Controles ISO 27001 Explicados: Una Guía del Anexo A

Si usted está entre las filas de empresas que buscan obtener la certificación ISO 27001 — o recertificación — es esencial que sus controles sean efectivos para que su sistema de gestión de seguridad de la información (SGSI) cumpla con los requisitos de ISO 27001.

Para ayudarle a establecer o mejorar su SGSI y prepararse para una auditoría, analizaremos más de cerca los controles de ISO 27001:2022 a continuación.

¿Qué son los controles del Anexo A de ISO 27001?

Los controles de seguridad de la información son procesos y políticas que implementa para mitigar riesgos. ISO/IEC 27001 requiere que las organizaciones implementen controles que cumplan con sus estándares para un sistema de gestión de seguridad de la información.

El documento de norma internacional ISO 27001:2022 incluye el Anexo A, que describe los 93 controles del ISO 27001 y los agrupa en 4 temas. El Anexo A describe cada objetivo y control para ayudar a las organizaciones a decidir cuáles deben utilizar.

La norma ISO 27002 actúa como un recurso complementario. Va más allá en detalle, proporcionando una página completa de información sobre el propósito de cada control, cómo funciona y cómo implementarlo.

¿Cuántos controles hay en la ISO 27001?

El Anexo A de la ISO 27001:2022 incluye 93 controles, divididos en cuatro categorías.

• Cláusula 5: Controles Organizacionales (37 controles)
• Cláusula 6: Controles de Personas (8 controles)
• Cláusula 7: Controles Físicos (14 controles)
• Cláusula 8: Controles Tecnológicos (34 controles)

Cuando la Organización Internacional de Normalización actualizó la norma ISO 27001:2013 en 2022, añadieron 11 nuevos controles. Estos son:

• A.5.7: Inteligencia sobre amenazas
• A.5.23: Seguridad de la información para el uso de servicios en la nube
• A.5.30: Preparación de las TIC para la continuidad del negocio
• A.7.4: Monitoreo de la seguridad física
• A.8.9: Gestión de configuración
• A.8.10: Eliminación de información
• A.8.11: Enmascaramiento de datos
• A.8.12: Prevención de fugas de datos
• A.8.16: Actividades de monitoreo
• A.8.23: Filtrado web
• A.8.28: Codificación segura

Además de cumplir con los requisitos de control del Anexo A, las organizaciones deben cumplir con los requisitos de las cláusulas 4-10 de la norma para lograr la certificación ISO 27001:

• Cláusula 4: Contexto de la organización
• Cláusula 5: Liderazgo
• Cláusula 6: Planificación
• Cláusula 7: Apoyo
• Cláusula 8: Operación
• Cláusula 9: Evaluación del desempeño
• Cláusula 10: Mejora

Cómo se satisfacen las cláusulas ISO 27001 y los controles del Anexo A dependerá de su organización única. La norma ISO 27001 está redactada para que diferentes tipos de organizaciones puedan cumplir con los requisitos legales, regulatorios y contractuales a su manera.

Usando su evaluación de riesgos ISO 27001 interna como guía, seleccione los controles que aplican a su organización. Si elige no incluir un control del Anexo A, explique por qué en su Declaración de Aplicabilidad. Por ejemplo, si elige excluir A.6.7 porque ninguno de sus empleados trabaja de forma remota, su auditor de certificación querrá saber.

¿Cuáles son los 4 temas de ISO 27001?

¿Cuáles son los temas de ISO 27001? Puede pensarlos como los temas generales cubiertos por ISO 27001.

Temas como: ¿cómo trata la seguridad de la empresa? ¿Cómo maneja la gestión de activos? ¿Cómo aborda la seguridad física y la ciberseguridad?

Cada tema se enfoca en las mejores prácticas generales para esa área de la seguridad de la información y sus objetivos de control.

A 5.1-5.37: Controles organizacionales

El primer tema en los controles del Anexo A de ISO 27001 trata sobre cómo su organización aborda la seguridad de los datos, desde las políticas y procesos que implementa hasta la estructura de su empresa.

¿Tiene su organización un conjunto claro de políticas sobre cómo mantener seguro su SGSI? ¿Están claramente definidas y comunicadas de manera efectiva las funciones y responsabilidades de la seguridad de la información? ¿Están implementados los controles de acceso adecuados?

Estos son los problemas que los controles organizacionales están diseñados para abordar. Los controles abarcan:

Políticas de seguridad de la información

La fortaleza de sus políticas de seguridad de la información influye directamente en todas las demás categorías.

Los auditores buscarán:

• Documentación de alto nivel de las políticas de seguridad de la información
• Un proceso regular para revisar y actualizar esas políticas
• Una explicación clara de cómo esas políticas funcionan con las otras necesidades del negocio

Organización de la seguridad de la información

Está bien que el CISO implemente políticas de seguridad, pero eso no es suficiente para ISO 27001. Los roles de seguridad específicamente definidos en todos los niveles de la organización son imprescindibles.

