¿Qué es un Control en ISO 27001?
Resumen
Un control en ISO 27001 es una medida que modifica o reduce el riesgo de seguridad de la información. Los controles son políticas, procedimientos, prácticas, estructuras organizativas o mecanismos técnicos que protegen la confidencialidad, integridad y disponibilidad de los activos de información.
Qué significa en la práctica
Los controles son el "cómo" de la seguridad: las acciones específicas que se toman para abordar los riesgos identificados. Después de que la evaluación de riesgos identifica las amenazas, los controles son las contramedidas que se implementan para reducir esos riesgos a niveles aceptables.
Ejemplo del mundo real: Si la evaluación de riesgos identifica el "acceso no autorizado a la base de datos de clientes" como un riesgo alto, se podrían implementar controles que incluyan: una política de control de acceso (control organizativo), autenticación de múltiples factores (control técnico) y formación en concienciación sobre seguridad (control de personas). Juntos, estos controles reducen el riesgo.
Tipos de controles
Por función
Controles preventivos: Detienen los incidentes de seguridad antes de que ocurran (controles de acceso, firewalls, cifrado)
Controles detectives: Identifican incidentes de seguridad cuando ocurren (monitoreo, registro de logs, detección de intrusiones)
Controles correctivos: Reducen el impacto después de que ocurran los incidentes (restauración de copias de seguridad, procedimientos de respuesta a incidentes)
Por naturaleza
Controles técnicos: Medidas basadas en tecnología (cifrado, autenticación, protección contra malware)
Controles organizativos: Políticas, procedimientos y prácticas de gestión (gestión de riesgos, clasificación de activos)
Controles físicos: Protegen el entorno físico (cerraduras, vigilancia, acceso a instalaciones)
Controles de personas: Medidas centradas en el ser humano (capacitación, investigación de antecedentes, contratos de confidencialidad o NDAs)
Por enfoque de implementación
Controles administrativos: Reglas y procedimientos documentados
Controles lógicos: Controles basados en software y sistemas
Controles físicos: Medidas de protección tangibles
Controles del Anexo A
El Anexo A de ISO 27001:2022 enumera 93 controles específicos organizados en cuatro temas que las organizaciones pueden seleccionar basándose en la evaluación de riesgos:
Controles organizativos (A.5.1-A.5.37): 37 controles para gobernanza, políticas, gestión de activos, gestión de proveedores, gestión de incidentes
Controles de personas (A.6.1-A.6.8): 8 controles para el ciclo de vida del empleo y riesgos relacionados con las personas
Controles físicos (A.7.1-A.7.14): 14 controles para la seguridad de las instalaciones y la protección de activos físicos
Controles tecnológicos (A.8.1-A.8.34): 34 controles para la seguridad de TI, gestión de accesos y salvaguardas técnicas
Selección de controles: No es obligatorio implementar los 93 controles del Anexo A. La evaluación de riesgos determina qué controles son necesarios. Documente las decisiones de selección de controles en su Declaración de Aplicabilidad (SoA).
Objetivos de control frente a controles
Objetivo de control
El resultado deseado o meta de seguridad (por ejemplo, "evitar el acceso no autorizado a datos sensibles").
Control
La medida específica que implementa el objetivo (por ejemplo, "autenticación de múltiples factores para todos los usuarios que acceden a la base de datos de clientes").
Por qué es importante la distinción
El Anexo A de ISO 27001 enumera objetivos de control. La forma en que se implementa cada control depende del contexto de su organización, la tecnología y el perfil de riesgo. Dos organizaciones pueden lograr el mismo objetivo con implementaciones diferentes.
Implementación proporcional: Una pequeña startup podría implementar la "capacitación en concienciación sobre seguridad" (A.6.3) a través de reuniones mensuales de equipo, mientras que una gran empresa podría usar un sistema de gestión de aprendizaje con planes de estudio basados en roles. Ambos cumplen el objetivo de control si es apropiado para su contexto.
Eficacia del control
Qué hace que un control sea eficaz
Los controles deben reducir realmente el riesgo, no solo existir en el papel. Los controles eficaces son:
Implementados: Realmente desplegados y operativos
Apropiados: Adecuados para el riesgo y el contexto organizacional
Medibles: Se puede verificar que están funcionando
Consistentes: Aplicados uniformemente en toda la organización
Mantenidos: Mantenerlos actualizados a medida que cambian los riesgos y el entorno
Probar la eficacia de los controles
Revisión de documentos: Verificar que la documentación del control existe y está actualizada
Observación: Observar los controles en funcionamiento
Entrevista: Confirmar que el personal comprende y sigue los procedimientos de control
Pruebas técnicas: Verificar que los controles técnicos funcionan según lo configurado
Muestreo de evidencia: Revisar registros que demuestren la operación continua del control
Hallazgo de auditoría común: Controles documentados en políticas pero no implementados o mantenidos realmente. Los auditores verifican que los controles operen eficazmente, no solo que se tenga una documentación bonita.
Controles compensatorios
Cuándo se utilizan controles compensatorios
A veces no se puede implementar un control específico debido a limitaciones técnicas, restricciones de costo o razones operativas. Los controles compensatorios son medidas alternativas que logran la misma reducción de riesgo.
