Los controles de ISO/IEC 27001, agrupados en el Anexo A de la norma, conforman una guía práctica sobre cómo gestionar amenazas y prevenir riesgos de Seguridad de la Información en el acontecer diario de una organización.
Nada es más concreto y realizable en el quehacer diario que los controles de ISO/IEC 27001. El objetivo de este Anexo es recopilar los controles que necesita la organización para proteger sus activos de información y su información sensible, así como la de sus terceros.
Los controles de ISO/IEC 27001 no se refieren de forma exclusiva a la información digital, almacenada en medios magnéticos o transmitida por medio de Internet. Sin duda, este es un segmento importante, pero el Anexo A también recoge controles relacionados con la información en papel o la que se transmite de forma oral.
¿Cómo se agrupan los controles de ISO/IEC 27001 en el Anexo A?
La edición 2022 del estándar de Gestión de Seguridad de la Información se actualizó en octubre de ese año. La nueva publicación, que sucede a la versión 2013, entre otras novedades reduce el número de controles a 93.
La versión 2013 de ISO 27001 usaba 114 controles. Sin embargo, en la práctica no hubo supresión o eliminación de controles. Muchos se agruparon y unificaron. Los diferentes tipos de controles, y esta es otra novedad, ahora se clasifican en cuatro tipos o dominios:
1. Controles organizativos
Son 37controles. El objetivo principal es ajustar los procesos y controlar la documentación, así como cualquier otra actividad organizacional. Compartir las responsabilidades sobre la información, segregar funciones, establecer contraseñas de acceso o publicar políticas y hablar de sanciones para quienes no las acaten, son algunos ejemplos de controles organizacionales.
2. Controles de personas
Muchas personas dentro de la organización son propietarios de riesgos de información, de activos o son por sí mismos un activo de información. Por eso suena lógico que existan 8 controles en este dominio.
Los programas de formación, por ejemplo, son un control que actúa sobre las personas. Los códigos de sanciones, multas y penalizaciones para quienes no sigan los procedimientos también lo son.
3. Controles físicos
Los controles físicos son los que mejor se ajustan a la idea que tienen las personas sobre controles de ISO/IEC 27001. Los controles de acceso, los procedimientos para proteger contraseñas, la obligación de crear copias de seguridad, son algunos de los más representativos en este segmento de 14 controles.
4. Controles tecnológicos
Los 34 controles tecnológicos garantizan que los procesos, procedimientos y tareas ejecutados a diario, cumplan con las mejores prácticas de seguridad y que no se presenten brechas o puntos vulnerables.
Profundiza en cada uno de los Controles de #ISO27001, para que los puedas comprender y elegir con seguridad los que utilizarás Clic para tuitear¿Qué solicita la norma sobre controles de ISO/IEC 27001?
Pocas organizaciones necesitan implementar los 93 controles. Sin embargo, todas tendrán que explicar cuáles utilizarán y la razón para hacerlo, así como argumentar los motivos para dejar de lado otros.
El documento se llama Declaración de Aplicabilidad y es el primer requisito directamente relacionado con los Controles de ISO/IEC 27001. Para producir este documento, es preciso realizar una evaluación de riesgos con anterioridad.
Esta solicitud aparece en las cláusulas 6 y 8 del estándar. La cláusula 5, por otra parte, solicita a la organización asignar responsabilidades para la gestión de los controles. Finalmente, en el capitulo 9 pide que se monitoree, evalúe y califique la eficacia de los controles implementados.
¿Cómo facilitar la implementación de controles de ISO/IEC 27001?
ISO ha publicado una guía de usabilidad de los controles de Seguridad de la Información contenidos en el Anexo A. Esa guía se denomina ISO 27002. La guía adopta la misma estructura del Anexo A, pero ofrece explicaciones y ampliaciones mucho más detalladas, que permiten al lector entender con claridad para qué sirve cada control y por qué debe implementarlo o no.
Otros dos consejos para facilitar el uso, implementación y monitoreo de controles de ISO/IEC 27001: automatizar el Sistema de Gestión, con base en alguna plataforma que digitalice la gestión y la ponga a punto para un proceso de Transformación Digital. Y el segundo, contar con profesionales capacitados para cada etapa de implementación del Sistema, desde la planificación hasta la certificación, pasando por supuesto por las auditorías internas.
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es el programa indicado para contar con profesionales preparados para enfrentar cada una de las etapas de la implementación, puesta en marcha, auditoría y certificación de un Sistema de Gestión de Seguridad de la Información basado en la norma internacional ISO 27001.
Además del conocimiento profundo de la norma y las técnicas de implementación, los alumnos obtienen certificación como auditores de Sistemas de Gestión de Seguridad de la Información. Si lo desean, pueden obtener el Certificado ERCA, que les permitirá trabajar en cualquier país de América Latina o Europa. Empieza ahora.
