Controles del Annex A de ISO 27001: Guía Completa de los 93 Controles

El Annex A es donde ISO 27001 se vuelve específico. Mientras que el cuerpo principal de la norma (Cláusulas 4-10) define lo que su Sistema de Gestión de Seguridad de la Información debe hacer — establecer el alcance, realizar la evaluación de riesgos, implementar la revisión de la dirección — el Annex A proporciona un conjunto de referencia de 93 controles de seguridad de la información organizados en cuatro temas. Estos controles son los bloques de construcción de su implementación de seguridad, y seleccionar cuáles aplicar (y cuáles excluir) es una de las decisiones más trascendentales en su camino hacia ISO 27001.

La revisión de 2022 de ISO 27001 reestructuró significativamente el Annex A. La versión anterior (2013) organizaba 114 controles en 14 dominios. La versión 2022 consolida estos en 93 controles en cuatro categorías temáticas, agrega 11 controles completamente nuevos e introduce un sistema de atributos de control que permite una categorización más flexible. Si está trabajando con documentación antigua o consultores que referencian la estructura de 14 dominios, la reestructuración de 2022 es el cambio más importante a comprender.

Esta guía cubre cada tema del Annex A, explica cada categoría de control, destaca los 11 nuevos controles y proporciona orientación práctica para empresas SaaS que implementan estos controles como parte de su ISMS.

¿Qué Es el Annex A y Cómo se Relaciona con ISO 27001?

El Annex A es un anexo normativo — lo que significa que no es una guía opcional sino una parte requerida de la norma. Sin embargo, no se le requiere implementar cada control del Annex A. Se le requiere considerar cada control del Annex A y documentar su decisión de inclusión o exclusión en la Declaración de Aplicabilidad (SoA).

La Relación Entre la Evaluación de Riesgos y el Annex A

El proceso funciona de la siguiente manera:

1. Realice su evaluación de riesgos — identifique amenazas, vulnerabilidades y riesgos para la seguridad de la información dentro del alcance de su ISMS.
2. Desarrolle un plan de tratamiento de riesgos — para cada riesgo por encima de su umbral de aceptación, decida cómo tratarlo (mitigar, transferir, evitar, aceptar).
3. Seleccione controles del Annex A — para los riesgos que está mitigando, identifique qué controles del Annex A implementan el tratamiento. También puede implementar controles que no estén en el Annex A si es necesario, pero el Annex A sirve como referencia base.
4. Documente en el SoA — liste los 93 controles del Annex A, indique si cada uno está incluido o excluido, proporcione justificación para la decisión y anote el estado de implementación.

Esto significa que su selección de controles está impulsada por el riesgo, no es arbitraria. No implementa A.7.4 (Monitoreo de seguridad física) porque suena como una buena idea — lo implementa porque su evaluación de riesgos identificó la intrusión física como una amenaza relevante para sus activos de información, o lo excluye porque su empresa SaaS opera completamente desde infraestructura cloud sin centros de datos físicos que monitorear.

Annex A vs. ISO 27002

El Annex A lista los controles. ISO 27002 es la norma complementaria que proporciona orientación detallada de implementación para cada control. Piense en el Annex A como la tabla de contenidos e ISO 27002 como el manual. No necesita comprar o certificarse contra ISO 27002, pero es una referencia invaluable al implementar controles.

La Reestructuración de 2022: De 14 Dominios a 4 Temas

La versión 2013 de ISO 27001 organizaba el Annex A en 14 dominios de control (A.5 a A.18). La revisión de 2022 reorganiza estos en cuatro temas de alto nivel:

Tema	Controles	Enfoque
A.5 Organizacional	37 controles	Gobernanza, políticas, roles, gestión de proveedores, cumplimiento legal
A.6 Personas	8 controles	Verificación, concientización, términos de empleo, trabajo remoto
A.7 Físico	14 controles	Áreas seguras, protección de equipos, acceso físico
A.8 Tecnológico	34 controles	Control de acceso, criptografía, operaciones, desarrollo, gestión de vulnerabilidades

Qué Cambió

Consolidación: Muchos controles de la versión 2013 fueron fusionados. Por ejemplo, la norma de 2013 tenía controles separados para “política de seguridad de la información” y “revisión de la política de seguridad de la información” — en 2022, estos se combinan en A.5.1.

Reorganización: Los controles fueron movidos para encajar en la estructura de cuatro temas. Las políticas de control de acceso, anteriormente en su propio dominio (A.9), ahora se dividen entre los temas Organizacional (A.5.15) y Tecnológico (A.8.3) según si el control es una actividad de gobernanza o una implementación técnica.

11 controles nuevos: La versión 2022 introduce controles que no existían en 2013, reflejando la evolución del panorama de amenazas y las prácticas tecnológicas.

Atributos de control: Cada control ahora tiene cinco atributos (tipo de control, propiedad de seguridad de la información, concepto de ciberseguridad, capacidad operativa, dominio de seguridad) que permiten una categorización multidimensional más allá de los cuatro temas.

Cronograma de Transición

Las organizaciones certificadas bajo ISO 27001:2013 deben hacer la transición a la versión 2022. La fecha límite de transición ha pasado para la mayoría de los organismos de certificación, lo que significa que todas las nuevas certificaciones y auditorías de vigilancia se realizan ahora contra la versión 2022. Si está buscando la certificación por primera vez, se certificará contra ISO 27001:2022.

A.5 Controles Organizacionales (37 Controles)

Los controles organizacionales cubren la gobernanza, la gestión y las funciones de seguridad a nivel empresarial. Estos son los controles que definen cómo su organización gestiona la seguridad de la información como una función de negocio, no solo como una disciplina técnica.

