Los 14 dominios del Anexo A de ISO 27001 explicados

El Anexo A de ISO 27001 es, sin duda, la sección más consultada de toda la norma. Contiene el catálogo de controles de seguridad que las organizaciones deben evaluar e implementar según su análisis de riesgos. Con la actualización de 2022, la estructura cambió significativamente: pasamos de 114 controles en 14 dominios a 93 controles en 4 categorías temáticas. Sin embargo, muchos profesionales aún hacen referencia a los "14 dominios" de la versión 2013, por lo que en este artículo cubriremos ambas estructuras y su mapeo.

Si aún no conoces la norma en general, te recomendamos empezar por nuestra guía completa de ISO 27001 antes de sumergirte en los controles del Anexo A.

La evolución del Anexo A: de 2013 a 2022

La versión 2013 organizaba los controles en 14 dominios (numerados del A.5 al A.18), cada uno representando un área de seguridad de la información. La versión 2022 reestructuró estos controles en 4 temas más amplios, eliminó duplicidades y agregó 11 controles nuevos que reflejan las amenazas modernas.

Los 4 temas del Anexo A (versión 2022)

La nueva estructura agrupa los 93 controles de manera más intuitiva y funcional:

Tema A.5 — Controles organizacionales (37 controles)

Estos controles abarcan las políticas, procedimientos y estructuras organizacionales necesarias para gestionar la seguridad de la información. Incluyen:

• A.5.1 Políticas de seguridad de la información: Definición y aprobación de la política general y políticas temáticas.
• A.5.2 Roles y responsabilidades: Asignación clara de funciones de seguridad en toda la organización.
• A.5.7 Inteligencia de amenazas: (Nuevo en 2022) Recopilación y análisis de información sobre amenazas relevantes.
• A.5.23 Seguridad en servicios en la nube: (Nuevo en 2022) Gestión de riesgos asociados al uso de servicios cloud.
• A.5.29 Seguridad durante interrupciones: Continuidad de la seguridad de la información ante eventos disruptivos.
• A.5.30 Preparación TIC para la continuidad del negocio: (Nuevo en 2022) Asegurar que la infraestructura TIC pueda recuperarse.

Estos controles son fundamentales porque establecen el marco de gobernanza sobre el cual operan todos los demás. Una política de seguridad bien definida y comunicada es el pilar sobre el que se construye todo el SGSI.

Tema A.6 — Controles de personas (8 controles)

Abordan la seguridad desde la perspectiva del recurso humano, reconociendo que las personas son tanto el eslabón más débil como la primera línea de defensa:

• A.6.1 Selección (screening): Verificación de antecedentes antes de la contratación.
• A.6.2 Términos y condiciones del empleo: Cláusulas de confidencialidad y responsabilidades de seguridad en los contratos.
• A.6.3 Concienciación y formación: Programas de capacitación en seguridad de la información para todo el personal.
• A.6.5 Responsabilidades tras la terminación: Procedimientos para el offboarding seguro de empleados.
• A.6.7 Trabajo remoto: Controles específicos para teletrabajo y acceso remoto.
• A.6.8 Reporte de eventos de seguridad: Mecanismos para que el personal reporte incidentes y vulnerabilidades.

Tema A.7 — Controles físicos (14 controles)

Protegen los activos físicos de la organización: instalaciones, equipos y medios de almacenamiento:

• A.7.1 Perímetro de seguridad física: Barreras físicas para proteger áreas que contienen información sensible.
• A.7.4 Monitoreo de seguridad física: (Nuevo en 2022) Vigilancia continua de las instalaciones.
• A.7.7 Escritorio y pantalla limpia: Políticas de escritorio limpio y bloqueo de pantalla.
• A.7.9 Seguridad de activos fuera de las instalaciones: Protección de equipos portátiles y medios en tránsito.
• A.7.10 Medios de almacenamiento: Gestión del ciclo de vida de medios removibles.
• A.7.14 Eliminación segura de equipos: Procedimientos de destrucción o sanitización antes del descarte.

