ISMS Copilot
Glosario de ISO 27001

¿Qué son los controles del Anexo A en ISO 27001:2022?

Resumen

Los controles del Anexo A son los 93 controles de seguridad de la información enumerados en el Apéndice A de ISO 27001:2022 que las organizaciones pueden seleccionar para abordar los riesgos de seguridad de la información identificados. Representan las mejores prácticas de seguridad reconocidas internacionalmente, organizadas en cuatro temas: Organizativos, Personas, Físicos y Tecnológicos.

Qué significa en la práctica

Piense en el Anexo A como un menú exhaustivo de controles de seguridad. Basándose en su evaluación de riesgos, usted selecciona qué controles implementar de este menú. No está obligado a implementar los 93, solo aquellos que aborden los riesgos identificados en su contexto específico.

Ejemplo del mundo real: Si su evaluación de riesgos identifica el uso indebido de datos por parte de los empleados como un riesgo, podría seleccionar A.5.10 (Política de uso aceptable), A.6.3 (Concienciación y formación en seguridad) y A.8.15 (Registros y supervisión). Si su infraestructura es exclusivamente en la nube, podría excluir de A.7.1 a A.7.14 (Controles físicos) por no ser aplicables.

Los cuatro temas de control

Controles organizativos (A.5.1 - A.5.37) - 37 controles

Controles a nivel de gestión para la gobernanza, políticas, gestión de riesgos, gestión de activos, seguridad de proveedores, gestión de incidentes, continuidad de negocio y cumplimiento.

Ejemplos clave:

  • A.5.1 - Políticas para la seguridad de la información

  • A.5.7 - Inteligencia de amenazas

  • A.5.9 - Inventario de información y activos

  • A.5.19 - Seguridad de la información en las relaciones con proveedores

  • A.5.24 - Planificación de la gestión de incidentes de seguridad de la información

Controles de personas (A.6.1 - A.6.8) - 8 controles

Controles que gestionan los riesgos de seguridad relacionados con el personal durante todo el ciclo de empleo, desde la contratación hasta el cese.

Ejemplos clave:

  • A.6.1 - Selección (verificación de antecedentes)

  • A.6.3 - Concienciación, educación y formación en seguridad de la información

  • A.6.7 - Teletrabajo

  • A.6.8 - Notificación de eventos de seguridad de la información

Controles físicos (A.7.1 - A.7.14) - 14 controles

Controles que protegen el entorno físico donde se almacenan o procesan los activos de información.

Ejemplos clave:

  • A.7.1 - Perímetros de seguridad física

  • A.7.2 - Controles físicos de entrada

  • A.7.4 - Supervisión de la seguridad física

  • A.7.10 - Gestión de soportes de almacenamiento

Controles tecnológicos (A.8.1 - A.8.34) - 34 controles

Controles técnicos y de seguridad de TI, incluyendo gestión de accesos, criptografía, seguridad de red, desarrollo seguro y gestión de vulnerabilidades.

Ejemplos clave:

  • A.8.2 - Derechos de acceso privilegiado

  • A.8.5 - Autenticación segura

  • A.8.8 - Gestión de vulnerabilidades técnicas

  • A.8.13 - Copias de seguridad de la información

  • A.8.16 - Actividades de supervisión

Distribución de controles: La mayoría de las organizaciones implementan entre 40 y 70 controles dependiendo de su tamaño, complejidad y perfil de riesgo. Las startups nativas de la nube podrían implementar menos controles físicos, mientras que las empresas reguladas suelen implementar más de 80 controles.

Cambios respecto a ISO 27001:2013

Reestructurado y consolidado

La versión de 2022 redujo los 114 controles en 14 dominios a 93 controles en 4 temas, haciendo que el marco de trabajo sea más limpio y lógico.

11 nuevos controles para amenazas modernas

  • A.5.7 - Inteligencia de amenazas

  • A.5.23 - Seguridad de la información para el uso de servicios en la nube

  • A.8.9 - Gestión de la configuración

  • A.8.10 - Borrado de información

  • A.8.11 - Enmascaramiento de datos

  • A.8.12 - Prevención de fuga de datos

  • A.8.16 - Actividades de supervisión

  • A.8.23 - Filtrado web

  • A.8.28 - Codificación segura

  • A.7.4 - Supervisión de la seguridad física

  • A.8.9 - Gestión de la configuración

24 controles fusionados

Los controles relacionados de 2013 se consolidaron para reducir la duplicidad. Por ejemplo, varios requisitos de control de acceso se combinaron en controles optimizados.

Nota sobre la transición: Si está certificado bajo ISO 27001:2013, debe realizar la transición a la estructura de controles de 2022 antes del 31 de octubre de 2025. Esto requiere remapear su Declaración de Aplicabilidad a la nueva numeración y abordar cualquier nuevo control relevante para sus riesgos.

