Cuando se trata de proteger la información, no alcanza con buenas intenciones ni con tener un área de TI proactiva: hace falta una estructura clara de control. ISO 27001:2022 incorpora 93 controles que permiten abordar los riesgos de manera más concreta.
En este artículo te contamos qué son, cómo se aplican y por qué son uno de los pilares del Sistema de Gestión de Seguridad de la Información (SGSI).
¿Qué son los controles ISO 27001?
Los controles son medidas específicas (como políticas, procesos, tecnologías o prácticas) que buscan proteger la información frente a amenazas.
En ISO 27001:2022, los controles se encuentran en el Anexo A y están organizados en 4 grandes categorías:
1. Controles Organizacionales (37 controles)
Orientados a definir reglas, políticas y procesos para crear una cultura de resguardo de la información.
2. Controles de Personas (8 controles)
Relacionados con la interacción de las personas con la información. Incluyen acuerdos de confidencialidad, capacitaciones y definición de responsabilidades, entre otras.
3. Controles Físicos (14 controles)
Buscan proteger instalaciones y activos tangibles, tanto dentro como fuera de la organización.
4. Controles Tecnológicos (34 controles)
Apuntan a prevenir fallas de seguridad vinculadas a accesos no autorizados, ciberataques, o errores tecnológicos.
¿Tengo que aplicar todos los controles?
No necesariamente. ISO 27001 permite seleccionar los controles relevantes para tu organización. Para eso, se realiza una evaluación de riesgos y se completa denominado Declaración de Aplicabilidad (SoA).
Allí se define:
- Qué controles son aplicables.
- Cuáles se implementaron.
- La justificación para cada decisión.
Este documento no es solo un requisito formal: refleja cómo se traduce la gestión de riesgos en las acciones concretas.
Tratamiento del riesgo, la razón de ser de los controles
La norma no busca eliminar todo riesgo (lo cual sería imposible), sino gestionarlos de la mejor manera posible. Cada control que se implementa responde a una de estas estrategias:
- Evitar el riesgo (por ejemplo, dejar de hacer una actividad).
- Reducir la probabilidad de ocurrencia.
- Reducir el impacto si ocurre.
- Transferir el riesgo (por ejemplo, tercerizar con alguien más preparado).
Aceptar el riesgo (cuando es menor o no se puede tratar).
¿Quién implementa los controles ISO 27001?
Un error común es pensar que solo el área de tecnología se ocupa de esto. Y si bien muchos controles tienen base tecnológica, también hay aspectos físicos, organizacionales y humanos que requieren la participación de las distintas áreas.
Un buen sistema de gestión de la seguridad de la información se construye en equipo.
¿Por dónde empezar?
Iniciar el trabajo sobre los riesgos y controles de ISO 27001 puede parecer complejo, pero el proceso se vuelve más claro si se estructura por etapas. El primer paso clave es identificar los activos de información: es decir, todo aquello que tenga valor para la organización en términos de datos, conocimiento o soporte a los procesos. Esto incluye no solo archivos digitales, sino también documentos físicos, sistemas, bases de datos, dispositivos, personas con conocimiento clave y servicios tercerizados.
Una vez identificados los activos, se analizan las amenazas y vulnerabilidades a las que están expuestos. Por ejemplo: ¿Qué pasaría si se pierde un documento crítico? ¿Si alguien accede sin autorización a un sistema? ¿Si un proveedor falla en proteger cierta información?
Con esta información se realiza una evaluación de riesgos, que consiste en estimar la probabilidad de que ocurra un incidente y el impacto que tendría para la organización. Esto permite priorizar los riesgos más relevantes y definir cómo se van a tratar: si se van a evitar, reducir, transferir o aceptar.
En función del tratamiento elegido, se seleccionan los controles del Anexo A que resulten pertinentes. Estos controles pueden ser organizativos, tecnológicos, físicos o vinculados a las personas, y deben quedar documentados en la Declaración de Aplicabilidad (SoA), que justifica su implementación o exclusión.
Este proceso inicial no solo responde a un requisito de la norma, sino que ayuda a la organización a tener una visión clara de sus puntos críticos, fortalecer su capacidad de respuesta y tomar decisiones estratégicas en seguridad de la información.
¿Querés saber cómo sería aplicar estos controles en tu organización?
Te acompañamos desde la planificación hasta la auditoría.
