Dentro de la norma ISO 27001, el Anexo A es el más conocido por ser normativo, lo que indica que su implementación es imprescindible. Y en cuanto a controles de seguridad en ISO 27001 se refiere, constituye una parte esencial, pues presenta una lista de dichos controles que pueden resultar fundamentales para mejorar la protección de la información en las organizaciones.
Usualmente, cuando se hace uso de un documento, los anexos y las referencias bibliográficas son muchas veces desestimados. En el caso de la norma que nos ocupa, esto no debería suceder, pues el Anexo A es normativo y la implementación de los controles que se encuentran en él es obligatoria, de ser aplicables para la organización.
Por ese motivo, hoy atendemos al Anexo A, con el objetivo de conocer más a fondo los controles de seguridad en ISO 27001.
Controles de seguridad en ISO 27001 contenidos en el Anexo A
En el Anexo A de ISO 27001 encontramos un catálogo de 114 controles de seguridad que la organización debe seleccionar de acuerdo con su aplicabilidad.
El número de controles es uno de los cambios importantes que presenta la edición 2013 de la norma en relación con la revisión de 2005. Antes, el anexo A tenia 133 controles. Sin embargo, la edición 2013 del estándar elimina algunos requisitos, tales como acciones preventivas, y el requisito para documentar ciertos procedimientos.
El conocimiento de los controles del Anexo A nos ayuda a comprender mejor el concepto de que la seguridad de la información no se encuentra restringida a la TI. De hecho, el alcance que tienen estos controles sobre áreas como Recursos Humanos, Gestión de Activos, Seguridad Física, Medio Ambiente, Seguridad en las Comunicaciones y Relación en la Cadena de Suministro así lo demuestra. Así, se confirma la amplitud del alcance de esta norma.
Secciones del Anexo A sobre los controles de seguridad en ISO 27001
Sobre el papel, los controles de seguridad en ISO 27001 son 114. Estos controles se distribuyen dentro del Anexo en 14 secciones, así:
- Políticas de seguridad de la información: A. 5.
- Organización de la seguridad de la información: A.6.
- Seguridad de los recursos humanos: A. 7.
- Gestión de Activos: A.8.
- Controles de acceso: A.9.
- Criptografía – Cifrado y gestión de claves: A.10.
- Seguridad física y ambiental: A.11.
- Seguridad operacional: A.12.
- Seguridad de las comunicaciones: A.13.
- Adquisición, desarrollo y mantenimiento del sistema: A.14.
- Gestión de incidentes de seguridad de la información A.16.
- Cumplimiento: A.18.
Los requisitos sobre los controles de seguridad en ISO 27001
Por supuesto, los controles son obligatorios en la medida en que tengan aplicabilidad en la organización. Son los profesionales en Seguridad de la Información los encargados de elegir, dentro del catálogo de 114 controles, los que consideran aplicables para garantizar la seguridad dentro de su empresa.
Un ejemplo típico de control no aplicable es el contenido en el capítulo A.14.2.7, que hace referencia al desarrollo subcontratado. Por supuesto, si se trata de una organización que no externaliza este, el control no tendrá aplicabilidad. Sin embargo, la experiencia ha demostrado que en la mayoría de las organizaciones los controles aplicables son la gran mayoría.
El criterio principal para la selección de los controles es el resultado de la gestión de riesgos, la cual se explica con detalle en las cláusulas 6 y 8 del texto de la norma.
Además, ISO 27001 requiere algo más sobre los controles de seguridad. Es preciso efectuar las siguientes acciones:
- Definir responsabilidades para administrar los controles.
- Medir y monitorear la efectividad de los controles.
- Implementar acciones correctivas cuando se detecten fallos en los controles, de tal forma que se asegure el logro de los objetivos propuestos.
Por tanto, la atención al Anexo A y la capacitación adecuada sobre la norma son fundamentales para establecer los controles de seguridad pertinentes.
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
Una capacitación de calidad sobre ISO 27001 y que incluye el conocimiento detallado sobre el Anexo A de la misma se pueden conseguir con el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013.
Este programa de formación se encuentra actualizado a la última edición del estándar. Entre las cuestiones más importantes sobre este, especifica los mecanismos para establecer los controles de seguridad que garanticen la protección de la información.
Si desea más información sobre este diplomado, puede obtenerla aquí.