ISO 27001:2022 y la disposición de equipos: cómo demuestras que borraste los datos.
La transición a la versión 2022 de ISO 27001 ya venció: desde el 1 de noviembre de 2025, un certificado contra la edición 2013 dejó de ser válido. Y entre todos los controles, hay uno que casi siempre toma desprevenidas a las empresas en auditoría — el de la disposición de equipos. Tu auditor te va a preguntar cómo destruiste los datos del equipo que retiraste. Acá te explicamos qué pide la norma y por qué el borrado certificado con constancia por equipo es la respuesta.
Si tu empresa tiene una certificación ISO/IEC 27001 —o le vende a un cliente que la exige— el 2025 trajo un cambio de calendario que conviene tener claro. El periodo de transición de la versión 2013 a la versión 2022 venció el 31 de octubre de 2025. A partir del 1 de noviembre de 2025, los certificados emitidos contra la edición 2013 dejaron de considerarse válidos. Quien no migró a tiempo no quedó "con la versión anterior": quedó, en los hechos, sin certificación vigente.
Hay mucho escrito sobre esa transición a nivel general. Lo que casi nadie aterriza es uno de los rincones más prácticos de la norma — y de los que más fricción generan en una auditoría real: qué se supone que hiciste con las computadoras que diste de baja, y cómo lo demuestras.
Qué cambió, en simple.
La versión 2022 reorganizó los controles del Anexo A y agregó algunos nuevos, pero para el tema que nos ocupa el espíritu no cambió: una empresa que maneja información debe controlar el borrado de esa información y la disposición segura de los medios y los equipos antes de reutilizarlos, revenderlos o desecharlos. Lo que sí cambió es que, vencida la transición, tu auditor evalúa contra el texto de 2022 — y espera ver tu Declaración de Aplicabilidad y tus registros alineados a esa edición.
Una aclaración honesta de entrada, porque aquí es fácil quedar mal citando de memoria: la norma asigna códigos específicos a estos controles —los relativos al borrado de información y a la disposición segura de medios y de equipos—, pero la numeración y la redacción exacta dependen de la edición y conviene verificarlas directamente contra el texto vigente con tu organismo de certificación. En este artículo hablamos del deber de fondo —borrar y disponer de forma segura, y poder probarlo— y no de un número de cláusula que cada quien debería confirmar en la fuente.
"En la auditoría, el control de disposición no se aprueba con buenas intenciones. Se aprueba con un registro: qué equipo retiraste, cómo borraste sus datos, y la constancia que lo demuestra."
El punto ciego: el control de disposición se prueba con evidencia, no con un procedimiento bonito.
La mayoría de las empresas redacta su política de seguridad y guarda un procedimiento de baja de activos. Eso está bien — pero un procedimiento es la promesa, no la prueba. Cuando llega la auditoría, el evaluador no se conforma con leer que "los equipos se borran antes de retirarse"; toma un activo concreto de tu inventario que ya salió de la empresa y pregunta: ¿cómo borraste los datos de este equipo, y dónde está el registro?
Ahí es donde muchas certificaciones tropiezan. El equipo ya se fue —se vendió, se donó, se mandó a reciclaje, se entregó a un empleado— y lo único que queda es un correo, una foto del almacén o, peor, la memoria de alguien. Eso es exactamente lo que un hallazgo de no conformidad busca: un control declarado que no se puede demostrar en un caso real.
La distinción que importa: la norma pide borrar y disponer; la constancia es cómo lo pruebas.
Conviene separar dos cosas que se confunden, igual que pasa con la legislación de datos. La norma te pide un resultado: que la información quede borrada y que el medio o el equipo se disponga de forma segura. Lo que el auditor necesita ver es la evidencia de que ese resultado ocurrió en cada caso. Una cosa es el deber; otra, la prueba.
El borrado certificado es precisamente el mecanismo que produce esa prueba: un método de borrado verificable más una constancia por número de serie que documenta el equipo, el método aplicado, la fecha y la verificación. No es un papel decorativo — es el registro auditable que cierra el control de disposición sin dejarlo a la interpretación. Si quieres entender a fondo qué es ese estándar y cómo se ve una constancia equipo por equipo, lo explicamos en nuestra guía de borrado certificado bajo NIST 800-88.
Y conviene no confundir herramientas: "formatear" o reinstalar el sistema no satisface el control. Tras un formateo, buena parte de los datos sigue siendo recuperable con utilidades accesibles, así que entregar un equipo "formateado" deja el dato expuesto y, además, sin registro que mostrar. El control pide que la información quede sin posibilidad razonable de recuperación, y que tengas con qué probarlo.
Los dos extremos del problema (y dónde aparece el reacondicionado).
Lo interesante del control de disposición es que tiene dos extremos, y un buen sistema de gestión los cuida los dos:
El equipo que sale. Cuando retiras una flota vieja, cada máquina debe salir con sus datos suprimidos de forma verificable y con su constancia. Ese es el caso que el auditor revisa con lupa, porque es el que más fácil se queda sin papeles.
El equipo que entra. Aquí hay un ángulo que muchas empresas pasan por alto: cuando compras equipo reacondicionado, ese hardware tuvo un dueño anterior. Un proveedor serio te entrega cada equipo ya borrado bajo el mismo estándar, de modo que no heredas datos de nadie ni arrancas tu propio control de activos con una incógnita. Lo desarrollamos en qué pasa con los datos del dueño anterior en una laptop reacondicionada. Para tu auditoría, esto significa que el equipo entra a tu inventario con su procedencia y su borrado documentados desde el día uno.
El retiro con borrado certificado cierra el control.
Junta las dos ideas y la conclusión es directa. El control de disposición de ISO 27001 no se gana con la política mejor redactada, sino con evidencia que puedas archivar y mostrar: equipo identificado por número de serie, datos suprimidos con un método verificable, y una constancia que cualquier evaluador pueda leer sin pedirte explicaciones. Eso convierte "creemos que se borraron" en "aquí está la constancia de que se borraron" — que es justo el lenguaje que una auditoría entiende.
Qué hacemos nosotros.
En Rematech cubrimos los dos extremos del control. Cuando renovamos o retiramos tu flota anterior —como retiro directo o tomándola a cuenta vía Trade-in—, cada equipo sale con borrado certificado de datos y constancia por número de serie, lista para tu carpeta de evidencias. Y el equipo corporativo reacondicionado que te entregamos llega borrado bajo el mismo estándar y con procedencia documentada. Así, el control de disposición deja de ser el punto débil de tu auditoría y se vuelve uno de los que tienes mejor soportados — en ambos extremos.
Lo que más nos preguntan sobre ISO 27001 y la disposición de equipos.
Artículos que te pueden interesar
Que el control de disposición sea tu evidencia, no tu hallazgo.
Renovamos y retiramos tu flota anterior con borrado certificado de datos y constancia por número de serie — la prueba que tu auditor va a pedir. Cotiza el reemplazo y, si quieres, tomamos el equipo viejo a cuenta.