Políticas y Gobernanza (A.5.1 - A.5.6)

A.5.1 — Políticas para la seguridad de la información. Se deben definir, aprobar por la dirección, publicar, comunicar y revisar una política de seguridad de la información y políticas específicas por tema. Para empresas SaaS, esto significa una política de ISMS de alto nivel más políticas específicas para control de acceso, clasificación de datos, respuesta a incidentes, gestión de cambios y otros temas relevantes. Consulte nuestra guía de políticas para la lista completa.

A.5.2 — Roles y responsabilidades de seguridad de la información. Los roles y responsabilidades deben ser definidos y asignados. Esto incluye la propiedad del ISMS (típicamente CISO o Director de Seguridad), la propiedad del riesgo (asignada por riesgo en el registro) y las responsabilidades operativas de seguridad (quién aplica parches a los servidores, quién revisa el acceso, quién gestiona los incidentes).

A.5.3 — Segregación de funciones. Las funciones y áreas de responsabilidad conflictivas deben ser segregadas. En términos SaaS: la persona que escribe código no debe ser la única persona que lo aprueba para despliegue a producción. La persona que aprovisiona el acceso no debe ser la misma que aprueba las solicitudes de acceso.

A.5.4 — Responsabilidades de la dirección. La dirección debe requerir que los empleados y contratistas apliquen la seguridad de la información de acuerdo con las políticas establecidas. Esto significa que las responsabilidades de seguridad están en las descripciones de puesto, las evaluaciones de desempeño consideran el cumplimiento de seguridad y la dirección apoya activamente el ISMS en lugar de tratarlo como un problema del equipo de seguridad.

A.5.5 — Contacto con autoridades. Mantener contacto con las autoridades relevantes (reguladores de protección de datos, fuerzas del orden, reguladores sectoriales específicos). Para empresas SaaS que operan internacionalmente, esto significa saber con qué autoridades contactar en caso de una brecha de datos en diferentes jurisdicciones.

A.5.6 — Contacto con grupos de interés especial. Mantener contacto con grupos de interés especial y foros de seguridad. Esto incluye ISACs (Centros de Análisis y Compartición de Información), grupos de seguridad de la industria, listas de avisos de seguridad de proveedores y comunidades relevantes para su pila tecnológica.

Gestión de la Información (A.5.7 - A.5.14)

A.5.7 — Inteligencia de amenazas. Recopilar y analizar información sobre amenazas a la organización. Para empresas SaaS, esto significa monitorear bases de datos CVE para vulnerabilidades en su pila tecnológica, suscribirse a feeds de inteligencia de amenazas, rastrear informes de brechas de la industria y monitorear menciones de su organización en comunicaciones de actores de amenazas.

A.5.8 — Seguridad de la información en la gestión de proyectos. Integrar la seguridad de la información en la gestión de proyectos. Cada nueva funcionalidad, cambio de sistema o integración con proveedores debe incluir consideraciones de seguridad. Esto no es una puerta de seguridad separada sino una parte integrada de cómo se planifican y ejecutan los proyectos.

A.5.9 — Inventario de información y otros activos asociados. Mantener un inventario de activos de información y sus propietarios. Para empresas SaaS, esto incluye bases de datos de producción, repositorios de código, cuentas cloud, herramientas SaaS internas y los datos que contienen.

A.5.10 — Uso aceptable de la información y otros activos asociados. Definir reglas para el uso aceptable de los activos de información y comunicarlas a todos los usuarios. Esto típicamente se manifiesta como una política de uso aceptable que cubre dispositivos de la empresa, recursos cloud, datos de clientes y sistemas internos.

A.5.11 — Devolución de activos. Asegurar que el personal devuelva los activos al terminar el empleo o contrato. Para empresas SaaS, “activos” incluyen dispositivos físicos (laptops, teléfonos) y acceso lógico (desactivar cuentas, revocar claves API, eliminar claves SSH).

A.5.12 — Clasificación de la información. Clasificar la información según las necesidades de la organización, considerando la confidencialidad, integridad y disponibilidad. Un esquema de tres niveles (Confidencial, Interno, Público) funciona para la mayoría de las empresas SaaS.

A.5.13 — Etiquetado de la información. Implementar procedimientos de etiquetado alineados con el esquema de clasificación. En la práctica, esto significa marcar documentos, correos electrónicos y almacenes de datos con su nivel de clasificación. Para empresas SaaS, el etiquetado automatizado (por ejemplo, etiquetar campos de base de datos como “PII de cliente”) es más práctico que el etiquetado manual de documentos.

A.5.14 — Transferencia de información. Establecer reglas y procedimientos para transferir información dentro y fuera de la organización. Esto cubre el cifrado de correo electrónico, el intercambio seguro de archivos, la autenticación por API para transferencias de datos y las políticas para transferir datos a terceros.

Control de Acceso e Identidad (A.5.15 - A.5.18)

A.5.15 — Control de acceso. Establecer e implementar reglas para controlar el acceso físico y lógico a la información. Este es el control a nivel de política — su política de control de acceso define los principios (mínimo privilegio, necesidad de conocer, acceso basado en roles) que los controles técnicos implementan. Consulte nuestra guía de control de acceso para orientación detallada de implementación.

A.5.16 — Gestión de identidad. Gestionar el ciclo de vida completo de las identidades — aprovisionamiento, modificación, desaprovisionamiento. Para empresas SaaS que usan proveedores de identidad centralizados (Okta, Azure AD, Google Workspace), esto significa aprovisionamiento automatizado a través de SCIM, asignaciones de grupo basadas en roles y desaprovisionamiento rápido cuando los empleados se van o cambian de rol.