En cada departamento, no debe haber ninguna ambigüedad sobre las responsabilidades de seguridad de la información. También debe haber planes sobre cómo los trabajadores remotos o los proveedores encajan en el entorno.

Es mucho más fácil para un solo profesional de infosec implementar políticas en una oficina más pequeña. Sin embargo, aún debe tener un plan para organizar la seguridad de los datos a medida que su empresa crece.

Relaciones con proveedores

La mayoría de las empresas dependen en cierta medida de asociaciones externas. Al buscar la certificación ISO 27001, las empresas a menudo se centran en las operaciones internas y los sistemas operativos y pueden pasar por alto fácilmente la gestión de riesgos de la cadena de suministro y de terceros.

Es más difícil implementar controles aquí porque no se puede controlar cómo opera otra persona. Presente al auditor prueba de que mantiene a todos los proveedores externos a un estándar riguroso y que ha completado un plan exhaustivo de tratamiento de riesgos para el riesgo de terceros. También debe negarse a trabajar con cualquier persona que no cumpla con esos estándares.

Controles de acceso

En pocas palabras, los empleados de su organización no deben poder ver información que no sea relevante para sus trabajos.

El control de acceso abarca quién recibe información de autenticación, como credenciales de inicio de sesión, y qué privilegios trae esa información. Cuantas más personas tengan acceso de usuario a la información corporativa, más riesgo se introduce.

Estos controles abordan cómo mantener seguros los ID de usuario y las contraseñas de los empleados y limitar el acceso no esencial a las aplicaciones a través de un proceso formal de gestión de acceso. Deben estar respaldados por procedimientos documentados y responsabilidades del usuario.

Gestión de activos

Cualquier activo de información es un posible riesgo de seguridad: si es valioso para usted, probablemente sea valioso para otra persona.

La certificación ISO 27001 requiere que su empresa identifique sus activos de información, los clasifique y aplique procesos de gestión basados ​​en esas clasificaciones.

Para los controles en este dominio, debe saber:

• ¿Cuál es el uso aceptable de un activo de información?
• ¿Quién está autorizado para recibir y compartir cada activo?
• Cómo rastrear la ubicación de un activo
• Cómo desechar el activo, si es necesario

Los controles también cubren cómo almacenar de manera segura los activos en medios extraíbles, como las unidades USB.

Seguridad de las comunicaciones

Estos controles cubren la transferencia de información, incluido cómo intercambia información, cómo la protege al usar mensajería electrónica como el correo electrónico y cómo utiliza los acuerdos de no divulgación.

Gestión de incidentes de seguridad de la información

No podrá evadir todas las amenazas de seguridad, independientemente de cuán preparado esté. Este dominio cubre cómo responderá su empresa a eventos e incidentes de seguridad.

Si hay una violación de datos, ¿quién se informa primero? ¿Quién tiene el poder de tomar decisiones? ¿Qué hará para minimizar el impacto?

Este conjunto de controles también toma en cuenta lo que hace después de que la crisis ha pasado. ¿Cómo aprenderá del incidente?

Aspectos de la seguridad de la información del negocio Continuity Management

Cuando los negocios se ven significativamente interrumpidos, la seguridad de la información puede quedar en un segundo plano.

¿Tiene su empresa un plan para proteger los datos sensibles durante una gran interrupción operativa?

La interrupción puede ser cualquier cosa, desde un desastre natural hasta un ataque de ransomware o una agitación política en el país de origen del negocio. También puede ser interna, como una adquisición o un cambio en el liderazgo de la empresa.

Las medidas de redundancia, que incluyen mantener un inventario de piezas de repuesto y hardware y software duplicados, pueden ayudar a mantener la continuidad del negocio y un funcionamiento fluido durante tiempos de interrupción.

Cumplimiento

La sección final detalla cómo su organización cumple con las leyes de seguridad de la información.

Bajo leyes como el Reglamento General de Protección de Datos (GDPR) de la UE, las empresas pueden enfrentar fuertes multas por fallas en la seguridad de la información. Los auditores de ISO 27001 quieren ver que tiene un plan para mitigar el riesgo de cumplimiento.

A 6.1-6.8: Controles de personas

Los controles de personas definen cómo su personal interactúa con los datos y los sistemas de información. Incluyen prácticas como verificaciones de antecedentes de empleados y capacitación en concienciación sobre seguridad.

Seguridad de los recursos humanos

Los controles en esta sección requieren que cada empleado sea claramente consciente de sus responsabilidades de seguridad de la información.

Cubre toda la relación del personal:

1. ¿Cómo se evalúa a los empleados antes de ser contratados? Esto incluye pruebas y verificaciones de antecedentes, y términos y condiciones claros de empleo.
2. ¿Cómo se comunicarán las expectativas relacionadas con la seguridad de la información a los empleados? Esto incluye aspectos como la educación y formación en concienciación sobre la seguridad de la información, el proceso disciplinario, el reporte de incidentes de seguridad y los acuerdos de confidencialidad.
3. ¿Cómo se asegurará de que los empleados no comprometan su seguridad de la información después de dejar la empresa?