Cómo seleccionar los controles

Paso 1: Completar la evaluación de riesgos

Identifique los riesgos de seguridad de la información a los que se enfrenta su organización. Los controles se seleccionan para abordar estos riesgos, no se implementan a ciegas.

Paso 2: Determinar la aplicabilidad de los controles

Para cada riesgo identificado, revise el Anexo A para encontrar controles que reduzcan el riesgo a niveles aceptables.

Paso 3: Considerar las opciones de tratamiento de riesgos

Puede tratar los riesgos mediante:

  • Implementación de controles: Aplicar controles del Anexo A para reducir el riesgo

  • Evitación del riesgo: Eliminar la actividad que genera el riesgo

  • Transferencia del riesgo: Utilizar seguros o externalizar a terceros

  • Aceptación del riesgo: Aceptar formalmente los riesgos que estén por debajo de su umbral

Paso 4: Documentar en la Declaración de Aplicabilidad (SoA)

Cree su SoA enumerando los 93 controles con su estado de inclusión/exclusión y las justificaciones basadas en la evaluación de riesgos.

Paso 5: Implementar los controles seleccionados

Despliegue los controles incluidos con el alcance, cronograma y recursos adecuados basándose en la prioridad del riesgo.

Consejo de selección de controles: Comience con los controles fundamentales que habilitan a los demás: políticas (A.5.1), inventario de activos (A.5.9), control de acceso (A.5.15), copias de seguridad (A.8.13) y supervisión (A.8.16). Estos crean la infraestructura que sustenta otros controles.

Guía de implementación de controles

Estándar complementario ISO 27002:2022

Mientras que ISO 27001 enumera los objetivos de control, ISO 27002 proporciona una guía de implementación detallada para cada control, incluyendo el propósito, orientaciones para la implementación e información relacionada.

Atributos de control en ISO 27002

La versión de 2022 introdujo atributos de control que le ayudan a comprender:

  • Tipo de control: Preventivo, detectivo o correctivo

  • Propiedades de seguridad de la información: Confidencialidad, integridad, disponibilidad

  • Conceptos de ciberseguridad: Identificar, proteger, detectar, responder, recuperar

  • Capacidades operativas: A qué funciones de seguridad apoya el control

  • Dominios de seguridad: Gobernanza, protección, defensa, resiliencia

Adaptación de los controles al contexto

ISO 27001 espera que los controles se implementen de forma proporcional. La "codificación segura" (A.8.28) de una startup de 10 personas diferirá del enfoque de un banco, pero ambos pueden cumplir si es apropiado para su riesgo y contexto.

Ejemplo de proporcionalidad: Para A.6.3 (Formación en seguridad), una organización pequeña podría realizar sesiones mensuales informales, mientras que una gran empresa podría desplegar un sistema de gestión de aprendizaje con planes de estudio basados en roles, simulacros de phishing trimestrales y programas de certificación. Ambos satisfacen el control si es adecuado para su tamaño y riesgo.

Patrones comunes de implementación de controles

Controles de alta prioridad para la mayoría de las organizaciones

Basándose en perfiles de riesgo comunes, estos controles suelen estar incluidos:

  • Organizativos: A.5.1 (Políticas), A.5.9 (Inventario de activos), A.5.15 (Control de acceso), A.5.24 (Gestión de incidentes)

  • Personas: A.6.3 (Formación), A.6.8 (Notificación de incidentes)

  • Tecnológicos: A.8.2 (Acceso privilegiado), A.8.5 (Autenticación), A.8.8 (Gestión de vulnerabilidades), A.8.13 (Copias de seguridad), A.8.16 (Supervisión)

Controles que suelen excluirse

Dependiendo del contexto, las organizaciones suelen excluir:

  • Controles físicos (A.7.x): Organizaciones solo en la nube sin centros de datos físicos.

  • Controles de desarrollo (A.8.25-A.8.34): Organizaciones que no desarrollan software.

  • Controles de proveedores (A.5.19-A.5.22): Organizaciones con dependencias mínimas de terceros.

Escrutinio de exclusiones: Los auditores examinan cuidadosamente las exclusiones de controles. Justificaciones genéricas como "no aplicable" o "no relevante" son insuficientes. Referencie hallazgos específicos de la evaluación de riesgos o características organizativas (ej. "Arquitectura exclusiva en la nube validada en la evaluación de riesgos RA-2024-001").

