Controles ISO 27001: Te contamos qué y cuáles son.

Públicado en por

Los controles de seguridad en la norma ISO 27001 son medidas específicas diseñadas para proteger la información de una organización. Estos controles pueden ser de naturaleza técnica, organizativa, física o legal, y tienen el objetivo de mitigar riesgos, proteger datos sensibles y garantizar la confidencialidad, integridad y disponibilidad de la información.

En términos simples, los controles son un conjunto de prácticas y herramientas que una empresa debe implementar para reducir vulnerabilidades y protegerse contra amenazas como ciberataques, accesos no autorizados, fallos en sistemas y errores humanos.

¿Para qué sirven los controles de seguridad?

  • Reducen riesgos permitiendo identificar amenazas y establecer barreras de protección adecuadas.
  • Cumplen con regulaciones ayudando a cumplir con normativas como GDPR, HIPAA y leyes de protección de datos locales.
  • Protegen la información evitando accesos no autorizados, filtraciones de datos y pérdida de información.
  • Mejoran la continuidad del negocio garantizando que la empresa pueda seguir operando incluso ante incidentes de seguridad.
  • Aumentan la confianza de los clientes, proveedores e inversionistas ya que confían más en una empresa con certificación ISO 27001.

Los controles son esenciales para que la organización pueda gestionar su Seguridad de la Información de manera efectiva y cumplir con los estándares internacionales de protección de datos.

Lista de controles ISO 27001

En la versión ISO/IEC 27001:2022, los controles de seguridad están definidos en el Anexo A, el cual funciona como un catálogo de controles donde se organizan en 4 categorías principales, con un total de 93 controles.

Si bien no es obligatorio implementar los 93 controles, sí es importante que la empresa implemente la mayor cantidad posible. Cada organización debe seleccionar los controles según sus riesgos y necesidades. Para esto, se usa la metodología de evaluación y tratamiento de riesgos.

A continuación, te enlistamos los 93 controles en sus respectivos grupos:

controles iso 27001

Controles Organizacionales (37 controles)

Objetivo: Establecer la gobernanza y gestión de la seguridad de la información dentro de la organización, asegurando el cumplimiento normativo y la gestión de riesgos. Esta categoría abarca controles que definen políticas de seguridad, gestión de riesgos, relación con terceros, gestión de incidentes, continuidad del negocio, cumplimiento legal y auditorías:

  1. Políticas de seguridad de la información.
  2. Funciones y responsabilidades de seguridad de la información.
  3. Segregación de funciones.
  4. Responsabilidades de la gerencia.
  5. Contacto con autoridades.
  6. Contacto con grupos de interés especial.
  7. Inteligencia sobre amenazas.
  8. Seguridad de la información en la gestión de proyectos.
  9. Inventario de información y otros activos asociados.
  10. Uso aceptable de la información y otros activos asociados.
  11. Devolución de activos.
  12. Clasificación de la información.
  13. Etiquetado de Información.
  14. Transferencia de información.
  15. Control de acceso.
  16. Gestión de identidad.
  17. Información de autenticación.
  18. Derechos de acceso.
  19. Seguridad de la información en las relaciones con proveedores.
  20. Abordar la seguridad de la información en los acuerdos con proveedores.
  21. Gestión de la seguridad de la información en la cadena de suministro de TIC.
  22. Monitoreo, revisión y gestión de cambios de servicios de proveedores.
  23. Seguridad de la información para el uso de servicios en la nube.
  24. Planificación y preparación de la gestión de incidentes de seguridad de la información.
  25. Evaluación y decisión sobre eventos de seguridad de la información.
  26. Respuesta a Incidentes de seguridad de la información.
  27. Aprender de los incidentes de seguridad de la información.
  28. Recolección de evidencia.
  29. Seguridad de la información durante una interrupción.
  30. Preparación de las TIC para la continuidad del negocio.
  31. Requisitos legales, estatutarios, reglamentarios y contractuales.
  32. Derechos de propiedad intelectual.
  33. Protección de registros.
  34. Privacidad y protección de la PII.
  35. Revisión independiente de la seguridad de la información.
  36. Cumplimiento de políticas, reglas y estándares de seguridad de la Información.
  37. Procedimientos operativos documentados.

Controles de Personas (8 controles)

Objetivo: Asegurar que los empleados, contratistas y cualquier persona con acceso a información comprendan y cumplan con las políticas de seguridad, reduciendo el riesgo humano. Esta categoría abarca controles que regulan la capacitación en seguridad, roles y responsabilidades del personal, protección contra amenazas internas y seguridad en el teletrabajo: 

  1. Detección.
  2. Términos y condiciones de empleo.
  3. Concientización, educación y capacitación sobre seguridad de la información.
  4. Proceso disciplinario.
  5. Responsabilidades después de la terminación o cambio de empleo.
  6. Acuerdos de confidencialidad o no divulgación.
  7. Trabajo remoto.
  8. Informes de eventos de seguridad de la información.

Controles Físicos (14 controles)

Objetivo: Proteger infraestructura, equipos y activos físicos contra accesos no autorizados, robos, daños o amenazas ambientales. Estos controles abarcan la seguridad en instalaciones y oficinas, el control de accesos físicos, la protección contra desastres naturales y la eliminación segura de activos físicos:

  1. Perímetros de seguridad física.
  2. Entrada física.
  3. Protección de oficinas, habitaciones e instalaciones.
  4. Monitoreo de seguridad física.
  5. Protección contra amenazas físicas y ambientales.
  6. Trabajar en áreas seguras.
  7. Limpiar escritorio y limpiar pantalla.
  8. Ubicación y protección del equipo.
  9. Seguridad de los activos fuera de las instalaciones.
  10. Medios de almacenamiento.
  11. Utilidades de soporte.
  12. Seguridad del cableado.
  13. Mantenimiento del equipo.
  14. Eliminación segura o reutilización del equipo.