Requisitos para los controles compensatorios
Proporcionar una reducción de riesgo similar o mejor que el control original
Abordar el mismo objetivo de control
Estar documentado y justificado en su Declaración de Aplicabilidad
Ser aceptable para auditores y partes interesadas
Ejemplos
Control original: Segmentación de red para aislar sistemas sensibles
Control compensatorio: Monitoreo mejorado y controles de acceso si la arquitectura de red impide la segmentación
Control original: Acceso biométrico para la sala de servidores
Control compensatorio: Acceso por tarjeta con monitoreo de CCTV y registros de acceso si la biometría no es factible
Evidencia de control
Qué buscan los auditores
Para cada control implementado, los auditores solicitan evidencia que demuestre:
Existencia: El control está establecido (documentos de política, configuraciones del sistema)
Operación: El control funciona regularmente (logs, informes, registros)
Eficacia: El control reduce el riesgo (métricas, resultados de pruebas, datos de incidentes)
Ejemplos de evidencia por tipo de control
Controles de política: Documentos de política aprobados, historial de versiones, acuses de recibo del personal
Controles técnicos: Capturas de pantalla de configuración, logs del sistema, informes de escaneo
Controles de proceso: Listas de verificación completadas, tickets de flujo de trabajo, registros de revisión
Controles de formación: Certificados de finalización, registros de asistencia, puntuaciones de exámenes
Estrategia de evidencia: Integre la recopilación de evidencia en la operación del control desde el principio. Las revisiones de acceso trimestrales generan evidencia para los controles de gestión de acceso, los registros de tareas de respaldo demuestran que los controles de copia de seguridad funcionan, los informes de finalización de capacitación respaldan los controles de concienciación.
Ciclo de vida del control
1. Selección (Planificación)
Basándose en la evaluación de riesgos, identifique qué controles abordan los riesgos identificados. Documente en la Declaración de Aplicabilidad.
2. Implementación (Despliegue)
Despliegue los controles seleccionados con el alcance, cronograma y recursos adecuados. Cree políticas, configure sistemas, capacite al personal.
3. Operación (Día a día)
Ejecute los controles como parte de las operaciones comerciales normales. Genere evidencia a través de logs, informes y registros.
4. Monitoreo (Continuo)
Rastree la eficacia del control a través de métricas, revisiones y pruebas. Identifique fallas o debilidades en los controles de manera temprana.
5. Revisión (Periódica)
Evalúe si los controles siguen siendo apropiados a medida que cambian los riesgos, la tecnología y el negocio. Actualice o retire controles según sea necesario.
6. Mejora (Continua)
Mejore los controles basándose en incidentes, hallazgos de auditoría, nuevas amenazas o mejoras tecnológicas.
Errores comunes en la implementación de controles
Implementación de controles sin evaluación de riesgos
Seleccionar controles basados en plantillas o "mejores prácticas" en lugar de su evaluación de riesgos real. Esto desperdicia recursos y puede dejar brechas.
Exceso de documentación, falta de implementación
Crear políticas y procedimientos extensos pero no desplegar ni operar realmente los controles.
Mentalidad de "configurar y olvidar"
Implementar los controles una sola vez durante la preparación de la certificación pero no mantenerlos ni recopilar evidencia continua.
Sin medición de eficacia
Asumir que los controles funcionan sin probar o medir su impacto en la reducción de riesgos.
Soluciones puntuales en lugar de defensa en profundidad
Confiar en controles únicos en lugar de defensas por capas. El fallo de un control no debería resultar en un compromiso total.
Mejor práctica: Implemente controles en capas (defensa en profundidad). Por ejemplo, proteja los datos sensibles con: política de clasificación (organizativo), controles de acceso (técnico), cifrado (técnico), monitoreo (detective) y copias de seguridad (correctivo). Si un control falla, otros siguen proporcionando protección.
Niveles de madurez de los controles
Nivel 1: Inicial/Ad hoc
Los controles existen de forma informal o inconsistente. Sin documentación ni estandarización.
Nivel 2: Repetible
Los controles están documentados y se siguen generalmente, pero la implementación varía según el departamento o el individuo.
Nivel 3: Definido
Los controles están estandarizados, documentados e implementados de manera consistente en toda la organización.
Nivel 4: Gestionado
Los controles se miden y monitorean. Las métricas rastrean la eficacia y el rendimiento.
Nivel 5: Optimizado
Los controles se mejoran continuamente basándose en métricas, incidentes y el entorno de riesgo cambiante.
La certificación ISO 27001 suele requerir el Nivel 3 (definido y consistente). Las organizaciones maduras aspiran a los niveles 4 y 5.
Controles en diferentes marcos
Controles ISO 27001
93 controles en el Anexo A, selección basada en el riesgo, reconocidos internacionalmente.
Marcos NIST
NIST CSF utiliza cinco funciones (Identificar, Proteger, Detectar, Responder, Recuperar). NIST 800-53 proporciona un catálogo de controles detallado principalmente para sistemas federales de EE. UU.
Criterios de servicios de confianza SOC 2
Criterios de Seguridad, Disponibilidad, Integridad de Procesamiento, Confidencialidad y Privacidad con requisitos de control específicos para organizaciones de servicios.
Requisitos PCI DSS
12 requisitos centrados en la protección de datos de tarjetas de pago, obligatorios para organizaciones que manejan pagos con tarjeta.
Muchos controles se solapan entre los diferentes marcos. El enfoque basado en riesgos de ISO 27001 a menudo aborda requisitos de múltiples marcos simultáneamente.
Conceptos relacionados
Controles del Anexo A: Los 93 controles específicos en ISO 27001:2022
Evaluación de riesgos: Proceso que determina qué controles implementar
Declaración de aplicabilidad: Documento que enumera sus selecciones de controles
Tratamiento de riesgos: Implementación de controles para abordar los riesgos
Cómo implementar controles del Anexo A de ISO 27001 usando IA
Obtener ayuda
Utilice ISMS Copilot para identificar los controles adecuados para sus riesgos, crear documentación de implementación de controles y desarrollar estrategias de recopilación de evidencia para estar listo para la auditoría.