La revisión de 2022: qué cambió respecto a 2013
La versión 2022 de ISO/IEC 27001 introdujo la mayor revisión del Anexo A desde que el estándar existe. La edición anterior (2013) organizaba los controles en 14 dominios y 114 controles. La edición actual los reorganiza en 4 dominios y 93 controles.
La reducción de controles no implica menor exigencia. Lo que ocurrió fue una consolidación: varios controles relacionados se fusionaron en uno solo más amplio. Al mismo tiempo, se añadieron 11 controles completamente nuevos para cubrir áreas que en 2013 no existían o eran incipientes: inteligencia de amenazas, seguridad en la nube, monitorización de seguridad como proceso continuo y privacidad de la información.
Otro cambio relevante es la introducción de atributos para cada control (tipo de control, propiedades de seguridad de la información, conceptos de ciberseguridad, capacidades operativas y dominios de seguridad), que facilitan la clasificación y el filtrado en el proceso de selección.
Dominio 5 — Controles organizativos: 37 controles
El dominio de controles organizativos es el más extenso y el que más impacto tiene en la gobernanza del SGSI. Abarca todo lo relacionado con políticas, roles, responsabilidades, gestión de relaciones con terceros e inteligencia de amenazas.
Los controles más relevantes de este dominio incluyen:
- 5.1 — Políticas de seguridad de la información: define la obligación de disponer de políticas aprobadas por la dirección, comunicadas y revisadas periódicamente.
- 5.2 — Roles y responsabilidades en seguridad de la información: asignación clara de funciones de seguridad en toda la organización.
- 5.7 — Inteligencia de amenazas (nuevo en 2022): la organización debe recopilar y analizar información sobre amenazas relevantes para su contexto y usar esa inteligencia para mejorar los controles.
- 5.19 y 5.20 — Seguridad de la información en las relaciones con proveedores: gestión del riesgo en la cadena de suministro, con requisitos contractuales de seguridad.
- 5.23 — Seguridad de la información en el uso de servicios en la nube (nuevo en 2022): define los requisitos para contratar, gestionar y terminar servicios cloud de forma segura.
- 5.29 — Seguridad de la información durante las interrupciones: garantizar la protección de la información incluso durante incidentes graves o catástrofes.
- 5.30 — Preparación TIC para la continuidad del negocio (nuevo en 2022): planificación y prueba de la recuperación de las capacidades TIC como parte del plan de continuidad.
Este dominio también incluye controles sobre clasificación de la información, gestión de activos, gestión de identidades y accesos a nivel organizativo, gestión de incidentes de seguridad y derechos de propiedad intelectual.
Dominio 6 — Controles de personas: 8 controles
El dominio de personas aborda el factor humano del SGSI, desde la selección de empleados hasta su salida de la organización.
- 6.1 — Selección: verificación de antecedentes de candidatos antes de la contratación, en función del riesgo del puesto y la legislación aplicable.
- 6.2 — Términos y condiciones del empleo: inclusión de responsabilidades de seguridad en los contratos laborales.
- 6.3 — Concienciación, educación y formación en seguridad de la información: programa continuo de formación para todo el personal con acceso a los sistemas.
- 6.4 — Proceso disciplinario: proceso formal para tratar las violaciones de las políticas de seguridad.
- 6.5 — Responsabilidades al terminar o cambiar de empleo: gestión de accesos y devolución de activos cuando un empleado sale o cambia de rol.
- 6.6 — Acuerdos de confidencialidad: formalización de los compromisos de no divulgación con empleados y contratistas.
- 6.7 — Trabajo a distancia (reforzado en 2022): controles específicos para entornos de trabajo remoto, incluyendo el uso de dispositivos personales y redes domésticas.
- 6.8 — Notificación de eventos de seguridad de la información: canales claros para que el personal reporte incidentes o sospechas de incidente.
Dominio 7 — Controles físicos: 14 controles
Los controles físicos protegen las instalaciones, los equipos y los soportes de información contra accesos no autorizados, daños e interferencias.
- 7.1 — Perímetros de seguridad física: definición y protección de las áreas que albergan información o equipos críticos mediante barreras físicas.
- 7.2 — Entrada física: controles de acceso a las áreas seguras con autenticación apropiada al nivel de riesgo.
- 7.3 — Seguridad de oficinas, despachos e instalaciones: diseño y uso de las instalaciones para minimizar el acceso no autorizado.
- 7.7 — Escritorio despejado y pantalla limpia: política para evitar que información sensible quede expuesta en documentos, pantallas o dispositivos desatendidos.
- 7.8 — Emplazamiento y protección de los equipos: medidas para proteger los equipos frente a amenazas ambientales y acceso no autorizado.