Controles Tecnológicos (34 controles)

Objetivo: Implementar medidas técnicas para proteger la información y los sistemas contra ciberataques, accesos no autorizados y pérdida de datos. Esta categoría abarca controles que realizan la gestión de accesos y autenticación, el cifrado y protección de datos, la seguridad en redes y sistemas, el monitoreo y respuesta ante incidentes y la seguridad en la nube y desarrollo de software:

  1. Dispositivos terminales de usuario.
  2. Derechos de acceso privilegiado.
  3. Restricción de acceso a la información.
  4. Acceso al código fuente.
  5. Autenticación segura.
  6. Gestión de capacidad.
  7. Protección contra malware.
  8. Gestión de vulnerabilidades técnicas.
  9. Gestión de configuración.
  10. Eliminación de información.
  11. Enmascaramiento de datos.
  12. Prevención de fuga de datos.
  13. Copia de seguridad de la información.
  14. Redundancia de las instalaciones de procesamiento de información.
  15. Registro.
  16. Actividades de seguimiento.
  17. Sincronización de reloj. 
  18. Uso de programas de utilidad privilegiados.
  19. Instalación de software en sistemas operativos.
  20. Seguridad de redes.
  21. Seguridad de los servicios de red.
  22. Segregación de redes.
  23. Filtrado web.
  24. Uso de criptografía.
  25. Ciclo de vida de desarrollo seguro.
  26. Requisitos de seguridad de la aplicación.
  27. Principios de ingeniería y arquitectura de sistemas seguros.
  28. Codificación segura.
  29. Pruebas de seguridad en desarrollo y aceptación.
  30. Desarrollo subcontratado.
  31. Separación de los entornos de desarrollo, prueba y producción.
  32. Gestión de cambios.
  33. Información de prueba.
  34. Protección de los sistemas de información durante las pruebas de auditoría.

 

¿Quién puede implementar los controles ISO 27001?

Empresas y Organizaciones de cualquier tamaño o sector: Cualquier empresa que maneje información valiosa y quiera protegerla puede implementar estos controles.

Equipo Interno de Seguridad de la Información: Si la empresa tiene un CISO (Chief Information Security Officer) o un equipo de TI especializado en ciberseguridad, pueden liderar el proceso.

Consultores Especializados en ISO 27001: En HiChex podemos ayudarte y asesorarte en todo el proceso de implementación. 

Proveedores de Servicios Gestionados de Seguridad (MSSP): Empresas especializadas en ciberseguridad pueden ofrecer servicios tercerizados para gestionar la implementación y monitoreo de los controles.

Auditores Certificados: Se requieren profesionales certificados para evaluar la correcta implementación y emitir la certificación.

¿Cuánto tiempo puede llevar la implementación?

El tiempo de implementación varía según el tamaño de la empresa, su nivel de madurez en seguridad y la complejidad de sus procesos.

Estimaciones aproximadas por tipo de empresa:

  • Pequeñas empresas (10-50 empleados)3 a 6 meses
  • Medianas empresas (50-500 empleados)6 a 12 meses
  • Grandes empresas (+500 empleados)12 a 24 meses

Factores que influyen en el tiempo de implementación de los controles ISO 27001:

Estado actual de la seguridad: Si la empresa ya cuenta con buenas prácticas de seguridad, la implementación es más rápida.
Recursos asignados: Cuanto mayor sea la inversión en consultores, formación y herramientas, más rápido se puede implementar.
Compromiso de la dirección: Si la alta dirección apoya el proceso, se agiliza la toma de decisiones y ejecución de cambios.
Cantidad de controles a implementar: Algunas empresas deciden aplicar todos los controles, mientras que otras solo adoptan los necesarios según su análisis de riesgos.

Fases del proceso y tiempos aproximados

Análisis y planificación (1-3 meses). Abarca desde el diagnóstico inicial, la definición de objetivos y el plan de trabajo

Diseño del SGSI y selección de controles (2-6 meses). Se trabaja desde la identificación de activos y riesgos hasta la selección de controles de seguridad

Implementación de controles (3-12 meses). Se aplican controles técnicos, organizativos, físicos y humanos y se capacita al personal.

Monitoreo y ajustes (3-6 meses). Se realiza una auditoría interna para verificar la efectividad de los controles y corregir fallos y mejoras.

Auditoría externa y certificación (1-3 meses). Se realiza una evaluación por auditores certificados y se emite el certificado ISO 27001.

 

En conclusión, los controles de seguridad de la ISO 27001:2022 son la base para construir un Sistema de Gestión de Seguridad de la Información (SGSI) sólido y efectivo. Su implementación permite proteger la confidencialidad, integridad y disponibilidad de la información, reduciendo riesgos y fortaleciendo la resiliencia de la empresa ante amenazas.

Destacamos 3 puntos importantes:

  • La norma no exige aplicar todos los controles, sino seleccionar los adecuados según el análisis de riesgos.
  • La ISO 27002 complementa la ISO 27001, detallando cómo implementar cada control.
  • La actualización de 2022 optimizó los controles, alineándolos con nuevas amenazas como la seguridad en la nube y el teletrabajo.

Por último, los controles de la ISO 27001 permiten a las organizaciones operar con confianza en un mundo digital cada vez más amenazado, brindando seguridad a clientes, socios y empleados. Su correcta implementación no solo mejora la ciberseguridad, sino que también fortalece la reputación y competitividad de la empresa.

¿Listo para dar el siguiente paso?. Implementa los controles adecuados y fortalece tu seguridad. 📩 Contáctanos hoy mismo!

Deja una respuesta