verified_user

Jordi Giménez
|
Controles del Anexo A de ISO 27001: Un Marco Estratégico

Controles del Anexo A de ISO 27001: Un Marco Estratégico

calendar_today 2 de marzo, 2026
schedule 4 min de lectura

Entendiendo el Anexo A de ISO 27001: La Lista Definitiva de Controles de Seguridad

Si el cuerpo principal del estándar ISO 27001 es el "¿Por qué?" y el "¿Cómo gestionar?", entonces el Anexo A es el "¿Qué?". Es la legendaria lista de controles de seguridad que a menudo intimida a los recién llegados, pero que en realidad es su mejor aliada para construir un negocio seguro.

En la versión 2022 del estándar, el Anexo A se simplificó de 114 controles a 93. Veamos qué son y cómo debe utilizarlos.

Las 4 Categorías de Controles

La actualización de 2022 reorganizó los controles en cuatro temas lógicos. Esto facilita mucho a los líderes empresariales la asignación de responsabilidades a diferentes departamentos:

1. Controles Organizativos (37 controles)

Se ocupan de las "reglas del juego". Incluyen políticas, el uso de servicios en la nube y cómo maneja la seguridad de la información en sus relaciones con proveedores.

  • Responsabilidad: Dirección, Legal y RR.HH.

2. Controles de Personas (8 controles)

La seguridad trata sobre personas. Estos controles cubren la investigación de antecedentes, los términos del empleo y la importantísima formación en concienciación de seguridad.

  • Responsabilidad: RR.HH. y responsables de equipo.

3. Controles Físicos (14 controles)

La seguridad "a la antigua" también importa. Estos controles cubren la seguridad de las oficinas, las políticas de escritorio y pantalla limpios, y la protección física de sus equipos.

  • Responsabilidad: Servicios Generales y Operaciones.

4. Controles Tecnológicos (34 controles)

Aquí es donde ocurre la magia de TI. Incluye cifrado, seguridad de red, prácticas de desarrollo seguro y monitorización de actividades inusuales.

  • Responsabilidad: TI e Ingeniería.

La Declaración de Aplicabilidad (SoA)

Es fundamental entender que no tiene que implementar los 93 controles. Solo implementa aquellos que son relevantes para sus riesgos.

Este proceso de selección se documenta en la Declaración de Aplicabilidad (SoA). Para cada control, debe indicar:

  • ¿Es aplicable?
  • Si lo es, ¿está implementado?
  • Si no lo es, ¿por qué? (ej. "No tenemos servidores físicos, por lo que los controles de refrigeración de salas de servidores no son aplicables").

Cómo elegir los controles adecuados

El mayor error es el "exceso de seguridad". Si un control cuesta 10.000 € implementarlo pero solo protege contra un riesgo de 1.000 €, descártelo. Utilice su Evaluación de Riesgos como guía principal.

Controles imprescindibles para SaaS:

  • A.8.24 Uso de servicios en la nube: Asegurarse de que sus proveedores (AWS, Azure, etc.) también son seguros.
  • A.8.28 Codificación segura: Esencial para cualquier empresa que cree software.
  • A.8.5 Autenticación segura: Implementar MFA (Autenticación de Múltiples Factores) en toda la empresa.

FAQ: Preguntas Frecuentes

¿Podemos añadir nuestros propios controles?

¡Sí! El Anexo A es una lista mínima. Si su industria requiere seguridad adicional (como PCI-DSS para pagos), puede y debe añadir esos controles a su SGSI.

¿Qué pasó con los 114 controles de la versión 2013?

Muchos se fusionaron. Por ejemplo, varios controles independientes sobre "dispositivos móviles" y "teletrabajo" se combinaron en un único control más moderno.

¿Necesitamos una política para cada control?

No. Puede agrupar controles relacionados en políticas únicas (ej. una "Política de Control de Acceso" puede cubrir 5-10 requisitos diferentes del Anexo A).

Cómo se estructura el Anexo A

Los controles del Anexo A se organizan en 4 temas para que sean más fáciles de gestionar:

  1. Controles organizativos (37 controles)
  2. Controles de personas (8 controles)
  3. Controles físicos (14 controles)
  4. Controles tecnológicos (34 controles)

Esquema de los Temas del Anexo A ISO 27001

Por qué los líderes de negocio se interesan por el Anexo A

Conclusión: Utilice las herramientas que se adapten a su negocio

El Anexo A es un menú, no un mandato. Al seleccionar los controles adecuados para su perfil de riesgo específico, construye una postura de seguridad robusta sin ser restrictiva.

¿Necesita ayuda para seleccionar sus controles? Nuestros expertos pueden ayudarle a redactar una Declaración de Aplicabilidad ajustada y lista para la auditoría.

Descargue nuestra Lista de Verificación del Anexo A

Nota: Este artículo hace referencia a la versión ISO 27001:2022, que es el estándar actual de la industria.