Controles de la Norma ISO 27001: cuáles son y por qué implementarlos

Con la creciente dependencia de las organizaciones en sistemas informáticos, la necesidad de proteger la información se ha vuelto crítica. La norma ISO 27001 emerge como un estándar internacional clave en la implementación de un sistema de gestión de seguridad de la información (SGSI), proporcionando un marco detallado para la identificación, gestión y mitigación de riesgos de seguridad.

¿Qué son los controles de la norma ISO 27001?

Son un conjunto de medidas y prácticas que las organizaciones implementan para proteger la confidencialidad, integridad y disponibilidad de la información. Estas referencias normativas abarcan una amplia gama de áreas como: la seguridad física y ambiental, los recursos humanos, la gestión de activos, evaluación de riesgos, el control de acceso a la información y la gestión de incidentes.

La norma ISO/IEC 27001 es un estándar internacionalmente reconocido que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Desarrollada por la Organización Internacional de Normalización (ISO), esta norma proporciona un marco completo y sistemático para gestionar la seguridad de la información en una organización.

El objetivo principal de esta norma es ayudar a las organizaciones a proteger la confidencialidad, integridad y disponibilidad de la información mediante la implementación de controles de seguridad adecuados. 

Al trabajar hacia la certificación ISO, las organizaciones pueden reducir los riesgos de incidentes de seguridad y mejorar la confianza de sus clientes y socios comerciales.

¿Cuáles son los controles de la norma ISO 27001?

Los controles de la norma ISO 27001 se clasifican en diferentes categorías según su función y propósito. Estos son conocidos como los Controles del Anexo A, organizados en 4 categorías o dominios principales. Cada sección aborda un área específica de la seguridad de la información y contiene una lista de controles relacionados con esa área.

El Anexo A facilita la selección de los controles adecuados para cada organización, ya que proporciona información detallada sobre cada uno de ellos. Además, permite a las organizaciones adaptar los controles a sus necesidades y contexto específicos.

En versiones anteriores, los controles estaban clasificados en 14 dominios en vez de 4 (númer actual) y el número de controles específicos eran 114, lo cuales ahora son 93.

Controles Organizacionales

La sección de Controles Organizacionales cuenta con 37 controles que se centran en establecer los procesos de seguridad más importantes y la documentación necesaria para una organización. 

Estos controles están diseñados para asegurar que las políticas de información de la organización sean adecuadas y efectivas. Esto implica la creación y mantenimiento de políticas que respalden la gestión de la seguridad de la información y la protección de los activos de información, creando así una adecuada organización de la seguridad de la información.

Algunos de los controles son:

• Políticas de seguridad de la información
• Funciones y responsabilidades de seguridad de la información
• Clasificación de la información
• Gestión de la seguridad de la información en la cadena de suministro de TIC
• Gestión de acceso
• Gestión de identidad
• Planificación y preparación de la gestión de incidentes de seguridad de la información
• Derechos de acceso

Controles de Personas

Los Controles de Personas se centran en asegurar que los empleados, contratistas y otras partes interesadas entiendan sus responsabilidades y estén adecuadamente capacitados para realizar sus tareas de manera salvaguardar adecuadamente los activos de información y establecer una política adecuada en cuanto a la seguridad de los recursos humanos. 

Esto incluye la concienciación sobre las políticas de seguridad de la información de la organización, la formación en buenas prácticas y procedimientos, y la comprensión de las consecuencias de no cumplir con las políticas establecidas.

Además, estos controles abordan el ciclo de vida del empleo, desde la selección y contratación hasta la terminación o cambio de empleo. Esta sección cuenta con 8 controles específicos.

Algunos de estos controles que aparecen en este dominio son: 

• Términos y condiciones de empleo
• Concientización
• Educación y capacitación sobre seguridad de la información
• Proceso disciplinario
•  Responsabilidades después de la terminación o cambio de empleo
• Acuerdos de confidencialidad o no divulgación
• Trabajo remoto

Controles Físicos

Los controles físicos son medidas que buscan asegurar la protección de los activos tangibles de una organización, la cual es esencial para la preservación y protección de la confidencialidad de la información.

Esta sección cuenta con 14 controles relacionados con todos los aspectos físicos relevantes dentro de una organización, tales como sistemas de entrada, almacenamiento físico, entre otros.

Algunos de los controles particulares de este dominio son:

• Perímetros de seguridad física
• Protección de oficinas
• Habitaciones e instalaciones
• Ubicación y protección del equipo
• Medios de almacenamiento
• Seguridad de los equipos

Controles Tecnológicos

El objetivo central de los controles tecnológicos es asegurar que las políticas y procedimientos digitales de la organización estén alineados con estándares de configuración, gestión y control de acceso rigurosos. Esto es esencial para prevenir vulnerabilidades de seguridad que puedan surgir debido a accesos no autorizados, deficiencias operativas o una gestión inadecuada de los sistemas tecnológicos.

Esto se logra mediante la implementación de medidas de seguridad apropiadas que abarcan desde el cifrado de datos hasta la seguridad en redes y la gestión de vulnerabilidades. Los controles tecnológicos buscan asegurar que los sistemas de información sean capaces de resistir ataques cibernéticos y que la información crítica esté protegida contra accesos no autorizados o pérdidas.

Este dominio cuenta con 34 controles, algunos de ellos son:

• Restricción de acceso a la información
• Autenticación segura
• Protección contra malware
• Copias de seguridad de la información
• Seguridad de los servicios de red
• Gestión de cambios
• Uso de criptografía
• Codificación segura
• Protección de los sistemas de información durante las pruebas de auditoría interna

¿Por qué es importante cumplir con los controles de la norma ISO 27001?

Estos controles de acceso proporcionan un marco sólido para gestionar quién tiene acceso a qué información y recursos dentro de la organización, lo que ayuda a prevenir accesos no autorizados, ataques cibernéticos y fugas de datos, y minimizar las posibles consecuencias negativas de incidentes de seguridad.

Asimismo, el cumplimiento de los controles de acceso ayuda a las organizaciones a cumplir con los requisitos legales y regulatorios relacionados con la protección de la información. Cumplir con estos requisitos no solo evita sanciones legales y multas, sino que también contribuye a construir y mantener la confianza del cliente y la reputación de la organización.

Si buscas certificar tu organización para cumplir con las últimas actualizaciones de las normas ISO, en Delta Protect trabajamos con organismos certificadores y apoyamos a nuestros clientes en el cumplimiento de la norma para lograr la certificación. Agenda una demo de Apolo con nuestros expertos y logra la mejora continua de tu organización en materia de seguridad de información.