Resumen del Anexo A de la Norma ISO 27001:2013

El Anexo A de la Norma ISO 27001 es probablemente el anexo más famoso de todas las normas ISO – ello porque provee una herramienta esencial para la gestión de la seguridad: una lista de los controles (o medidas) de seguridad que pueden ser usados para mejorar la seguridad de la información.

¿Cuántos controles hay en ISO 27001?

Hay 114 controles listados en ISO 27001 – sería una violación de los derechos de propiedad intelectual si señalo todos los controles acá, por lo que déjenme explicarles cómo se estructuran los controles, y señalarles el propósito de cada una de las 14 secciones del Anexo A:

  • 5 Políticas de seguridad de la Información – controles acerca de cómo deben ser escritas y revisadas las políticas
  • 6 Organización de la seguridad de la información – controles acerca de cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo
  • 7 Seguridad de los Recursos Humanos – controles antes, durante y después de emplear
  • 8 Gestión de recursos – controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento
  • 9 Control de Acceso – controles para las políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario
  • 10 Criptografía – controles relacionados con la gestión de encripción y claves
  • 11 Seguridad física y ambiental – controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantalla despejadas, etc.
  • 12 Seguridad Operacional – muchos de los controles relacionados con la gestión de la producción en TI: gestión de cambios, gestión de capacidad, malware, respaldo, bitácoras, espejos, instalación, vulnerabilidades, etc.
  • 13 Seguridad de las Comunicaciones – controles relacionados con la seguridad de redes, segregación, servicios de redes, transferencia de información, mensajería, etc.
  • 14 Adquisición, desarrollo y mantenimiento de Sistemas – controles que definen los requerimientos de seguridad y la seguridad en los procesos de desarrollo y soporte
  • 15 Relaciones con los proveedores – controles acerca de qué incluir en los contratos, y cómo hacer el seguimiento a los proveedores
  • 16 Gestión de Incidentes en Seguridad de la Información – controles para reportar los eventos y debilidades, definir responsabilidades, procedimientos de respuesta, y recolección de evidencias
  • 17 Aspectos de Seguridad de la Información de la gestión de la continuidad del negocio – controles que requieren la planificación de la continuidad del negocio, procedimientos, verificación y revisión, y redundancia de TI
  • 18 Cumplimiento – controles que requieren la identificación de las leyes y regulaciones aplicables, protección de la propiedad intelectual, protección de datos personales, y revisiones de la seguridad de la información



Uno de los grandes mitos acerca de ISO 27001 es que está enfocada en la TI – como se puede ver en las secciones mostradas, esto no es totalmente cierto: no se puede negar que la TI es importante, pero la TI por sí sola no puede proteger la información. La seguridad física, la protección legal, la gestión de recursos humanos, los aspectos organizacionales – todos ellos juntos son requeridos para asegurar la información.

La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del que se pueden seleccionar – de los 114 controles que se señalan en el Anexo A, usted puede seleccionar los que apliquen en su compañía.

Relación con la parte principal de ISO 27001

Así que, no todos los 114 controles son obligatorios – una compañía puede escoger cuáles controles aplican para ella y luego implementarlos (en muchos casos, al menos el 90% de los controles son aplicables); el resto deben declararse como no aplicables. Por ejemplo, el control A.14.2.7. Desarrollo Tercerizado puede señalarse como no aplicable si la compañía no terceriza el desarrollo de software. El principal criterio para seleccionar los controles es mediante la gestión de riesgo, que es definido en las cláusulas 6 y 8 de la Norma ISO 27001. Aprenda más acá: Evaluación y Tratamiento del Riesgo en ISO 27001 – 6 pasos básicos.

Además, la cláusula 5 de la Norma ISO 27001 requiere que se definan las responsabilidades para gestionar esos controles, y la cláusula 9 requiere que mida si los controles cumplieron su propósito. Finalmente, la cláusula 10 requiere que arregle cualquier cosa que no funcionó bien con esos controles, y que se asegure que se cumplen los objetivos de la seguridad de la información con esos controles.

Relación con la Norma ISO 27002

La verdad es que el Anexo A de la Norma ISO 27001 no señala muchos detalles acerca de cada control. Normalmente hay una oración para cada control, que le da una idea acerca de lo que necesita para cumplirlo, pero no le da una idea acerca de cómo hacerlo. Ese es el propósito de la Norma ISO 27002 – tiene exactamente la misma estructura del Anexo A de la Norma ISO 27001: cada control del Anexo A existe en ISO 27002, así como  una explicación detallada acerca de cómo implementarlo. Pero no caiga en la trampa de usar sólo ISO 27002 para gestionar la seguridad de la información – no ofrece pistas acerca de cómo seleccionar los controles a ser implementados, ni cómo medirlos, ni cómo asignar responsabilidades, etc. Aprenda más acá: ISO 27001 vs. ISO 27002.

Utilidad del Anexo A

Hay un par de cosas que me gustan del Anexo A – le da una visión perfecta acerca de cuáles controles usted puede aplicar para que no se le olvide lo que podría ser importante, y le da la flexibilidad de escoger sólo los que aplican a su negocio para que no tenga que desperdiciar recursos en los que no son relevantes para usted.

Es verdad que el Anexo A no le ofrece muchos detalles en la implementación, pero aquí es donde entra ISO 27002; es verdad que algunas compañías podrían abusar de la flexibilidad de ISO 27001 y orientarse hacia los controles para poder obtener la certificación, pero ese es un tema para otra publicación diferente en el blog.

Para saber más acerca de los controles de seguridad, únase a este curso gratuito de formación en línea: ISO 27001 Foundations Online Course.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.