Dentro del Anexo A de ISO 27001:2022: Una mirada más cercana a los controles clave

Introducción a ISO 27001:2022 Anexo A

ISO 27001:2022 es un estándar internacional de seguridad de la información implementado a través de un sistema de gestión de seguridad de la información (SGSI). El Anexo A del estándar contiene 93 controles de seguridad que se pueden aplicar en función de las necesidades y objetivos de su organización.  

La implementación de estos controles permite a su organización abordar los riesgos potenciales y lograr el cumplimiento de la norma ISO 27001. Es un enfoque comprobado para mostrarles a sus clientes actuales y potenciales que proteger sus datos es una prioridad para su negocio.  

En este artículo, examinaremos el Anexo A, describiremos los controles críticos y explicaremos por qué comprender e implementar los controles relevantes del Anexo A es vital para el éxito de ISO 27001 de su organización. 

Categorías del Anexo A de ISO 27001:2022

 La ISO 27001:2022 Anexo A Los controles se clasifican en cuatro categorías: 

•        Controles organizacionales
•        controles de personas
•        Controles físicos 
•        Controles tecnológicos.

Controles organizacionales

ISO 27001 contiene 37 controles organizacionales. Estos controles se relacionan con las políticas, procedimientos, estructuras y más de su organización, lo que le permite implementar una seguridad de la información efectiva a nivel organizacional.  

Los controles organizacionales incluyen sus políticas de seguridad de la información, responsabilidades de seguridad de la información, control de acceso, gestión de activos y más. 

Controles de personas

ISO 27001 contiene ocho controles de personas, centrándose en medidas críticas que las organizaciones deben tomar para garantizar que los empleados reciban suficiente capacitación en seguridad de la información y conozcan sus responsabilidades. 

Los controles de personas incluyen educación, concientización y capacitación sobre seguridad de la información, medidas de trabajo remoto, informes de eventos de seguridad de la información y más. 

Controles físicos 

Los 14 controles físicos de ISO 27001 abordan la seguridad del entorno físico de su organización. 

Los controles físicos incluyen medidas de seguridad para trabajar en áreas seguras, administración de medios de almacenamiento, políticas de limpieza de escritorios y pantallas, y más. 

Controles Tecnológicos

Hay 34 controles tecnológicos descritos en ISO 27001:2022 relacionados con diversos elementos tecnológicos en toda su organización. 

Los controles tecnológicos incluyen autenticación segura, gestión de vulnerabilidades técnicas, actividades de seguimiento y uso de criptografía. 

Controles críticos del Anexo A de ISO 27001:2022

Su organización no necesariamente necesita implementar los 93 controles, pero debe seleccionar controles relevantes para los objetivos de seguridad de la información de su organización y los riesgos que ha identificado. Se requieren varios controles vitales para que la mayoría, si no todas, las organizaciones cumplan con la norma ISO 27001. 

Tenga en cuenta que la lista siguiente no es exhaustiva. Su organización debe considerar cada control en función de sus objetivos generales de seguridad de la información. 

A.5.1 Políticas de Seguridad de la Información

Control: A.5.1, Políticas de seguridad de la información, garantiza la idoneidad, adecuación y eficacia continua del apoyo y la dirección de la gestión para la seguridad y privacidad de la información de su organización. 

Implementado con éxito, este control garantiza que su organización tenga un conjunto de políticas de privacidad y seguridad de la información diseñadas para informar y guiar el comportamiento de las personas de acuerdo con los riesgos de seguridad de la información.  

Por ejemplo, tu política de seguridad de la información, que es un requisito de ISO 27001:2022 Cláusula 5.2, debe ser aprobado por la dirección y declarar el enfoque de su organización para gestionar la seguridad de la información. Debe considerar su estrategia comercial, requisitos, legislación, regulaciones y contratos relevantes.  

La política debería: 

• Incluir una definición de seguridad de la información. 

• Proporcionar un marco para establecer objetivos de seguridad de la información. 

• Declare un compromiso continuo para mejorar el SGSI de su organización. 

