Anexo A en ISO 27001, objetivos de control y controles de referencia
Anexo A en ISO 27001
Probablemente, muchos de nuestros lectores hayan escuchado sobre el Anexo A en ISO 27001. Si bien no es tan conocido como el Anexo SL, que se encuentra presente en tantas otras normas, el Anexo A en ISO 27001 es la guía indispensable que toda organización debe seguir si desea implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
Definición de Anexo A en ISO 27001
El Anexo A es un documento normativo que sirve como guía para implementar los controles de seguridad específicos de ISO 27001. Todos estos controles están dirigidos a mejorar la Seguridad de la información de nuestra organización. Si deseamos implementar la norma, la aplicación de dichos controles es obligatoria, salvo en los casos que no se puedan aplicar.
Controles de seguridad del Anexo A en ISO 27001
Dicho documento está compuesto de 114 controles de seguridad, sin embargo, como hemos dicho anteriormente, solo se aplicarán aquellos que procedan.
Si tenemos en cuenta la anterior versión de 2005 de ISO 27001, observamos que el número de controles se han reducido, pasando de 133 a 114. Entre otros aspectos, se eliminan algunas ciertas acciones preventivas y la obligación de documentar obligatoriamente algunos procedimientos.
El hecho de conocer estos controles, nos hace darnos cuenta de que la seguridad de la información no solo se refiere a lo que comúnmente se conoce como ciberseguridad. El enfoque va mucho más allá, ya que un SGSI abarca tanto este tipo de información como la que se encuentra en formato físico y de diferentes áreas como Recursos Humanos, Departamento financiero, de exportación, etc.
Composición del Anexo A
Como hemos dicho anteriormente, está compuesto por 114 controles de seguridad agrupados en 14 secciones. Entre ellas encontramos lo siguiente:
- A.5: Políticas de Seguridad de la Información: hace referencia a los controles sobre cómo escribir y revisar políticas de seguridad.
- A.6: Organización de la Seguridad de la información: los controles se encargan de establecer responsables. Al mismo tiempo, también se centra en dispositivos móviles y situaciones como la de teletrabajo.
- A.7: Seguridad de los Recursos Humanos: controles para las situaciones previas y posteriores referentes a la contratación y finalización de contrato de personal.
- A.8: Gestión de Recursos: establecidos para realizar inventario, clasificación de información y manejo de los medios de almacenamiento.
- A.9: Control de Acceso: control del acceso tanto a la información como a aplicaciones u otro medio que contenga información.
- A.10: Criptografía: controles para gestionar encriptación de información.
- A.11: Seguridad física y ambiental: controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.
- A.12: Seguridad Operacional: controles relacionados con gestión de la protección de malware o vulnerabilidades.
- A.13: Seguridad de las comunicaciones: Control sobre la seguridad de las redes, transmisión de información, mensajería…
- A.14: Adquisición, desarrollo y mantenimiento de Sistemas: controles que establecen los requisitos de seguridad en desarrollo y soporte.
- A.15: Relaciones con los proveedores: incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.
- A.16: Gestión de Incidentes en Seguridad de la Información: sirven para reportar eventos, las debilidades, así como procedimientos de respuesta.
- A.17: Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio: referidos a la planificación de continuidad de negocio.
- A.18: Cumplimiento: control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la información y hacer que se cumplan.
Como podemos ver, no solo los controles son aplicables a la ciberseguridad, sino a todos los ámbitos.
Requisitos de controles de seguridad
Como son obligatorios, salvo los no aplicables, debe haber un profesional sobre Seguridad de la Información del anexo A en ISO 27001 encargado de aplicar los controles que proceden.
El responsable de seleccionar los controles debe basar su criterio en las cláusulas 6 y 8 de la norma. Además de esto, es necesario:
- Medir la efectividad de los controles.
- Establecer las responsabilidades para gestionar los controles.
- Implementación de acciones correctivas.
Todo ello debe hacerse desde el máximo conocimiento, ya que una correcta aplicación de los controles y requisitos que establece la norma puede determinar el éxito o fracaso de la implementación del Anexo A e ISO 27001 y en el SGSI en general.
Diplomado ISO 27001
Muchas organizaciones se deciden a implementar esta norma, ya sea por voluntad propia o porque alguno de sus clientes o proveedores lo requieren. Para ello, es necesario contar con un profesional que pueda aplicar todos los requisitos de forma adecuada. En la Escuela Europea de Excelencia cuentan con un excelente diplomado ISO 27001 que no solo le ofrecerá el conocimiento general que necesita, sino que incluso cuenta con información específica sobre los controles de seguridad. Aproveche el plazo para inscribirse en la convocatoria actual.