Los controles del Anexo A de ISO/IEC 27001 son, en una definición muy concisa, las prácticas o acciones que debe implementar y ejecutar la organización, si de acuerdo con su gestión de riesgos de seguridad de información, ha identificado amenazas susceptibles de ser prevenidas o eliminadas utilizando cualquiera de estos controles.
Así, se infiere que los controles del Anexo A de ISO 27001 no son todos de obligatorio uso. La norma ISO 27001 solo requiere que la organización implemente los que sean necesarios, de acuerdo con los riesgos que ha identificado, su gravedad y su probabilidad de ocurrencia.
La actualización 2022 de la norma solicita a la organización documentar las razones por las que considera necesario uno u otro control, en función de los riesgos identificados. El siguiente paso es implementar los controles.
¿Cuáles son los controles del Anexo A de ISO 27001?
Los controles del Anexo A de ISO/IEC 27001 se agrupan en 14 apartados, lo que facilita la comprensión y la ubicación de los que requiere la organización para tratar sus riesgos.
Es importante entender que la responsabilidad de elegir los controles apropiados, implementarlos y ejecutarlos, no recae de forma exclusiva sobre el área de TI. En una organización del siglo XXI, es apenas natural que TI tenga una gran parte de la responsabilidad, pero no toda.
La actualización 2022 de la norma define tres pilares para la seguridad de la información: procesos, personas y tecnología. Y esto se entiende con claridad cuando se lee el texto del control y se procede a implementar.
La descripción de cada control es muy general. Y lo es, no por falta de diligencia e investigación. Es así, para proporcionar un espacio flexible para que cada organización, de acuerdo con sus riesgos y con su contexto, haga una implementación lo más útil posible para sus requisitos.
Los controles del Anexo A de ISO 27001 se dividen en estos 14 apartados:
- A.5 Políticas de Seguridad de la Información: su función es asegurar la redacción y aprobación de este tipo de documentos, de forma que cumplan con el objetivo propuesto.
- A.6 Organización de la Gestión de SI: esta sección versa sobre la asignación de responsabilidades, procedimientos y tareas, necesarios para el funcionamiento de los procesos de Seguridad de la Información y el mantenimiento adecuado de las prácticas de SI. También aborda en un subcapítulo, lo relativo a la Seguridad de la Información en el trabajo remoto y en dispositivos móviles.
- A.7 Recursos Humanos: de este apartado hacen parte seis controles que abordan las tres etapas que recorre el empleado en su relación laboral con la organización: antes de la contratación, mientras desempeña el trabajo y cuando deja de trabajar.
- A.8 Gestión de Activos: trata sobre la forma en que las organizaciones identifican sus activos y las acciones eficaces para protegerlos. El capítulo se divide en tres secciones: identificación de activos dentro del alcance del Sistema, defensa adecuada para el activo y garantías de reserva, confidencialidad e integridad de la información y los datos.
- A.9 Controles de Acceso: controles enfocados en hacer accesible para cada empleado tan solo la información que requiere para realizar sus tareas. Se divide en cuatro controles que especifican los requisitos de acceso, la gestión de acceso de los usuarios, las responsabilidades que asumen los empleados y los protocolos para la definición de contraseñas de acceso a plataformas, programas, bases de datos o aplicaciones.
- A.10 Criptografía: este apartado está dedicado a los requisitos de cifrado y encriptado de datos y de otro tipo de información que debe ser especialmente protegida.
- A.11 Seguridad Física y Ambiental: el apartado más extenso de los controles del Anexo A de ISO 27001 contiene 15 acciones, que se dividen a su vez en dos secciones: la primera se ocupa de la protección de las instalaciones y el acceso no autorizado a determinadas áreas. La segunda sección comprende los controles enfocados en la protección de equipos que contienen información, en papel o digital, para evitar el daño, robo o destrucción.
- A.12 Seguridad de las Operaciones: en este apartado se agrupan controles diseñados para proteger las instalaciones de procesamiento de la información. Se encuentran 14 controles, distribuidos en 7 subsecciones:
- Procedimientos y responsabilidades operativos.
- Malware, ransomware, phishing y las defensas necesarias para detenerlos.
- Copias de seguridad.
- Registro y supervisión para la documentación de incidentes.
- Integridad del Software.
- Vulnerabilidades técnicas.
- Controles de auditoría.
- A-13 Comunicaciones: controles diseñados para proteger la confidencialidad e integridad de la información que se transmite por medios magnéticos o digitales, pero también la que se transmite en papel, de voz a voz o por teléfono, a clientes, proveedores u otras partes interesadas.
- A-14 Mantenimiento del sistema: 13 controles garantizan que el sistema se mantenga operativo, eficaz y relevante.
- A-15 Proveedores: estos son los controles que se consideran al redactar acuerdos con proveedores, contratistas o subcontratistas, y tienen en cuenta la seguridad y el acceso a terminales de la organización y a activos valiosos y estratégicamente cruciales. También, hay controles del Anexo A de ISO/IEC 27001 en este apartado que buscan que proveedor y organización compartan protocolos idénticos de seguridad.
- A-16 Incidentes de Seguridad de la Información: en este apartado se encuentran siete controles que especifican requisitos para elaborar reportes e informes sobre infracciones, incidentes o brechas de Seguridad de la Información.
- A-17 Continuidad del Negocio: cuatro controles en esta sección describen las acciones recomendadas para evitar la interrupción del negocio, ante la presencia de un evento disruptivo.
- A-18 Cumplimiento: en esta última sección de los controles del Anexo A de ISO 27001 se encuentran ocho controles que tratan sobre la garantía de cumplimiento de las normas, leyes, reglamentos, acuerdos o contratos, relacionados con la Seguridad de información como el Reglamento General de Protección de Datos.
Los controles del Anexo A de ISO 27001 se enfocan, en una buena proporción, en la información transmitida o almacenada en medios digitales y electrónicos. Y es así, porque a medida que las organizaciones implementan procesos de transformación digital es necesario reforzar los recursos de que dispone para proteger la información.
Así mismo, el conocimiento sobre el tema y específicamente sobre el estándar y sus requisitos, resulta muy importante.
Encuentra hoy una guía completa y actualizada para utilizar y comprender los controles del #AnexoA de #ISO27001, de acuerdo con la actualización 2022 #SeguridadInformación Share on XDiplomado de Seguridad de la Información ISO/IEC 27001 – Actualizado a 2022
La elección e implementación de los controles del Anexo A de ISO 27001 es una tarea que requiere un conocimiento profundo sobre el estándar, sobre el área de Seguridad de la Información, y ahora, también sobre la actualización de la norma del año 2022.
Es lo que pueden aprender los alumnos del Diplomado de Seguridad de la Información ISO/IEC 27001 Actualización 2022. Los profesionales que se matriculan en el programa tienen acceso a contenidos y docentes de alto nivel, además de la oportunidad de interactuar con especialistas reconocidos a nivel internacional.
Este programa de excelencia ofrece titulación como experto en Seguridad de la Información basada en el estándar ISO 27001, titulación como auditor de Sistemas de Gestión en esta área y, además, la posibilidad de obtener el Certificado ERCA – Registro Europeo de Auditores Certificados —. Estás a un paso de impulsar tu carrera profesional, matricúlate ahora.