• Asignar responsabilidades de gestión de seguridad de la información a roles definidos. 

La alta dirección debe aprobar la política de seguridad de la información y cualquier cambio realizado para garantizar una implementación efectiva. Luego debe comunicar la política (y cualquier subpolítica asociada, como las políticas de control de acceso y gestión de activos) al personal relevante. 

 A.5.1. Resultados: Política de seguridad de la información; subpolíticas relevantes para temas específicos, por ejemplo A.5.10 Uso aceptable de la información y otros activos asociados, A.8.32 Gestión del cambio, A.8.13 Copia de seguridad de la información, etc. 

A.5.15 Control de acceso

Control: A.5.15, Control de acceso requiere que su organización establezca e implemente reglas para controlar el acceso físico y lógico a la información y otros activos asociados en función de los requisitos de seguridad de la información y del negocio. Esto garantiza que solo los perfiles autorizados puedan acceder a la información y otros activos y evita el acceso no autorizado. 

Debe abordar este control con una política de control de acceso, que se incluye como una política de tema específico en su política de seguridad de la información. Su política de control de acceso debe considerar:  

• Determinar qué entidades requieren qué tipo de acceso a la información y otros activos 

• Seguridad de las aplicaciones 

• Acceso físico, respaldado por controles de entrada físicos. 

• Difusión y autorización de información y niveles de seguridad de la información y clasificación de la información. 

• Restricciones al acceso privilegiado 

• Segregación de deberes 

• Legislación, normativa y obligaciones contractuales pertinentes en materia de limitación de acceso a datos o servicios 

• Segregación de funciones de control de acceso (como solicitud de acceso, autorización de acceso y administración de acceso) 

• Autorización formal de solicitudes de acceso 

• Gestión de derechos de acceso. 

• Inicio sesión. 

Los principios de necesidad de saber y necesidad de usar se utilizan comúnmente en el control de acceso: 

• Necesito saber Implica que a una entidad (como un individuo u organización) solo se le conceda acceso a la información que la entidad requiere para realizar sus tareas.  

• Necesitará usar Implica que a una entidad solo se le dé acceso a la infraestructura de tecnología de la información con una necesidad clara.  

Estos principios pueden guiar cómo su organización otorga acceso a los activos de información. También debe considerar los requisitos comerciales y los factores de riesgo al definir qué reglas de control de acceso se aplican y el nivel de granularidad necesario. 

A.5.15 Resultados: Política de control de acceso a temas específicos; implementación de control de acceso (por ejemplo, control de acceso obligatorio, control de acceso discrecional, control de acceso basado en roles o control de acceso basado en atributos). 

A.6.3 Concientización, educación y capacitación sobre seguridad de la información

Control: A.6.3, Concientización, educación y capacitación sobre seguridad de la información, es la base de la postura de seguridad de su organización. Garantiza que sus empleados y partes interesadas puedan prevenir, identificar y reportar posibles incidentes de seguridad de la información.  

El control requiere que el personal y las partes relevantes reciban conciencia, educación, capacitación y actualizaciones periódicas sobre la seguridad de la información de su organización y políticas y procedimientos específicos de temas según corresponda a sus funciones. 

Debe establecer un programa de concientización, educación y capacitación sobre seguridad de la información de acuerdo con sus objetivos de seguridad de la información, y la capacitación debe realizarse periódicamente. El programa debe concienciar al personal de sus responsabilidades en materia de seguridad de la información e incluir un plan de educación y capacitación adecuado para ayudar al personal a comprender el objetivo de la seguridad de la información y el impacto potencial de su comportamiento, en lo que se refiere a la seguridad de la información, en su negocio. 

Considere cubrir aspectos como:  

• El compromiso de la dirección con la seguridad de la información en toda su organización 

• Necesidades de familiaridad y cumplimiento con respecto a las reglas y obligaciones de seguridad de la información aplicables. 

• Responsabilidad personal por las acciones e inacciones de uno, y responsabilidades generales para asegurar o proteger la información perteneciente a la organización. 

• Procedimientos básicos de seguridad de la información, como informes de eventos y seguridad de contraseñas. 