- 7.10 — Soportes de almacenamiento: gestión del ciclo de vida de los soportes, incluyendo su destrucción segura.
- 7.14 — Eliminación o reutilización segura de equipos: borrado verificado de datos antes de reutilizar o desechar hardware.
Dominio 8 — Controles tecnológicos: 34 controles
El dominio tecnológico es el más directamente operativo. Cubre los controles técnicos aplicados sobre sistemas, redes, aplicaciones y datos.
- 8.2 — Derechos de acceso privilegiado: gestión estricta de las cuentas con privilegios elevados mediante principio de mínimo privilegio y revisión periódica.
- 8.8 — Gestión de vulnerabilidades técnicas: proceso sistemático de identificación, evaluación y remediación de vulnerabilidades en los sistemas.
- 8.15 — Registro de actividad: captura y protección de los registros de eventos de seguridad para análisis forense y detección de incidentes.
- 8.16 — Actividades de monitorización (nuevo en 2022): supervisión continua de los sistemas para detectar comportamientos anómalos. Incluye la operación de capacidades tipo SIEM.
- 8.20 — Seguridad en las redes: controles para proteger la infraestructura de red, incluyendo segmentación, cortafuegos y gestión del tráfico.
- 8.23 — Filtrado web: control del acceso a recursos externos mediante políticas de filtrado de contenido.
- 8.24 — Uso de criptografía: política de uso de cifrado para proteger la confidencialidad e integridad de la información, incluyendo gestión de claves.
- 8.28 — Codificación segura (nuevo en 2022): principios de desarrollo seguro aplicados durante el ciclo de vida del software.
- 8.32 — Gestión de cambios: proceso formal para controlar los cambios en sistemas de información y minimizar el riesgo de incidentes asociados.
- 8.33 y 8.34 — Información de pruebas y protección de los sistemas de información durante las pruebas de auditoría: uso seguro de datos en entornos de prueba y protección durante actividades de auditoría técnica.
Los 11 controles nuevos en la versión 2022
La revisión de 2022 incorporó once controles que no existían en la versión anterior. Estos controles reflejan la evolución del panorama tecnológico y de amenazas:
- 5.7 — Inteligencia de amenazas
- 5.23 — Seguridad de la información en el uso de servicios en la nube
- 5.30 — Preparación TIC para la continuidad del negocio
- 7.4 — Monitorización de la seguridad física
- 8.9 — Gestión de la configuración
- 8.10 — Eliminación de información
- 8.11 — Enmascaramiento de datos
- 8.12 — Prevención de fuga de datos (DLP)
- 8.16 — Actividades de monitorización
- 8.23 — Filtrado web
- 8.28 — Codificación segura
Cómo abordar los 93 controles: por dónde empezar
Noventa y tres controles pueden parecer un número abrumador. Sin embargo, no todos son aplicables a todas las organizaciones, y no todos tienen el mismo peso en el análisis de riesgos. El proceso correcto es el siguiente:
El primer paso es completar el análisis de riesgos: identificar activos, valorarlos, evaluar amenazas y vulnerabilidades, y calcular el riesgo residual. Los controles deben seleccionarse en función de los riesgos identificados, no como una lista de verificación genérica.
A continuación, para cada uno de los 93 controles del Anexo A, la organización debe determinar si es aplicable o no. Si es aplicable, debe implementarse. Si se excluye, la Declaración de Aplicabilidad debe recoger la justificación de esa exclusión.
Una guía práctica para priorizar: los controles del dominio 5 que afectan a gobernanza y gestión de riesgos son los primeros en acometer porque establecen la estructura del SGSI. Los controles del dominio 8 que cubren vulnerabilidades, gestión de accesos y monitorización son los de mayor impacto en la detección y contención de incidentes.
El rol del SoA en la selección de controles
La Declaración de Aplicabilidad (SoA) es el documento donde la organización registra, para cada uno de los 93 controles, si es aplicable, por qué razón lo es (gestión de riesgos, obligación legal o contractual, mejores prácticas) y cuál es el estado de implementación. Es también el lugar donde se documentan las exclusiones con su justificación.
El SoA es uno de los documentos que el auditor revisará con más atención. Una SoA bien elaborada demuestra que la organización ha comprendido su contexto de riesgo y ha tomado decisiones informadas sobre qué proteger y cómo. Una SoA copiada de una plantilla genérica sin adaptación al contexto real es una señal de alerta inmediata en auditoría.
Genera tu Declaración de Aplicabilidad
Nuestra herramienta online permite seleccionar controles, registrar justificaciones y exportar un SoA completo para ISO 27001 o ENS, sin registro y sin coste.
Generar tu Declaración de Aplicabilidad →