Conoce los controles clave para proteger la información en tu organización
El Anexo A de la norma ISO/IEC 27001:2022 es uno de los elementos más importantes del Sistema de Gestión de Seguridad de la Información (SGSI). Incluye una lista exhaustiva de controles de seguridad organizacional, física, tecnológica y de personas, cuyo objetivo es mitigar los riesgos identificados durante el análisis de riesgos.
En este artículo, te mostraré qué es el Anexo A, cómo está estructurado y, sobre todo, te daré ejemplos prácticos de controles que puedes implementar para cumplir con los requisitos de esta norma internacional.
¿Qué es un plan de tratamiento de riesgos?
¿Qué es el Anexo A de ISO 27001?
El Anexo A es una lista de controles de seguridad divididos en 4 grandes temas, que la organización puede utilizar como referencia para proteger la confidencialidad, integridad y disponibilidad de su información. Estos controles están alineados con la norma ISO/IEC 27002, que proporciona más detalles sobre su aplicación.
Aunque el uso del Anexo A no es obligatorio en su totalidad, es fundamental evaluarlo para seleccionar los controles adecuados al contexto de cada organización.
¿Estás buscando plantillas para la implementación del sistema de gestión? Clic aquí.
Estructura del Anexo A de ISO 27001:2022
En su versión 2022, la norma presenta 93 controles agrupados en las siguientes categorías:
| Tema | Cantidad de controles | Enfoque principal |
| A.5 Controles organizacionales | 37 | Políticas, roles, cumplimiento |
| A.6 Controles de personas | 8 | Concientización, responsabilidades |
| A.7 Controles físicos | 14 | Seguridad de instalaciones |
| A.8 Controles tecnológicos | 34 | Protección de sistemas, redes y datos |
Ejemplos de controles del Anexo A
A continuación, te muestro ejemplos concretos de controles que puedes aplicar en cada una de las categorías:
A.5 Controles organizacionales
Estos controles están enfocados en la gestión y gobernanza de la seguridad de la información.
- A.5.1 Políticas para la seguridad de la información
Redactar y mantener políticas claras y aprobadas por la alta dirección. - A.5.9 Clasificación de la información
Establecer categorías como «Confidencial», «Interno», «Público», y aplicar controles diferenciados. - A.5.23 Gestión de proveedores
Evaluar y controlar el nivel de seguridad de los proveedores externos.
A.6 Controles de personas
Relacionados con el factor humano, uno de los principales puntos de falla en la seguridad.
- A.6.1 Roles y responsabilidades en seguridad
Asignar responsabilidades específicas para la gestión de incidentes, acceso y cumplimiento. - A.6.3 Concientización en seguridad
Realizar campañas y capacitaciones periódicas a todos los empleados.
A.7 Controles físicos
Estos controles buscan proteger los activos físicos y las instalaciones donde se almacena o procesa información.
- A.7.1 Seguridad física del perímetro
Instalar cámaras, cerraduras electrónicas y sistemas de acceso restringido. - A.7.3 Protección contra amenazas físicas y ambientales
Contar con detectores de incendio, UPS y sistemas de respaldo eléctrico.
A.8 Controles tecnológicos
Centrada en la seguridad informática, esta es una de las secciones más amplias y técnicas.
- A.8.3 Gestión de acceso a la red y sistemas
Aplicar autenticación multifactor (MFA), políticas de contraseñas fuertes y permisos mínimos. - A.8.10 Protección contra malware
Implementar antivirus, sistemas antimalware y filtros de correo. - A.8.11 Copias de seguridad de la información
Realizar backups automáticos y verificar periódicamente su restauración. - A.8.22 Registro y monitoreo de actividades
Configurar sistemas SIEM o herramientas de registro de eventos para auditar accesos y usos indebidos.
¿Todos los controles del Anexo A son obligatorios?
No. ISO 27001 indica que solo deben implementarse los controles necesarios según los resultados del análisis de riesgos y las necesidades de la organización.
Sin embargo, es obligatorio justificar por qué se excluyen ciertos controles, y esta justificación debe documentarse en la Declaración de Aplicabilidad (SoA – Statement of Applicability).
¿Cómo seleccionar los controles adecuados?
Paso 1: Realiza un análisis de riesgos
Identifica amenazas, vulnerabilidades y riesgos asociados a tus activos de información.
Paso 2: Relaciona los riesgos con los controles del Anexo A
Selecciona los controles que permitirán mitigar esos riesgos de forma efectiva.
Paso 3: Evalúa los recursos y capacidades
Selecciona controles viables técnica y económicamente. Algunos pueden requerir capacitación o tecnología adicional.
Paso 4: Documenta en la Declaración de Aplicabilidad (SoA)
Incluye los controles aplicables, su justificación, estado de implementación y exclusiones.
Buenas prácticas al implementar los controles
- Adapta los controles a la realidad y madurez de tu organización.
- Involucra a áreas como TI, legal, RH y operaciones.
- Prioriza los controles de mayor impacto en los riesgos críticos.
- Establece indicadores para medir la efectividad de cada control.
- Realiza auditorías internas periódicas.
Los controles del Anexo A de ISO 27001 son la base operativa del sistema de gestión de seguridad de la información. No se trata de implementarlos todos, sino de seleccionar los más adecuados, alineados con los riesgos y objetivos de la organización.
Al aplicar los controles correctamente, tu empresa estará mejor preparada para prevenir ciberataques, proteger datos sensibles y cumplir con regulaciones como GDPR o la Ley Federal de Protección de Datos Personales.