• Puntos de contacto y recursos para obtener información y asesoramiento adicionales. 

A.6.3 Resultados: Capacitación periódica en concientización; programa periódico de educación y formación; Difusión periódica de políticas de seguridad de la información relevantes, incluidas actualizaciones. 

 A.8.24 Uso de criptografía

Control: A.8.24, uso de criptografía requiere que su organización defina e implemente reglas para el uso efectivo de la criptografía. La criptografía se puede utilizar para lograr diferentes objetivos de seguridad de la información, tales como: 

• Confidencialidad, mediante el uso de cifrado para proteger información sensible o crítica 

• Integridad o autenticidad, mediante el uso de firmas digitales o códigos de autenticación de mensajes para verificar la autenticidad o integridad de información sensible o crítica. 

• No repudio, mediante el uso de técnicas criptográficas para proporcionar evidencia de la ocurrencia o no ocurrencia de un evento o acción 

• Autenticación, by utilizar técnicas criptográficas para autenticar usuarios y otras entidades que solicitan acceso a su sistema, entidades o recursos. 

Su organización debe implementar una política de criptografía específica para un tema, incluidos principios generales para proteger la información. También debe considerar los requisitos legales, estatutarios, reglamentarios y contractuales pertinentes relacionados con la criptografía. Las consideraciones críticas para su política de criptografía incluyen: 

• Identificar el nivel requerido de protección y clasificación de la información y en consecuencia establecer el tipo, solidez y calidad de los algoritmos criptográficos requeridos. 

• El enfoque para la gestión y generación de claves, incluidos procesos seguros para generar, almacenar, archivar, recuperar, distribuir, retirar y destruir claves criptográficas. 

• Roles y responsabilidades para la implementación de las reglas para el uso efectivo de la criptografía y la gestión y generación de claves. 

En línea con este control, su organización debe definir y utilizar un sistema de gestión de claves. 

A.8.24 Resultados: Política de criptografía temática específica; implementación de métodos criptográficos apropiados; Implementación de sistema de gestión de claves.

Evaluación y Tratamiento de Riesgos en ISO 27001:2022 

Su organización deberá definir y aplicar un proceso de evaluación de riesgos de seguridad de la información para cumplir con la norma ISO 27001:2022. Cláusula 6.1.2, evaluación de riesgos de seguridad de la información.  

El proceso de evaluación de riesgos de seguridad de la información debe: 

• Establecer y mantener criterios de riesgo de seguridad de la información, incluidos criterios de aceptación de riesgos y criterios para realizar evaluaciones de riesgos de seguridad de la información. 

• Garantizar que las evaluaciones repetidas de seguridad de la información produzcan resultados consistentes, válidos y comparables. 

• Identificar los riesgos de seguridad de la información. 

• Analizar los riesgos de seguridad de la información, incluida la probabilidad de que ocurra el riesgo, las posibles consecuencias de la ocurrencia del riesgo y los niveles de riesgo. 

• Evalúe los riesgos de seguridad de la información comparando los resultados del análisis de riesgos con sus criterios de riesgo establecidos y priorizando los riesgos analizados para su tratamiento. 

Este proceso le permite construir un marco sistemático para la evaluación de riesgos. Una vez establecido esto, deberá definir y aplicar un proceso de tratamiento de riesgos de seguridad de la información de acuerdo con la Cláusula 6.1.3.  

Su proceso de tratamiento de riesgos debe incluir: 

• Seleccionar opciones adecuadas de tratamiento de riesgos. 

• Teniendo en cuenta los resultados de la evaluación de riesgos. 

• Determinar los controles necesarios para implementar las opciones de tratamiento de riesgos mostradas.  

 En este caso, el Anexo A sirve como guía para un tratamiento de riesgos integral y apropiado. Al utilizar su marco de evaluación de riesgos, puede priorizar y seleccionar controles en función de su perfil de riesgo y requisitos organizacionales. Luego, debe elegir los controles necesarios del Anexo A a implementar para abordarlos y garantizar que no se haya pasado por alto ningún control crítico.