A.5.17 — Información de autenticación. Controlar la asignación y gestión de la información de autenticación (contraseñas, tokens, certificados, dispositivos MFA). Aplicar políticas de contraseñas fuertes, requerir MFA para todos los sistemas y gestionar credenciales de cuentas de servicio a través de herramientas de gestión de secretos en lugar de hojas de cálculo compartidas.

A.5.18 — Derechos de acceso. Aprovisionar, revisar, modificar y eliminar derechos de acceso de acuerdo con la política de control de acceso. Las revisiones trimestrales de acceso son la práctica estándar — comparando el acceso real contra el acceso autorizado y eliminando discrepancias.

Gestión de Proveedores (A.5.19 - A.5.23)

A.5.19 — Seguridad de la información en las relaciones con proveedores. Establecer procesos para gestionar los riesgos de seguridad asociados con el uso de productos y servicios de proveedores. Para empresas SaaS, cada proveedor que toque datos de clientes, acceda a sistemas de producción o proporcione infraestructura crítica es un proveedor cuya postura de seguridad afecta la suya. Consulte nuestra guía de gestión de proveedores para una cobertura completa.

A.5.20 — Abordar la seguridad de la información dentro de los acuerdos con proveedores. Incluir requisitos de seguridad relevantes en los acuerdos con proveedores. Esto significa acuerdos de procesamiento de datos, SLAs de seguridad, obligaciones de notificación de brechas, derechos de auditoría y provisiones de devolución/eliminación de datos.

A.5.21 — Gestión de la seguridad de la información en la cadena de suministro de TIC. Gestionar los riesgos de seguridad en la cadena de suministro de TIC, incluyendo dependencias de software, cadenas de proveedores de servicios cloud y adquisición de hardware. Para empresas SaaS, esto se extiende a dependencias de código abierto, herramientas SaaS usadas en desarrollo y operaciones, y las propias cadenas de suministro de los proveedores.

A.5.22 — Monitoreo, revisión y gestión de cambios de servicios de proveedores. Monitorear, revisar y gestionar continuamente los cambios en las prácticas de seguridad de los proveedores. Revisiones anuales de proveedores, monitoreo continuo de la postura de seguridad del proveedor y reevaluación activada por incidentes del proveedor o cambios de servicio.

A.5.23 — Seguridad de la información para el uso de servicios en la nube. Gestionar la adquisición, uso, gestión y salida de servicios en la nube considerando los requisitos de seguridad de la información. Esto es particularmente relevante para empresas SaaS — cubre su uso de AWS, GCP, Azure, así como las herramientas SaaS en su pila.

Incidentes y Continuidad (A.5.24 - A.5.30)

A.5.24 — Planificación y preparación de la gestión de incidentes de seguridad de la información. Planificar y prepararse para la gestión de incidentes de seguridad de la información. Desarrollar playbooks de respuesta a incidentes, definir niveles de severidad, establecer protocolos de comunicación y asignar roles de respuesta a incidentes.

A.5.25 — Evaluación y decisión sobre eventos de seguridad de la información. Evaluar eventos y decidir si constituyen incidentes de seguridad de la información. Definir criterios claros para lo que constituye un evento de seguridad versus un incidente, y establecer procedimientos de escalamiento.

A.5.26 — Respuesta a incidentes de seguridad de la información. Responder a incidentes de acuerdo con los procedimientos documentados. Esto incluye contención, erradicación, recuperación y comunicación — siguiendo los playbooks desarrollados bajo A.5.24.

A.5.27 — Aprendizaje de incidentes de seguridad de la información. Utilizar el conocimiento obtenido de los incidentes para fortalecer los controles. Revisiones post-incidente (postmortems sin culpables) que producen mejoras accionables y retroalimentan el proceso de evaluación de riesgos.

A.5.28 — Recopilación de evidencia. Establecer procedimientos para la identificación, recopilación, adquisición y preservación de evidencia. Preparación para informática forense — asegurar que los registros se retengan, la evidencia se maneje con procedimientos de cadena de custodia y los sistemas estén configurados para soportar investigaciones.

A.5.29 — Seguridad de la información durante la interrupción. Mantener la seguridad de la información en un nivel apropiado durante la interrupción. Cuando los sistemas están caídos y está en modo de crisis, los controles de seguridad aún aplican — la respuesta a incidentes no debe eludir los controles de acceso, y la recuperación ante desastres no debe exponer datos a través de soluciones temporales.

A.5.30 — Preparación de TIC para la continuidad del negocio. Planificar, implementar, mantener y probar la preparación de TIC para asegurar la continuidad del negocio. Para empresas SaaS, esto significa pruebas de recuperación ante desastres, procedimientos de conmutación por error, verificación de restauración de respaldos, y objetivos documentados de tiempo de recuperación (RTOs) y puntos de recuperación (RPOs).

Cumplimiento y Legal (A.5.31 - A.5.37)

A.5.31 — Requisitos legales, estatutarios, regulatorios y contractuales. Identificar y documentar los requisitos legales, regulatorios y contractuales aplicables. Para empresas SaaS, esto típicamente incluye GDPR (si sirven a clientes de la UE), regulaciones específicas de la industria, obligaciones contractuales con clientes y requisitos de localización de datos.

A.5.32 — Derechos de propiedad intelectual. Proteger los derechos de propiedad intelectual, incluyendo el cumplimiento de licencias de software. Asegurar el cumplimiento de licencias de código abierto, licencias de software propietario y la protección de su propia PI (código fuente, algoritmos, insights de clientes).

A.5.33 — Protección de registros. Proteger los registros de pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada. Esto cubre tanto registros empresariales como evidencia de operación del ISMS (registros de auditoría, registros de riesgos, actas de reuniones, aprobaciones de políticas).