Análisis profundo de controles organizativos (A.5.x)

Políticas de seguridad de la información (A.5.1 - A.5.4)

  • A.5.1 - Políticas para la seguridad de la información

  • A.5.2 - Roles y responsabilidades en seguridad de la información

  • A.5.3 - Segregación de funciones

  • A.5.4 - Responsabilidades de la dirección

Gestión de contactos (A.5.5 - A.5.6)

  • A.5.5 - Contacto con autoridades

  • A.5.6 - Contacto con grupos de interés especial

Gestión de amenazas y proyectos (A.5.7 - A.5.8)

  • A.5.7 - Inteligencia de amenazas

  • A.5.8 - Seguridad de la información en la gestión de proyectos

Gestión de activos (A.5.9 - A.5.14)

  • A.5.9 - Inventario de información y otros activos asociados

  • A.5.10 - Uso aceptable de la información y otros activos asociados

  • A.5.11 - Devolución de activos

  • A.5.12 - Clasificación de la información

  • A.5.13 - Etiquetado de la información

  • A.5.14 - Transferencia de información

Control de acceso (A.5.15 - A.5.18)

  • A.5.15 - Control de acceso

  • A.5.16 - Gestión de identidades

  • A.5.17 - Información de autenticación

  • A.5.18 - Derechos de acceso

Relaciones con proveedores (A.5.19 - A.5.23)

  • A.5.19 - Seguridad de la información en las relaciones con proveedores

  • A.5.20 - Tratamiento de la seguridad de la información en los acuerdos con proveedores

  • A.5.21 - Gestión de la seguridad de la información en la cadena de suministro de las TIC

  • A.5.22 - Seguimiento, revisión y gestión de cambios de los servicios prestados por proveedores

  • A.5.23 - Seguridad de la información para el uso de servicios en la nube (NUEVO en 2022)

Gestión de incidentes (A.5.24 - A.5.28)

  • A.5.24 - Planificación y preparación de la gestión de incidentes de seguridad de la información

  • A.5.25 - Evaluación y decisión sobre eventos de seguridad de la información

  • A.5.26 - Respuesta a incidentes de seguridad de la información

  • A.5.27 - Aprendizaje de los incidentes de seguridad de la información

  • A.5.28 - Recogida de evidencias

Continuidad del negocio (A.5.29 - A.5.30)

  • A.5.29 - Seguridad de la información durante una interrupción

  • A.5.30 - Preparación de las TIC para la continuidad del negocio

Cumplimiento (A.5.31 - A.5.37)

  • A.5.31 - Requisitos legales, estatutarios, reglamentarios y contractuales

  • A.5.32 - Derechos de propiedad intelectual

  • A.5.33 - Protección de registros

  • A.5.34 - Privacidad y protección de datos de carácter personal

  • A.5.35 - Revisión independiente de la seguridad de la información

  • A.5.36 - Cumplimiento de las políticas y normas de seguridad de la información

  • A.5.37 - Procedimientos operativos documentados

Requisitos de evidencia para los controles

Qué verifican los auditores

Para cada control incluido, los auditores solicitan evidencia de que:

  • El control existe: Políticas, procedimientos o configuraciones documentadas.

  • El control funciona: Registros, logs o salidas que muestran el funcionamiento continuo.

  • El control es eficaz: Los resultados demuestran la reducción del riesgo (ej. los escaneos de vulnerabilidades muestran la eficacia del parcheo).

Ejemplos de evidencia por tipo de control

  • Controles de política: Documentos de política aprobados, registros de acuse de recibo.

  • Controles de proceso: Documentos de procedimiento, listas de verificación, tickets de flujo de trabajo.

  • Controles técnicos: Capturas de pantalla de configuración, logs del sistema, informes de escaneo.

  • Controles de formación: Registros de finalización de formación, puntuaciones de exámenes, registros de asistencia.

Estrategia de recolección de evidencia: No espere a la auditoría para reunir pruebas. Implemente la recolección sistemática de evidencias como parte del funcionamiento del control: las revisiones de acceso trimestrales generan evidencia para A.5.18, los logs de trabajos de respaldo para A.8.13 y los informes de formación para A.6.3.

Controles adicionales más allá del Anexo A

Cuando el Anexo A no es suficiente

Si su evaluación de riesgos identifica riesgos que no se abordan adecuadamente con los 93 controles estándar, puede implementar controles adicionales específicos para su contexto.

Documentación de controles adicionales

Enumere los controles adicionales en su Declaración de Aplicabilidad o mantenga un registro de controles suplementarios. Vincúlelos claramente con los riesgos específicos que abordan.

Ejemplos de controles adicionales

  • Controles específicos de la industria (requisitos PCI DSS para procesadores de pagos).

  • Requisitos regulatorios (controles HIPAA para el sector salud).

  • Controles para tecnologías emergentes (seguridad AI/ML no cubierta totalmente en el estándar).

  • Riesgos específicos de la organización (riesgos operativos o geográficos únicos).

Conceptos relacionados

Obtener ayuda

Acelere la selección e implementación de controles con ISMS Copilot. Obtenga orientación sobre qué controles abordan sus riesgos específicos, genere documentación de implementación y cree planes de recolección de evidencias para estar listo para la auditoría.

¿Te fue útil?