Blog | Buk

ISO 37301: norma de gestión de Compliance y cómo implementarla

Escrito por Miguel Arévalo | octubre 22 2025

La ISO 37301:2021 es la norma internacional que define las reglas del juego para establecer un Sistema de Gestión de Cumplimiento (SGC). Esta norma está diseñada para ser utilizada en cualquier organización y permite la certificación de terceros, lo que la convierte en una herramienta de gran ayuda para empresas con funciones técnicas, de sistemas, TI y que demandan evidencia palpable de cumplimiento. 

Cabe resaltar que, esta norma reemplazó a la ISO 19600 y representa una oportunidad para alinear los procesos operativos con los requerimientos de cumplimiento bajo un marco organizado, con evidencia verificable, registros, una estructura clara  y efectiva trazabilidad. ¡En la presente nota te contaremos la información más importante sobre esta norma y los caminos exitosos a su implementación!

Componentes clave de un sistema de gestión bajo ISO 37301

Para que la norma protagonista de nuestro artículo no sea solo “una regla más”, sino un verdadero engranaje técnico-operativo, es clave comprenderla y saber cómo se relaciona con la infraestructura, los datos y la seguridad de los  sistemas. Algunos de sus componentes neurálgicos y principales son: 

 

  • Conocer el contexto único de la organización y su verdadero alcance.
  • Promover un liderazgo y gobernanza que refleje un compromiso perenne y visible con el cumplimiento de la norma y todo lo que ello implica. 
  • Planificar y comprender cuáles son los riesgos que sufre el entorno laboral al incumplir la normativa. 
  • Establecer capacitaciones y controles constantes que aseguren el cumplimiento de la norma y la revisión de las políticas que la componen.
  • Monitoreo, auditoría, revisión de la dirección y mejora continua (PDCA): se debe implementar el ciclo “Plan-Do-Check-Act”  y planificar políticas y objetivos; realizar controles operativos, verificar mediante auditorías internas y KPIs, y lo más importante: tomar acciones correctivas si es necesario. 

Integrar correctamente estos componentes permitirá definir un sistema de cumplimiento que no dependerá solo de la “política general”, sino de evidencias técnicas, contratos documentados y métricas de cumplimiento.

Beneficios de certificarse con ISO 37301 para empresas técnicas / TI

Si eres el responsable de sistemas de una organización, implementar la norma ISO 37301 en tu empresa será una decisión fortuita y ganadora que te ofrecerá las siguientes ventajas: 

 

  • Obtener evidencia contractual formal: al obtener la certificación podrás incorporarla en contratos con clientes, proveedores y socios como prueba de que se cuenta con un SGC regido por un estándar reconocido internacionalmente.
  • Reducción del riesgo de interrupción operacional y sanciones: al formalizar tus obligaciones y mapear los sistemas críticos y los controles técnicos, se disminuye la probabilidad de fallas por incumplimiento, lo cual es relevante para TI. Además, con este actuar preventivo las sanciones se mantendrán a raya.
  • Mejora de la sinergia entre Tecnología de la Información y el cumplimiento: dicha norma exige una alineación real entre procesos, sistemas, evidencias y registros. Para T.I., esto se traduce en realizar vínculos (SIEM, IAM, DLP) con requisitos de cumplimiento,
  • Confianza de terceros e imagen de empresa: tener un SGC certificado transmite a tus clientes, equipos y socios que la empresa no deja cabos sueltos en cuanto a su cumplimiento. Esto será clave para facilitar licitaciones y contratos.
  • Facilidad de integración con otros sistemas de gestión: la ISO 37301 sigue una estructura de alto nivel internacional de otras normas como ISO 27001 e ISO 9001, lo que permite integrar gestión de seguridad de la información, calidad u otros sistemas en un marco normativo que refleja confianza.

En resumen, certificarse con la ISO 37301 no es solo un “papel más”, es una herramienta para sistematizar, evidenciar y contractualizar el cumplimiento empresarial. 

Cómo implementar ISO 37301 paso a paso en tu organización

Enseguida te dejamos un plan orientado al perfil técnico que debe gestionar todos los sistemas para que puedas implementar la ISO 37301:

 

1. Definir el alcance y la gobernanza, para esto necesitas:

Elaborar el documento de “alcance del SGC” donde se definan qué líneas de negocio e instituciones legales están cobijadas. Además, hay que garantizar que todo esté aprobado por la dirección.

Define roles y funciones a cargo como Compliance Officer, Responsable TI, Auditor Interno, Comité de Cumplimiento, etcétera.