A.5.34 — Privacidad y protección de PII. Asegurar la privacidad y protección de la información de identificación personal según lo requieran las leyes y regulaciones aplicables. Para empresas SaaS que procesan datos de clientes que contienen PII, este control conecta ISO 27001 con los requisitos de protección de datos como GDPR.

A.5.35 — Revisión independiente de la seguridad de la información. Realizar revisiones independientes del ISMS a intervalos planificados o cuando ocurran cambios significativos. Este es su proceso de auditoría interna y revisión de la dirección.

A.5.36 — Cumplimiento con políticas, reglas y normas de seguridad de la información. Revisar regularmente el cumplimiento con las políticas y normas de seguridad de la información de la organización. Asegurar que las políticas que ha escrito se estén siguiendo realmente — a través de monitoreo, auditoría y revisión de la dirección.

A.5.37 — Procedimientos operativos documentados. Documentar los procedimientos operativos para las instalaciones de procesamiento de información y ponerlos a disposición del personal que los necesite. Runbooks, procedimientos operativos estándar y documentación operativa para los sistemas dentro del alcance del ISMS.

A.6 Controles de Personas (8 Controles)

Los controles de personas abordan el elemento humano de la seguridad de la información — desde la contratación durante el empleo hasta la partida.

A.6.1 — Verificación. Realizar verificaciones de antecedentes a los candidatos antes del empleo. El nivel de verificación debe ser proporcional al rol — los ingenieros con acceso a producción a datos de clientes merecen verificaciones más exhaustivas que los miembros del equipo de marketing.

A.6.2 — Términos y condiciones de empleo. Los contratos de empleo deben establecer las responsabilidades de seguridad de la información del empleado y de la organización. Incluir cláusulas de confidencialidad, obligaciones de uso aceptable y las consecuencias de violaciones de políticas.

A.6.3 — Concientización, educación y capacitación en seguridad de la información. Todos los empleados deben recibir capacitación apropiada en concientización de seguridad, y el personal con roles específicos de seguridad debe recibir capacitación específica del rol. Capacitación anual de concientización de seguridad para todo el personal, complementada con capacitación dirigida para ingenieros (codificación segura), administradores (seguridad cloud) y gerentes (escalamiento de incidentes).

A.6.4 — Proceso disciplinario. Establecer un proceso disciplinario formal para los empleados que cometan violaciones de la política de seguridad de la información. El proceso debe comunicarse a todos los empleados para que comprendan las consecuencias del incumplimiento.

A.6.5 — Responsabilidades después de la terminación o cambio de empleo. Definir las responsabilidades de seguridad de la información que permanecen válidas después de la terminación. NDAs que sobreviven al empleo, devolución de activos y el requisito de no retener información de la empresa.

A.6.6 — Acuerdos de confidencialidad o no divulgación. Identificar y documentar los requisitos de confidencialidad y no divulgación. NDAs para empleados, contratistas y terceros que acceden a información sensible.

A.6.7 — Trabajo remoto. Implementar medidas de seguridad para el trabajo remoto. Para empresas SaaS (donde el trabajo remoto es a menudo el predeterminado), esto cubre requisitos de VPN, seguridad de endpoints, orientación sobre seguridad de redes domésticas y políticas para trabajar desde lugares públicos.

A.6.8 — Reporte de eventos de seguridad de la información. Proporcionar un mecanismo para que el personal reporte eventos de seguridad observados o sospechados. Esto significa canales claros de reporte (un canal de Slack, un alias de correo electrónico, un sistema de tickets), capacitación sobre qué reportar y una cultura que no castigue a los que reportan.

A.7 Controles Físicos (14 Controles)

Los controles físicos cubren la seguridad de los entornos físicos, equipos y servicios públicos. Para empresas SaaS que operan completamente en la nube sin centros de datos físicos, varios de estos controles son candidatos para exclusión en el SoA — pero la exclusión debe justificarse, y algunos controles físicos aplican incluso a organizaciones nativas en la nube.

A.7.1 — Perímetros de seguridad física. Definir perímetros de seguridad alrededor de áreas que contienen información e instalaciones de procesamiento de información. Para empresas SaaS con oficinas, esto aplica al entorno de la oficina — particularmente las áreas donde se realiza trabajo sensible (área del equipo de seguridad, salas de servidores si existen).

A.7.2 — Entrada física. Las áreas seguras deben ser protegidas por controles de entrada apropiados. Acceso con tarjeta, gestión de visitantes y acceso restringido a áreas sensibles.

A.7.3 — Seguridad de oficinas, salas e instalaciones. Diseñar e implementar seguridad física para oficinas, salas e instalaciones. Esto incluye seguridad de salas de servidores (si aplica), políticas de escritorio limpio y almacenamiento seguro para documentos físicos.

A.7.4 — Monitoreo de seguridad física. Monitorear continuamente las instalaciones para acceso físico no autorizado. CCTV, sistemas de detección de intrusos, guardias de seguridad. Para empresas SaaS completamente remotas, este control puede excluirse si no hay instalaciones físicas que monitorear.

A.7.5 — Protección contra amenazas físicas y ambientales. Diseñar e implementar protección contra amenazas físicas y ambientales (incendio, inundación, terremoto, fallo eléctrico). Incluso las empresas nativas en la nube deben considerar la seguridad física de sus entornos de oficina y los controles ambientales que sus proveedores cloud mantienen.

A.7.6 — Trabajo en áreas seguras. Definir e implementar medidas de seguridad para trabajar en áreas seguras. Restricciones en dispositivos electrónicos en áreas seguras, requisitos de supervisión y registro de acceso.

A.7.7 — Escritorio limpio y pantalla limpia. Definir reglas para escritorio limpio y pantalla limpia. Bloquear pantallas al alejarse de las estaciones de trabajo, no dejar documentos sensibles en los escritorios y asegurar los medios físicos en almacenamiento con llave.

