Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Clase 9 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Resumen

¿Qué es el anexo A de la norma ISO 27001?

El Anexo A de la norma ISO 27001 es un catálogo esencial de controles que ofrece una lista de elementos fundamentales para la seguridad de la información en una organización. Aunque no todos los controles se aplican a todas las organizaciones, debido a diferencias de tamaño y alcance de los sistemas de gestión de seguridad, el Anexo A proporciona una base sólida para determinar qué controles son relevantes para cada empresa.

¿Cuáles son los grupos principales de controles en el Anexo A?

Políticas de seguridad de la información

Este primer grupo de controles, que incluye dos controles de un total de ciento catorce, establece las bases para la seguridad de la información. Se centra en cómo deben ser escritas y revisadas las políticas de seguridad, y es el primer paso para implementar un sistema de gestión de seguridad de la información.

Organización de seguridad de la información

Con siete controles, este grupo abarca la asignación de responsabilidades dentro de la organización. Define quién será el líder y las funciones específicas relacionadas con la gestión de seguridad. También aborda el uso y seguridad de dispositivos móviles y temas de teletrabajo debido a que estos representan riesgos potenciales.

Seguridad de los recursos humanos

Este grupo incluye seis controles y se enfoca en las fases de contratación y desvinculación de empleados. Considera estudios de seguridad pre-empleo, el control de sistemas de acceso durante el empleo, y las medidas a tomar cuando un empleado deja la organización.

¿Qué otras áreas cubre el Anexo A?

Gestión de activos

La gestión de activos es crucial. Consiste en mantener un inventario detallado de activos físicos y asegurar su correcto uso. Además, incluye la clasificación de activos de información en categorías como pública o confidencial, lo cual es vital para el sistema de gestión de seguridad.

Controles de acceso

Este grupo es fundamental para gestionar el ciclo de vida del acceso a los sistemas de información. Incluye la asignación de roles y perfiles de usuario, y monitorización continua para ajustar niveles de acceso según sea necesario.

Criptografía

Con dos controles, se asegura la confidencialidad en el intercambio de información con terceras partes. La criptografía es vital para mantener la integridad de la información compartida entre organizaciones.

Seguridad del entorno físico

Compuesto por quince controles, este grupo aborda cómo asegurar las instalaciones físicas de la empresa. Incluye restringir el acceso a áreas críticas como tesorería y servidores, implementar controles de acceso biométricos, y asegurar ordenadores portátiles con medidas físicas como guayas. Además, trata el descarte seguro de información y la práctica de mantener un escritorio y pantalla despejados para evitar fuga de información.

Recomendaciones prácticas para implementar controles

Evaluar necesidades específicas de la organización antes de aplicar controles.
Priorizar áreas críticas para la seguridad de la información, como entornos de trabajo remotos y gestión de dispositivos móviles.
Capacitar a los empleados sobre la importancia del bloqueo de equipos y la gestión de información confidencial.
Realizar auditorías regulares para ajustar controles de acceso y asegurar que se mantengan adecuados al contexto actual de la organización.

El éxito en la implementación del Anexo A radica en su capacidad de adaptarse a las necesidades específicas de cada organización, proporcionando una estructura robusta y flexible para la gestión de la seguridad de la información.

Arturo Sanchez

student•

Jose Luis Quintero Sanchez

student•

HOla,! Wow esta increíble. ¿Qué programa usaste?

Arturo Sanchez

student•

yo uso la app “Xmind” , pero tambien puedes usar “MIro” esta mas optimizada que xmind, pero creo que Miro solo te permite crear 3 boards.

Miguel Salgado

student•

El anexo A de la ISO 27001 contiene una lista de 114 controles de seguridad de la información de buenas prácticas. Deberá considerar cada uno de estos controles al formular su plan de tratamiento de riesgos. La descripción de la mayoría de los controles es bastante vaga, por lo que se recomienda que revise la ISO 27002, que contiene más información sobre su implementación.

Para cada uno de los 114 controles debe registrar:

Si es aplicable a sus actividades, procesos y riesgos de seguridad de la información.
Si lo has implementado o no.
Si lo ha considerado no aplicable, su justificación para hacerlo.
Para la mayoría de las organizaciones, los 114 controles serán aplicables, y es probable que ya hayan implementado algunos de ellos

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte

DANIEL TENOCH SANCHEZ GARCIA

student•

Fernando Alberto Velasquez Aguilera

student•

Excelente

Walter Omar Barrios Vazquez

student•

Introducción al Anexo A Provee una herramienta esencial para la gestión de la seguridad, una lista de los controles de seguridad que pueden ser usados para mejorar la SI en una organización.