Establece una política de cumplimiento clara: es pertinente tener aprobación formal y estar publicada y comunicada a todos los equipos relacionados

2. Realizar inventario de obligaciones y mapeo a sistemas

Reúne las obligaciones relevantes: leyes y reglamentos; contratos con clientes y proveedores, licencias de software, acuerdos de servicio y todo lo considerado pertinente.

Mapea los requisitos hacia procesos, sistemas, proveedores y controles técnicos.

3. Evaluar riesgos de cumplimiento

Define una metodología clara donde se reúnan criterios de probabilidad y donde se mida el impacto a riesgos de incumplimiento como la pérdida de datos o la falta de una licencia.

Identifica riesgos inherentes y residuales. Crear registro de riesgos en herramienta GRC o similar.

Prioriza riesgos y define tratamiento: mitigación, transferencia, aceptación, eliminación.

4. Diseñar o adaptar controles operativos y técnicos

Implementa controles técnicos tangibles como:

  • Gestión de accesos (IAM) y segregación de funciones.
  • Registro de auditoría de accesos, cambios de configuración, incidentes.
  • Cifrado de datos sensibles en reposo y en tránsito.
  • Gestión de proveedores: cláusulas contractuales con evidencias de cumplimiento, auditorías de terceros.
  • Retención de logs, monitoreo SIEM, alertas sobre eventos de cumplimiento.

Documenta procedimientos operativos para esos controles, inclúyelos en playbooks. Asegura que cada control tenga evidencia (logs, informes, capturas, firmas, contratos).

5. Monitorear, auditar y mejorar


Define los KPIs del SGC: número de incumplimientos, número de alertas de proveedores, porcentaje de controles operativos funcionando.

Lleva a cabo revisión de la dirección: informes de cumplimiento, informes de auditoría, acciones correctivas.

Actualiza continuamente: nuevos riesgos, nuevos proveedores, cambios regulatorios, incidentes.

Con este enfoque, el responsable de TI tiene una ruta clara, técnica, documental y orientada a la evidencia que puede presentar en auditorías, contratos y certificaciones.

ISO 37301 vs otras normas de compliance / estándares similares

Norma

Enfoque principal

Relación con TI

ISO 37301

Sistema de Gestión de Cumplimiento (CMS) certificado, requisitos + orientación. QMS Certification+1

Amplia, abarca obligaciones contractuales, legales, operativas y de TI.

ISO 19600

Guía para gestión de cumplimiento (no certificable)

Predecesora de ISO 37301, útil pero menos formal.

ISO 37001

Sistema de Gestión Anti-Soborno

Se puede integrar con ISO 37301 para cubrir riesgo de soborno.

 

La ISO 37301 es el marco más amplio y apropiado, pues no solo aborda un tipo específico de riesgo, también el sistema completo de cumplimiento que incluye TI, proveedores, contratos, controles y evidencias.

Desafíos comunes al adoptar ISO 37301 y cómo superarlos

  • Documentación dispersa y sin evidencias técnicas

¿Cómo resolverlo? Centraliza obligaciones, mapeos y evidencias en una herramienta que pueda automatizar logs, conservar firmas digitales, contratos, registros de auditoría.

Desalineación entre TI, cumplimiento y proveedores

 

  • Desalineación entre TI, cumplimiento y proveedores

¿Cómo resolverlo? Es necesario establecer una gobernanza clara, incluir en los contratos con proveedores cláusulas de cumplimiento (evidencias, auditorías, KPIs), vincular los controles técnicos con el SGC y registrar esta vinculación.


  • Sobrecarga de actividades y falta de claridad técnica

¿Cómo resolverlo? Prioriza todos los riesgos de cumplimiento críticos (por impacto en TI), diseñar playbooks técnicos como incidentes de cumplimiento, usar checklist internos replicables, revisar periódicamente.

 

  • Falta de compromiso sostenido de la dirección o falta de recursos

¿Cómo resolverlo? Presenta a dirección competente los beneficios concretos y estructura un plan de inversión, definir indicadores claros.

 

En conclusión, la adopción de la norma ISO 37301 permite a las organizaciones técnicas estructurar su cumplimiento de una forma organizada, sistemática, documentada y auditada. Para un equipo responsable de los sistemas, esto significa tener una ruta clara para mapear obligaciones hacia sistemas, implementar controles técnicos, generar evidencias y presentarlas ante auditorías, clientes o certificadores.
Ver post completo