A.7.8 — Ubicación y protección de equipos. Ubicar y proteger equipos para reducir riesgos de amenazas ambientales y acceso no autorizado. Para empresas SaaS, esto aplica principalmente a las estaciones de trabajo de empleados y cualquier equipo de red en las instalaciones.

A.7.9 — Seguridad de activos fuera de las instalaciones. Proteger los activos sacados de las instalaciones. Cifrado de laptop, capacidad de borrado remoto, requisitos de VPN y políticas para llevar dispositivos a conferencias, sitios de clientes o el hogar.

A.7.10 — Medios de almacenamiento. Gestionar los medios de almacenamiento a lo largo de su ciclo de vida — adquisición, uso, transporte y eliminación. Esto incluye discos duros, dispositivos USB y medios de respaldo. Para empresas SaaS, la gestión del ciclo de vida del almacenamiento cloud (cifrado, control de acceso, eliminación segura) es el equivalente moderno.

A.7.11 — Servicios de soporte. Proteger las instalaciones de procesamiento de información de fallos eléctricos y otras interrupciones de servicios. Para empresas SaaS nativas en la nube, su proveedor cloud maneja esto para la infraestructura de producción — pero considere UPS y energía de respaldo para la infraestructura de red de su oficina.

A.7.12 — Seguridad del cableado. Proteger el cableado que transporta energía y datos de la interceptación, interferencia o daño. Principalmente relevante para empresas con infraestructura local o redes de oficina.

A.7.13 — Mantenimiento de equipos. Mantener los equipos correctamente para asegurar su disponibilidad e integridad continuas. Para empresas SaaS, esto aplica a los dispositivos de los empleados (aplicación de parches, renovación de hardware) y cualquier equipo en las instalaciones.

A.7.14 — Eliminación o reutilización segura de equipos. Borrar o destruir de forma segura los datos en los equipos antes de su eliminación o reutilización. Al descomisionar laptops de empleados, asegurar que los discos duros se borren o destruyan de forma segura. Al descomisionar recursos cloud, asegurar que los datos se eliminen y el almacenamiento se libere.

A.8 Controles Tecnológicos (34 Controles)

Los controles tecnológicos son los mecanismos técnicos de seguridad que protegen los sistemas de información. Para empresas SaaS, esta es típicamente la sección más grande y relevante.

Endpoint y Acceso (A.8.1 - A.8.5)

A.8.1 — Dispositivos de endpoint de usuario. Proteger la información almacenada en, procesada por o accesible a través de dispositivos de endpoint de usuario. Esto significa software de detección y respuesta de endpoint (EDR), cifrado de disco, actualizaciones automáticas de SO, políticas de bloqueo de pantalla y capacidad de borrado remoto para dispositivos de la empresa. Para entornos BYOD, implementar Gestión de Dispositivos Móviles (MDM) o controles equivalentes.

A.8.2 — Derechos de acceso privilegiado. Restringir y gestionar la asignación y uso de derechos de acceso privilegiado. Separar cuentas de administrador de las cuentas de uso diario, implementar escalamiento de privilegios justo a tiempo, monitorear sesiones privilegiadas y realizar revisiones regulares de acceso privilegiado.

A.8.3 — Restricción de acceso a la información. Restringir el acceso a la información según la política de control de acceso. Esta es la implementación técnica de la política definida en A.5.15 — control de acceso basado en roles, control de acceso basado en atributos, autorización de API y restricciones de acceso a datos basadas en clasificación y necesidad de conocer.

A.8.4 — Acceso al código fuente. Gestionar el acceso al código fuente, herramientas de desarrollo y bibliotecas de software. Para empresas SaaS, esto significa controles de acceso a repositorios (permisos de GitHub/GitLab), reglas de protección de ramas, firma de código y restricción de acceso a sistemas de compilación y despliegue.

A.8.5 — Autenticación segura. Implementar tecnologías y procedimientos de autenticación seguros. Autenticación multifactor para todos los usuarios, integración SSO, políticas de contraseñas fuertes (o mejor, autenticación sin contraseña) y gestión segura de sesiones.

Configuración y Gestión de Vulnerabilidades (A.8.6 - A.8.10)

A.8.6 — Gestión de capacidad. Monitorear y ajustar la utilización de recursos para cumplir con los requisitos de capacidad actuales y futuros. Configuraciones de auto-escalamiento, dashboards de monitoreo de capacidad, alertas sobre umbrales de agotamiento de recursos y planificación de capacidad para el crecimiento.

A.8.7 — Protección contra malware. Implementar protección contra malware combinada con concientización del usuario. EDR/antivirus en endpoints, filtrado de correo electrónico, filtrado web y capacitación de usuarios para reconocer phishing y contenido malicioso.

A.8.8 — Gestión de vulnerabilidades técnicas. Obtener información sobre vulnerabilidades técnicas, evaluar la exposición y tomar las medidas apropiadas. Escaneo de vulnerabilidades, escaneo de dependencias (herramientas SCA), monitoreo de CVE para su pila tecnológica, procesos de gestión de parches y SLAs definidos para remediación de vulnerabilidades según la severidad.

A.8.9 — Gestión de configuración. Establecer, documentar, implementar, monitorear y revisar las configuraciones de hardware, software, servicios y redes. Infraestructura como código, líneas base de configuración, detección de desviaciones y patrones de infraestructura inmutable. Este es uno de los 11 controles nuevos en 2022 y es particularmente relevante para empresas SaaS que gestionan infraestructura cloud.

A.8.10 — Eliminación de información. Eliminar la información cuando ya no sea necesaria. Políticas de retención de datos con aplicación automatizada, eliminación segura de datos de clientes al finalizar el contrato y purga de almacenes de datos temporales. Otro control nuevo en 2022.