Detalles Anexo A
- #1
  - ++GRUPO:++ Políticas de seguridad de la información.
  - ++DESCRIPCIÓN:++ Controles acerca de cómo deben ser escritas y revisadas las políticas.
  - ++CONTROLES:++ 2.
- #2
  - ++GRUPO:++ Organización de la seguridad de la información.
  - ++DESCRIPCIÓN:++ Controles acerca de cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo.
  - ++CONTROLES:++ 7.
- #3
  - ++GRUPO:++ Seguridad de los Recursos Humanos.
  - ++DESCRIPCIÓN:++ Controles antes, durante y después de emplear.
  - ++CONTROLES:++ 6.
- #4
  - ++GRUPO:++ Gestión de activos.
  - ++DESCRIPCIÓN:++ Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento.
  - ++CONTROLES:++ 10.
- #5
  - ++GRUPO:++ Control de acceso.
  - ++DESCRIPCIÓN:++ Controles para las políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.
  - ++CONTROLES:++ 14.
- #6
  - ++GRUPO:++ Criptografía.
  - ++DESCRIPCIÓN:++ Controles relacionados con la gestión de encriptación y claves.
  - ++CONTROLES:++ 2.
- #7
  - ++GRUPO:++ Seguridad física y del entorno.
  - ++DESCRIPCIÓN:++ Controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantalla despejadas, etc.
  - ++CONTROLES:++ 15.

Esteban Barra Quijada

student•

Buen aporte !! Gracias por compartir :)

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Tobias Sanjuan

student•

Elmer Padilla Espinoza

student•

Gracias por los datos.

Fernando Alberto Velasquez Aguilera

student•

Muchas gracias buen aporte

Erick Raúl Fernández González

student•

Qué pasa hoy en día con el concepto que muchas empresas estan optando para minimzar costos BYOD (Bring Your Own Devices). Cómo esto genera un impacto en la concienciación de los funcionarios.

Laprovittera Carlos

student•

Miguel Angel Reyes Moreno

student•

Resumen del Anexo A - Norma ISO 27001:2013

Vicente López Robles

student•

Y hablando del departamento de desarrollo, ¿como se maneja el riesgo ahora en home office si todos se tuvieron que descargar el código a sus equipos personales?

Enrique Devars

teacher•

Puede establecerse un protocolo de seguridad. Con el home office ahora se hace mucho de VPNs para garantizar la seguridad de la información.

Oscar Eduardo Delgado Ballesteros

student•

Además de clausulas de confidencialidad que protegen el know how de la empresa

Sergio Galeano Machado

student•

Si quiero empezar a implementar algunos puntos de esta norma,¿ por donde debo empezar?, ¿que es lo primero ?. En la empresa para la que trabajo me han solicitado algunos puntos de esta norma, pero ha sido difícil porque solo se ha limitado a contestar una encuesta y ya,pero realmente no hay conciencia de la seguridad de la información, piensan que es solo no perder datos y ya.

Sofia Cristina Leyva Ortecho

student•

En mi opinión debe estar involucradas todas las partes, como el profesor menciona debe existir un compromiso de parte de la alta dirección, muy a parte de que el tambien nos explica que por medio de charlas se debe generar conciencia en los empleados y esto es fundamental, para que ellos te apoyen en el proceso de lo contrario si no encuentras el correcto apoyo en todo el personal, seria solo un sistema de seguridad que quedaría en papeles

Piero Blanco

student•

Es una lista de 117 controles de seguridad que pueden ser usados en una organizacion para mejorar la Seguridad de la Informacion. . Ya que son vistas como buenas practicas y se adaptan a lo que la organizacion necesita. . Como auditores de la ISO, debemos: . -Registrar si estos controles, son aplicables a sus actividades, procesos y riesgos de seguridad de la información. . -Registrar si lo has implementado o no. . -Registrar si lo ha considerado no aplicable y su justificación para hacerlo. . -Para la mayoría de las organizaciones, los 114 controles serán aplicables, y es probable que ya hayan implementado algunos de ellos.

Jonathan Steven Cardozo Toro

student•

Este catalogo nos describe los controles del anexo A que debemos tener en cuenta y tomaremos los necesarios, el detalle de los controles se vera adelante.

#	Grupo	Descripción	Ctrl
1.	Políticas de seguridad de la información	Controles acerca de cómo deben ser escritas y revisadas las políticas	2
2.	Organización de la seguridad de la información	Controles acerca de cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo	7
3.	Seguridad de los Recursos Humanos	Controles antes, durante y después de emplear	6
4.	Gestión de activos	Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento	10
5.	Control de acceso	Controles para las políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario	14
6.	Criptografía	Controles relacionados con la gestión de encriptación y claves	2
7.	Seguridad física y del entorno	Controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantalla despejadas, etc.	15

Constsnza Romero

student•

Hola... tieniendo en cuenta el trabajo en alternancia, cómo se debería asegurar la información de los equipos de la compañía partiendo de la base que son equipos portátiles y que se deben transportar casa - oficina - casa?

