ¿cómo evidenciás que un modelo "olvidó" datos personales? El derecho al olvido de la Ley 21.719 colisiona con modelos entrenados.
• A.8.28 Codificación segura: ahora aplica a prompts y a la cadena de copilots usados en desarrollo.

El gap entre el certificado y la realidad

Muchas organizaciones certificadas en ISO 27001 tienen ChatGPT siendo usado en todas las áreas — sin contrato Enterprise, sin DPA, sin clasificación de información. Esto es un hallazgo crítico en cualquier auditoría 2026, aunque el certificado siga vigente.

Cómo cerrar el gap

La integración entre ISO 27001 y un sistema de governance de IA (ISO 42001) no es opcional. GOBERNANZA.IO conecta ambos marcos: los controles 27001 que tocan IA aparecen automáticamente vinculados a los controles 42001, evitando duplicar evidencias y auditorías.