Protección de Datos (A.8.11 - A.8.14)

A.8.11 — Enmascaramiento de datos. Enmascarar datos de acuerdo con la política de control de acceso y los requisitos del negocio. Los datos de producción no deben usarse en entornos de desarrollo o pruebas sin enmascaramiento. El PII de clientes debe enmascararse en registros, analíticas y herramientas de soporte donde no se requieren los datos completos. Este es un control nuevo en 2022.

A.8.12 — Prevención de fuga de datos. Aplicar medidas de prevención de fuga de datos a sistemas, redes y endpoints. Herramientas DLP en endpoints y correo electrónico, restricciones para copiar datos a almacenamiento externo, monitoreo de exportaciones masivas de datos y limitación de tasa en API para prevenir el scraping de datos. Otro control nuevo en 2022.

A.8.13 — Respaldo de información. Mantener copias de respaldo probadas de información, software y configuraciones de sistemas. Respaldos automatizados con RPOs definidos, cifrado de respaldos, almacenamiento fuera del sitio y — críticamente — pruebas regulares de restauración. Un respaldo que nunca ha sido probado no es un respaldo.

A.8.14 — Redundancia de instalaciones de procesamiento de información. Implementar redundancia para las instalaciones de procesamiento de información suficiente para cumplir con los requisitos de disponibilidad. Despliegues multi-AZ, replicación de bases de datos, balanceo de carga y mecanismos de conmutación por error.

Registro y Monitoreo (A.8.15 - A.8.16)

A.8.15 — Registro. Producir, almacenar, proteger y analizar registros que capturen actividades, excepciones, fallos y otros eventos relevantes. Registro centralizado (ELK, Splunk, Datadog), políticas de retención de registros, almacenamiento de registros a prueba de manipulaciones y fuentes de registro definidas (registros de aplicación, registros de acceso, registros de infraestructura, registros de eventos de seguridad).

A.8.16 — Actividades de monitoreo. Monitorear redes, sistemas y aplicaciones para comportamiento anómalo y tomar las acciones apropiadas. SIEM o plataformas de monitoreo que correlacionen eventos, alerten sobre anomalías y permitan investigación. Este es un control nuevo en 2022, reflejando la importancia del monitoreo continuo.

Seguridad de Operaciones (A.8.17 - A.8.22)

A.8.17 — Sincronización de reloj. Sincronizar los relojes de los sistemas de procesamiento de información con una fuente de tiempo aprobada. Configuración NTP en todos los sistemas. Esto parece trivial pero es esencial para la correlación de registros durante la investigación de incidentes.

A.8.18 — Uso de programas utilitarios privilegiados. Restringir y controlar el uso de programas utilitarios que pueden anular los controles del sistema y de las aplicaciones. Limitar el acceso a herramientas de administración de bases de datos, utilidades de gestión de sistemas y herramientas de depuración en producción.

A.8.19 — Instalación de software en sistemas operativos. Implementar procedimientos para controlar la instalación de software en sistemas operativos. Restringir la instalación de software en dispositivos de empleados, controlar qué puede desplegarse a producción y mantener listas de software aprobado.

A.8.20 — Seguridad de redes. Gestionar y controlar las redes para proteger la información en sistemas y aplicaciones. Segmentación de red, reglas de firewall, configuración de VPC, grupos de seguridad y listas de control de acceso a la red en entornos cloud.

A.8.21 — Seguridad de servicios de red. Identificar, implementar y monitorear mecanismos de seguridad, niveles de servicio y requisitos de gestión para servicios de red. Esto cubre tanto servicios de red internos como servicios de red de terceros (ISPs, CDNs, proveedores de DNS).

A.8.22 — Segregación de redes. Segregar grupos de servicios de información, usuarios y sistemas de información en redes. Entornos de producción, staging y desarrollo en redes/VPCs separadas. Redes de cara al cliente y de gestión interna segregadas. Servidores de bases de datos no directamente accesibles desde internet.

Seguridad Web y de Aplicaciones (A.8.23 - A.8.24)

A.8.23 — Filtrado web. Filtrar el acceso a sitios web externos para reducir la exposición a contenido malicioso. Filtrado DNS, filtrado web basado en proxy o filtrado de URL basado en endpoint para bloquear acceso a sitios maliciosos conocidos, páginas de phishing y contenido inapropiado. Este es un control nuevo en 2022.

A.8.24 — Uso de criptografía. Definir e implementar reglas para el uso efectivo de criptografía, incluyendo gestión de claves. TLS 1.2+ para todos los datos en tránsito, AES-256 para datos en reposo, gestión adecuada de claves (rotación, almacenamiento en HSM o gestor de secretos) y una política criptográfica que defina algoritmos aprobados.

Seguridad de Desarrollo (A.8.25 - A.8.34)

A.8.25 — Ciclo de vida de desarrollo seguro. Establecer y aplicar reglas para el desarrollo seguro de software y sistemas. Estándares de codificación segura, requisitos de seguridad en historias de usuario, modelado de amenazas durante el diseño, pruebas de seguridad en CI/CD y revisión de seguridad para despliegues a producción.

A.8.26 — Requisitos de seguridad de aplicaciones. Identificar, especificar y aprobar los requisitos de seguridad de la información para desarrollar o adquirir aplicaciones. Definir requisitos de seguridad (autenticación, autorización, validación de entrada, cifrado) como parte del proceso de diseño de la aplicación.

A.8.27 — Arquitectura de sistema segura y principios de ingeniería. Establecer, documentar, mantener y aplicar principios para la ingeniería de sistemas seguros. Defensa en profundidad, mínimo privilegio, fallo seguro, validación de entrada, valores predeterminados seguros. Documentar estos principios y asegurar que se sigan en las decisiones arquitectónicas.