German Dario Ramirez Tamara

student•

Saludos cordiales,

Con respecto a la pregunta, esto es inherente a varios grupos, iniciando con el 1er grupo se encuentra la revisión y posible actualización de la política , toda vez que posiblemente la empresa no contempló este cambio, en esta se debe ver reflejada las instrucciones (responsabilidad de TI / resposabilidad usuario) el segundo grupo de influencia es Gestión de activos, posiblemente ajustar su sistema de inventarios en donde exista una casilla de préstamo en domicilio (el campo puede ser las coordenadas de Google Maps) , otra alternativa es que existen soluciones como software que monitorizan el equipo (puede afectar el rendimiento de acuerdo a la cantidad de reglas)

3er grupo, Controles de acceso, Sí realizas enlaces VPN con el server de la empresa, debes colocarles claves seguras y realizar monitoreo_ (desactivar a personal desvinculado)_

Lo anterior es una vista muy por encima, y lo importante aquí es que las normas ISO permiten realizar este "upgrade" gracias a su ciclo PHVA, solo es cuestión de sentarse con los actores que intervienen en el proceso y realizar los "update" que requieras.

Saludos desde Colombia!!

Alejandro Barraza Montaño

student•

Hola Constsnza Romero, si entiendo bien tu duda, la forma de asegurar la información en dispositivos móviles que estén tele trabajando lo puedes/debes hacer básicamente basándote en estos 3 puntos:

El disco (HD, SSD, M2, etc) debe estar 100 % cifrado, esto ayudara a si el equipo es robado o extraviado, no puedan acceder a la información del mismo.
Debe contar con una política de puertos USB bloqueados (tanto para lectura como escritura)
Debe tener un cliente DLP para cualquier "fuga" de información, ya que este se puede configurar para que mande alertas cuando envías por correo o imprimes cierto tipo de información (SPI)

Espero te haya servido esta información, saludos

Nury Lorena Castro Bohorquez

student•

Se dona pero primero se debe realizar un borrado completo del disco de los pc :)

Kyb3r Cipher

student•

😀 Buena recomendación aunque una vez borrado el disco duro desfracmentarlo y rescribir datos aleatorios para evitar que se puedan volver a leer los datos

Javier Ramos

student•

Soy Yo o Con el teletrabajo que se disparo por culpa de la pandemia, este Grupo 2 es el que mas se debió implementar durante este 2020 y 21 muchas empresas ni se les ocurrió implementarlo, solo les importaba que los colaboradores se conecten desde sus casas y punto.

Piero Blanco

student•

++Accede a este link, para ver los apuntes de las clases anteriores++ https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Alejandra Espinosa

student•

Gracias!!!

Conny María Barrios Moreno

student•

¡Vaya! El enlace de invitación para este tablero ya no es válido...
¿Tal vez podrías pedir un enlace actualizado?

Rodrigo Andrés Gonzalez Aróstegui

student•

Considerando lo establecido en el Grupo 4, ¿el "inventario de activos de la información" del SGSI debe contener los mismos elementos que gestiona el departamento de TI? (por ejemplo, si tengo un sistema que funciona con 4 instancias de bases de datos en producción, ¿debería considerar cada una de esas instancias como un activo dentro del inventario o también puedo hacer una abstracción en el inventario de activos de la información, incorporándolo sólo como un activo denominado "Base de datos del sistema X"?

Alex Tovar

teacher•

Hola @rognark. La respuesta para tu pregunta puntual, es la que pones al final, es decir, para el inventario de los activos de información bastaría con colocar el nombre de la base de datos y el sistema que soporta. El otro detalle de las instancias, hace parte de la CMDB de la plataforma tecnológica.

ISABEL CRISTINA CARVAJAL SOSA

student•

donde puedo conocer los controles de cada grupo del anexo A

Luis Miguel Trujillo Alarcón

student•

Saludos, me gusta mucho el tema de la SI y los beneficios que trae tanto para las organizaciones como a nivel personal... Quien de pronto tiene información de la nueva revisión de la norma "ISO / IEC 27001:2022" He escuchado que han cambiado algunos aspectos empezando que ya no sería 114 controles sino 93 controles creo.

Les agradezco demasiado que la puedan compartir ¡Feliz día!

Ardanys Canchila Mercado

student•

Estructura ISO 27001:2022 La nueva estructura refleja la estructura de normas como ISO 9000, ISO 20000 y la ISO 22301.

Cuenta con 93 controles en 4 dominios: 1. Organizacional (37 controles)

2. Personas (8 controles)

3. Físico (14 controles)

4. Tecnológico (34 controles)

Se agregaron 11 nuevos controles:

1. Inteligencia de amenazas.

2. Seguridad de la información en la nube.

3. Continuidad del negocio.

4. Seguridad física y su supervisión.

5. Configuración.

6. Eliminación de la información.

7. Encriptación de datos.

8. Seguimiento y monitoreo.

9. Filtrado web.

10. Codificación segura.