Anexo A: ISO 27001:2013 vs ISO 27001:2022 

La versión actual de ISO 27001, lanzada en 2022, presenta un conjunto reestructurado de controles del Anexo A en comparación con la iteración de 2013. Anteriormente, el Anexo A comprendía 114 controles en 14 categorías; Ahora el Anexo A contiene 93 controles en cuatro categorías principales como se describe: organizacional, personal, físico y tecnológico.  

Este cambio se debe principalmente a la consolidación de los controles; sin embargo, hay 11 nuevos controles de seguridad a considerar: 

• A.5.7 Inteligencia sobre amenazas  

• A.5.23 Seguridad de la información para el uso de servicios en la nube  

• A.5.30 Preparación de las TIC para la continuidad del negocio 

• A.7.4 Monitoreo de la seguridad física 

• A.8.9 Gestión de la configuración 

• A.8.10 Eliminación de información

• A.8.11 Enmascaramiento de datos

• A.8.12 Prevención de fuga de datos 

• A.8.16 Actividades de seguimiento

• A.8.23 Filtrado web 

• A.8.28 Codificación segura 

La actualización de 2022 también introduce cinco nuevos atributos principales para una categorización más sencilla: 

• Tipo de control (preventivo, detectivo, correctivo) 

• Propiedades de seguridad de la información (confidencialidad, integridad, disponibilidad) 

• Conceptos de ciberseguridad (identificar, proteger, detectar, responder, recuperar) 

• Capacidades operativas (gobernanza, gestión de activos, etc.) 

• Dominios de seguridad (gobernanza y ecosistema, protección, defensa, resiliencia). 

Transición de ISO 27001:2013 a ISO 27001:2022 

Si su organización ya está certificada según ISO 27001:2013, la fecha límite para la transición a la nueva revisión es el 31 de octubre de 2025.  

En ISMS.online, ya estamos ayudando a las empresas a realizar la transición a ISO 27001:2022. Nuestros clientes tienen una tasa de éxito del 100% al lograr la certificación utilizando nuestro Método de resultados asegurados (ARM).  

Para empezar, dividimos el proceso en siete sencillos pasos. Esta guía paso a paso está integrada en nuestra plataforma, por lo que lo guiaremos en cada paso, desde actualizar su plan de tratamiento de riesgos hasta demostrar el cumplimiento de los requisitos de la norma 2022. También lo ayudaremos a mantener el cumplimiento con 2013 mientras realiza la transición de su certificación a 2022, garantizando que su empresa cumpla constantemente.   

Anexo A: Cómo desbloquear el éxito de ISO 27001:2022 

Para las organizaciones que buscan lograr la certificación ISO 27001, es vital comprender los controles del Anexo A e implementarlos de manera efectiva y clara. Estos controles le permiten prevenir la aparición de posibles riesgos de seguridad de la información y describir procesos y procedimientos para responder de manera efectiva en caso de que ocurra un incidente. También le permiten crear un SGSI sólido que evolucionará y crecerá con las necesidades de su negocio. 

Cada organización tiene diferentes requisitos de seguridad de la información, por lo que debe evaluar las necesidades y objetivos específicos de su negocio al seleccionar los controles del Anexo A. Es posible que descubra que algunos controles abordan riesgos que sus evaluaciones de riesgos consideran que no son aplicables. La plataforma ISMS.online puede simplificar este proceso: identifique y aborde rápidamente sus controles relevantes del Anexo A con plantillas precargadas y nuestro motor dinámico de gestión de riesgos.  

Nuestra plataforma también se conecta con sus sistemas existentes, por lo que encontrará todo lo que necesita para tener éxito en un solo lugar. Lo mejor de todo es que utiliza nuestro Contenido inicial, su proceso de cumplimiento está completo en un 81 % desde su primer inicio de sesión.  

Obtenga más información sobre cómo puede aprovechar nuestro camino práctico y asequible para lograr la norma ISO 27001 por primera vez en nuestro Documento técnico sobre el camino comprobado hacia el éxito de ISO 27001.