A.8.28 — Codificación segura. Aplicar principios de codificación segura al desarrollo de software. Concientización de OWASP Top 10, validación de entrada, consultas parametrizadas, codificación de salida, gestión segura de sesiones y manejo seguro de secretos en código. Este es un control nuevo en 2022.

A.8.29 — Pruebas de seguridad en desarrollo y aceptación. Definir e implementar procesos de pruebas de seguridad en el ciclo de vida de desarrollo. SAST (análisis estático), DAST (análisis dinámico), escaneo de dependencias, pruebas de penetración y criterios de aceptación de seguridad para releases.

A.8.30 — Desarrollo externalizado. Dirigir, monitorear y revisar las actividades relacionadas con el desarrollo de sistemas externalizado. Cuando se usan contratistas o equipos de desarrollo externalizados, asegurar que sigan sus prácticas de desarrollo seguro, que su código sea revisado y que su acceso esté controlado.

A.8.31 — Separación de entornos de desarrollo, prueba y operativos. Separar los entornos de desarrollo, pruebas y operativos para reducir los riesgos de acceso no autorizado o cambios al entorno operativo. Cuentas de AWS o proyectos de GCP distintos para desarrollo, staging y producción. Sin credenciales de producción en entornos de desarrollo. Sin datos de clientes en entornos de no producción.

A.8.32 — Gestión de cambios. Controlar los cambios en las instalaciones de procesamiento de información y los sistemas de información. Gestión formal de cambios para sistemas de producción — solicitudes de cambio, evaluación de riesgos, aprobación, pruebas, despliegue y procedimientos de reversión.

A.8.33 — Información de prueba. Proteger la información de prueba adecuadamente. Los datos de prueba deben ser anonimizados o sintéticos — nunca use datos reales de clientes en entornos de prueba. Cuando los datos de prueba deben parecerse a los datos de producción, use enmascaramiento de datos (A.8.11).

A.8.34 — Protección de sistemas de información durante pruebas de auditoría. Planificar y acordar pruebas de auditoría que involucren sistemas operativos para minimizar el impacto empresarial. Cuando las pruebas de penetración o escaneos de vulnerabilidad apuntan a sistemas de producción, programarlos para minimizar la interrupción y asegurar que los procedimientos de reversión estén disponibles.

Los 11 Nuevos Controles en ISO 27001:2022

La revisión de 2022 introdujo 11 controles que no existían en la versión 2013. Estos reflejan la evolución del panorama de amenazas y las prácticas tecnológicas modernas:

Control	Tema	Descripción	Relevancia SaaS
A.5.7	Organizacional	Inteligencia de amenazas	Alta — esencial para comprender las amenazas a su pila
A.5.23	Organizacional	Seguridad de servicios cloud	Crítica — aborda directamente la infraestructura SaaS
A.5.30	Organizacional	Preparación de TIC para continuidad del negocio	Alta — DR/BCP para servicios cloud
A.7.4	Físico	Monitoreo de seguridad física	Baja para SaaS nativo en la nube; puede excluirse
A.8.9	Tecnológico	Gestión de configuración	Crítica — IaC y gestión de configuración cloud
A.8.10	Tecnológico	Eliminación de información	Alta — gestión del ciclo de vida de datos
A.8.11	Tecnológico	Enmascaramiento de datos	Alta — proteger datos en entornos de no producción
A.8.12	Tecnológico	Prevención de fuga de datos	Media-Alta — DLP para endpoints y APIs
A.8.16	Tecnológico	Actividades de monitoreo	Crítica — monitoreo continuo de seguridad
A.8.23	Tecnológico	Filtrado web	Media — protección de endpoints
A.8.28	Tecnológico	Codificación segura	Crítica — fundamental para el desarrollo SaaS

Estos nuevos controles son a menudo un área de enfoque durante las auditorías porque los auditores quieren verificar que las organizaciones los hayan abordado — particularmente si están haciendo la transición desde un ISMS basado en 2013.

Atributos de Control

ISO 27001:2022 introduce cinco atributos para cada control, permitiendo una categorización multidimensional:

Tipo de Control

• Preventivo — previene la ocurrencia de un incidente de seguridad
• Detectivo — detecta la ocurrencia de un incidente de seguridad
• Correctivo — corrige el impacto de un incidente de seguridad después de que ocurre

Propiedades de Seguridad de la Información

Cuál de la tríada CIA protege el control:

• Confidencialidad
• Integridad
• Disponibilidad

Conceptos de Ciberseguridad (alineación con NIST CSF)

• Identificar — comprender el entorno y los riesgos
• Proteger — implementar salvaguardas
• Detectar — identificar eventos de seguridad
• Responder — actuar sobre eventos detectados
• Recuperar — restaurar capacidades

Capacidades Operativas

Agrupa controles por función operativa:

• Gobernanza, Gestión de activos, Protección de la información, Seguridad de recursos humanos, Seguridad física, Seguridad de sistemas y redes, Seguridad de aplicaciones, Configuración segura, Gestión de identidad y acceso, Gestión de amenazas y vulnerabilidades, Continuidad, Seguridad de relaciones con proveedores, Legal y cumplimiento, Gestión de eventos de seguridad de la información, Aseguramiento de seguridad de la información

Dominios de Seguridad

• Gobernanza y ecosistema
• Protección
• Defensa
• Resiliencia

Estos atributos son útiles para mapear controles a otros marcos (NIST CSF, CIS Controls), generar diferentes vistas de su entorno de control (por ejemplo, mostrar todos los controles detectivos, mostrar todos los controles que protegen la confidencialidad) y demostrar a los auditores que su selección de controles es reflexiva y multidimensional.