A 7.1-7.13: Controles físicos

¿Cómo protegerá los activos de información física? Estos controles incluyen políticas de escritorio limpio, protocolos de almacenamiento y eliminación, sistemas de entrada y acceso, y más.

Seguridad física y ambiental

Su organización debe proteger cualquier ubicación física donde almacene datos sensibles. Eso significa oficinas, centros de datos, locales de atención al cliente y cualquier otro lugar que podría comprometer su seguridad de la información si fuera violado.

La seguridad es más que solo cerraduras y guardias. Requiere que piense en los derechos de acceso, haciendo preguntas como: “¿Cómo determina quién puede ingresar a un área segura como una sala de servidores?”

Este tema también incluye controles para garantizar que los empleados implementen salvaguardias físicas. Alguien que deje su portátil o dispositivo móvil en una cafetería puede ser incluso peor que ser hackeado. Los trabajadores remotos, así como los que están en la oficina, deben adoptar una política de escritorio y pantalla limpia para que la información no pueda ser accedida, vista o tomada por una persona no autorizada.

Otros controles en esta serie cubren el riesgo de desastres naturales. Si su centro de datos se daña por una inundación o terremoto, ¿cómo se asegurará de que permanezca protegido contra el acceso forzado? Si no puede asegurar eso, ¿qué más hará para proteger sus datos sensibles?

A 8.1-8.34: Controles tecnológicos

Los controles tecnológicos tratan de mantener una infraestructura de TI segura y en conformidad. Estos controles cubren una variedad de problemas, desde quién puede acceder al código fuente y cómo mantener la seguridad de la red hasta la sincronización de relojes.

Criptografía

La criptografía es solo una herramienta en su arsenal de seguridad, pero la norma ISO 27001 la considera lo suficientemente importante como para merecer su propio conjunto de controles.

Su empresa debe tener una política documentada para gestionar la encriptación, con evidencia de que ha pensado en el mejor tipo de encriptación para las necesidades de su negocio.

Asegúrese de prestar especial atención a cómo gestiona las claves criptográficas durante todo su ciclo de vida, incluidos los planes para qué hacer si una clave se ve comprometida.

Seguridad en las operaciones

La norma ISO 27001 requiere que su empresa asegure las instalaciones y sistemas de procesamiento de información que componen su Sistema de Gestión de Seguridad de la Información (SGSI).

Estos controles tecnológicos cubren la documentación de los procedimientos operativos del SGSI, incluidos los procedimientos de gestión y revisión de cambios. Otras subcategorías cubren la protección contra malware, copias de seguridad de datos, pruebas de penetración, gestión de vulnerabilidades técnicas y más.

Si su empresa es intensiva en tecnología, también necesitará probar que sus entornos de desarrollo y prueba son seguros.

Seguridad de red

La información es especialmente vulnerable mientras está en movimiento. La norma ISO 27001 define la comunicación de manera amplia como cualquier tránsito de información desde un nodo de su red a otro.

Estos controles evitan que los atacantes accedan a información sensible aprovechando fallos y vulnerabilidades en la seguridad de su red.

Adquisición, desarrollo y mantenimiento del sistema

Este conjunto de controles se interesa en cómo evoluciona su SGSI a lo largo del tiempo.

Cada vez que introduzca un nuevo sistema de seguridad de la información o realice cambios en uno que ya utiliza, la seguridad de la información debe estar a la vanguardia de su mente.

Para cumplir con estos requisitos de control, deberá exigir que cualquier nuevo sistema cumpla con requisitos de seguridad específicos, rechazando cualquier cambio que no cumpla con sus especificaciones.

¿Quién es responsable de implementar los controles ISO 27001?

Existe una idea errónea común de que el departamento de TI debe ser el único responsable de implementar los controles ISO 27001 aplicables a una organización. Sin embargo, solo algunos de estos controles son tecnológicos. El resto están relacionados con cuestiones organizativas, seguridad física, recursos humanos y protección legal.

Por lo tanto, la implementación de los controles del Anexo A debe ser responsabilidad de múltiples partes interesadas y departamentos dentro de una organización. Quiénes sean esas personas exactamente dependerá del tamaño, la complejidad y la postura de seguridad de esa organización.

Comprendiendo los controles ISO 27001

Como todo lo relacionado con ISO 27001, los controles del Anexo A parecen complicados al principio. Pero una vez que profundiza un poco más, el marco de control ISO 27001 es bastante sencillo.

Cuanto mejor comprenda su panorama de riesgo de seguridad de la información, más fácil será averiguar qué controles se aplican a usted.

Dicho esto, no lo culpamos si el proceso de certificación ISO 27001 todavía le parece abrumador.

Por eso creamos Secureframe.

Nuestra plataforma de automatización de cumplimiento facilita y acelera la obtención de la certificación ISO 27001. Con potentes funciones de automatización y un equipo de expertos en ISO 27001, le ayudaremos a construir un SGSI compatible, monitorear controles, gestionar el riesgo de proveedores, completar un análisis de brechas y estar 100% listo para la auditoría.