Exclusiones Típicas para SaaS

No todos los controles del Annex A son relevantes para cada empresa SaaS. La Declaración de Aplicabilidad documenta sus decisiones de inclusión y exclusión con justificación. Las exclusiones comunes para empresas SaaS nativas en la nube incluyen:

Controles Físicos Frecuentemente Excluidos

A.7.1-A.7.6 (Perímetros físicos, entrada, oficinas, monitoreo, ambiental, áreas seguras) — Si su organización es completamente remota sin oficina física, o si su oficina no contiene instalaciones de procesamiento de información (todo el procesamiento ocurre en la nube), algunos de estos pueden excluirse. Sin embargo, si los empleados trabajan desde una oficina con estaciones de trabajo de la empresa, un subconjunto aún puede aplicar.

A.7.8 (Ubicación y protección de equipos) — Si no tiene servidores en las instalaciones o equipos de red más allá del equipo estándar de oficina.

A.7.11 (Servicios de soporte) — Si toda la infraestructura de producción está en la nube y su oficina no aloja equipos críticos de procesamiento de información.

A.7.12 (Seguridad del cableado) — Si no tiene un centro de datos en las instalaciones o infraestructura de red especializada.

Controles Raramente Excluidos para SaaS

Virtualmente ninguna empresa SaaS puede justificar excluir:

• A.5.1 (Políticas) — todo ISMS necesita políticas
• A.5.15-A.5.18 (Control de acceso) — todo SaaS tiene acceso que gestionar
• A.5.24-A.5.27 (Gestión de incidentes) — los incidentes le ocurren a toda organización
• A.8.5 (Autenticación segura) — la autenticación es fundamental
• A.8.9 (Gestión de configuración) — la configuración cloud siempre es relevante
• A.8.15-A.8.16 (Registro y monitoreo) — todo sistema de producción necesita registro
• A.8.25 (Ciclo de vida de desarrollo seguro) — todo SaaS desarrolla software

Requisitos de Justificación

La exclusión no es un atajo. Para cada control excluido, su SoA debe indicar:

• El control que se excluye (número de referencia y título)
• La justificación — por qué el riesgo que el control aborda no es aplicable a su organización
• Confirmación de que la exclusión no compromete la seguridad de la información

“No tenemos servidores en las instalaciones, por lo tanto A.7.12 (Seguridad del cableado) se excluye porque no hay cableado que transporte datos o energía que proteger dentro del alcance del ISMS” es una justificación válida. “No aplicable” sin explicación no lo es.

Mapeo de Controles al Plan de Tratamiento de Riesgos

El plan de tratamiento de riesgos y los controles del Annex A deben estar explícitamente conectados. Este mapeo es la columna vertebral de su ISMS y lo principal que los auditores verifican.

Del Riesgo al Control

Para cada riesgo en su plan de tratamiento:

1. Identifique las acciones de tratamiento — qué medidas específicas abordan el riesgo
2. Mapee cada acción a uno o más controles del Annex A — qué referencia de control aplica
3. Documente el mapeo tanto en el plan de tratamiento de riesgos como en el SoA
4. Implemente el control — despliegue la medida técnica u organizacional
5. Recopile evidencia — demuestre que el control está operando

Del Control al Riesgo

Para cada control del Annex A en su SoA:

1. Identifique el/los riesgo(s) que aborda — rastree hacia el registro de riesgos
2. Documente la referencia del riesgo en la justificación del SoA
3. Verifique la cobertura — asegure que no hay brechas donde existan riesgos sin controles correspondientes

Validación de Cobertura

Revise su mapeo para completitud:

• Cada riesgo calificado por encima de su umbral de aceptación debe mapearse a al menos un control del Annex A (o ser formalmente aceptado)
• Cada control del Annex A incluido debe mapearse a al menos un riesgo (o un requisito legal/regulatorio/contractual)
• Sin controles huérfanos — controles implementados sin una justificación clara
• Sin riesgos huérfanos — riesgos por encima del umbral sin tratamiento correspondiente

Esta referencia cruzada es lo que transforma un ejercicio de lista de verificación en un sistema integrado de gestión de riesgos. Los auditores prueban específicamente esta trazabilidad, y las brechas son una fuente frecuente de hallazgos de no conformidad.

Cómo Ayuda GRCTrail

GRCTrail da a los equipos SaaS una plataforma estructurada para gestionar los controles del Annex A desde la selección a través de la implementación y el monitoreo continuo.

• Catálogo interactivo de controles del Annex A con orientación de implementación específica para SaaS para cada uno de los 93 controles, para que su equipo sepa exactamente qué significa cada control en un contexto nativo en la nube en lugar de interpretar el lenguaje genérico de ISO
• Generación automatizada del SoA que extrae de su evaluación de riesgos para mapear riesgos a controles, justificar inclusiones y exclusiones, y mantener la trazabilidad — el documento que los auditores más tiempo pasan revisando
• Seguimiento de implementación de controles con recopilación de evidencia que vincula cada control del Annex A a su estado de implementación, propietario asignado y evidencia de soporte, asegurando que nada se pierda entre la evaluación de riesgos y la auditoría

Comience con GRCTrail →

Guías Relacionadas

• ¿Qué es ISO 27001? Una Guía para Empresas SaaS
• Evaluación de Riesgos ISO 27001: Proceso, Metodología y Ejemplos
• Declaración de Aplicabilidad ISO 27001: Cómo Crearla
• Guía de Control de Acceso ISO 27001
• Guía de Políticas ISO 27001
• Lista de Verificación de Certificación ISO 27001
• Requisitos de ISO 27001: Comprendiendo las Cláusulas 4-10