Tema A.8 — Controles tecnológicos (34 controles)

Estos son los controles más técnicos y suelen ser los que la gente asocia directamente con "ciberseguridad":

• A.8.1 Dispositivos de punto final: Gestión de seguridad en endpoints (laptops, móviles, estaciones de trabajo).
• A.8.5 Autenticación segura: Mecanismos de autenticación robustos, incluyendo MFA.
• A.8.9 Gestión de la configuración: (Nuevo en 2022) Configuraciones seguras y baseline para sistemas.
• A.8.10 Eliminación de información: (Nuevo en 2022) Borrado seguro de datos cuando ya no son necesarios.
• A.8.11 Enmascaramiento de datos: (Nuevo en 2022) Técnicas para proteger datos sensibles en entornos de prueba.
• A.8.12 Prevención de fuga de datos (DLP): (Nuevo en 2022) Controles para evitar la exfiltración no autorizada de información.
• A.8.16 Monitoreo de actividades: (Nuevo en 2022) Detección de comportamientos anómalos en redes y sistemas.
• A.8.23 Filtrado web: (Nuevo en 2022) Control de acceso a sitios web potencialmente maliciosos.
• A.8.24 Uso de criptografía: Cifrado de datos en reposo y en tránsito.
• A.8.28 Codificación segura: (Nuevo en 2022) Prácticas de desarrollo seguro de software.

El sistema de atributos: una innovación de 2022

Una de las mejoras más significativas de la versión 2022 es la introducción de un sistema de atributos que permite filtrar y agrupar los controles de múltiples maneras:

Este sistema facilita enormemente la integración con otros marcos como NIST CSF, ya que el atributo "Concepto de ciberseguridad" utiliza las mismas 5 funciones del marco NIST.

Los 14 dominios históricos (versión 2013) y su mapeo

Para quienes aún trabajan con la estructura de 2013 o necesitan entender la transición, aquí están los 14 dominios originales:

1. A.5 Políticas de seguridad → Ahora en A.5 (Organizacionales)
2. A.6 Organización de la seguridad → Distribuido entre A.5 y A.6
3. A.7 Seguridad de RRHH → Ahora en A.6 (Personas)
4. A.8 Gestión de activos → Distribuido entre A.5 y A.8
5. A.9 Control de acceso → Ahora en A.8 (Tecnológicos) y A.5
6. A.10 Criptografía → Ahora en A.8 (Tecnológicos)
7. A.11 Seguridad física → Ahora en A.7 (Físicos)
8. A.12 Seguridad de operaciones → Ahora en A.8 (Tecnológicos)
9. A.13 Seguridad de comunicaciones → Ahora en A.8 (Tecnológicos)
10. A.14 Adquisición y desarrollo → Ahora en A.8 (Tecnológicos)
11. A.15 Relaciones con proveedores → Ahora en A.5 (Organizacionales)
12. A.16 Gestión de incidentes → Ahora en A.5 (Organizacionales)
13. A.17 Continuidad del negocio → Ahora en A.5 (Organizacionales)
14. A.18 Cumplimiento → Ahora en A.5 (Organizacionales)

¿Cómo decidir qué controles implementar?

ISO 27001 no exige que implementes los 93 controles. Lo que exige es que justifiques cada decisión en la Declaración de Aplicabilidad (SoA). El proceso es:

1. Realiza tu análisis de riesgos — Identifica amenazas y vulnerabilidades reales de tu organización. Puedes aprender más sobre este proceso en nuestro artículo sobre análisis de riesgos en ciberseguridad.
2. Mapea riesgos a controles — Cada riesgo inaceptable necesita al menos un control que lo mitigue.
3. Evalúa la aplicabilidad — Algunos controles pueden no aplicar a tu contexto (por ejemplo, A.7.1 si operas 100% en la nube).
4. Documenta en la SoA — Registra cada control, su estado (implementado/no aplicable/pendiente) y la justificación.

Controles más críticos para empresas chilenas

Basándonos en el panorama de amenazas local y los requisitos regulatorios chilenos, estos son los controles que consideramos de mayor prioridad para organizaciones en Chile:

Implementa los controles del Anexo A con GRC360

Gestionar 93 controles manualmente —con planillas Excel y documentos Word— es posible pero ineficiente y propenso a errores. Una plataforma GRC como GRC360 te permite configurar tu SoA de manera visual, asignar responsables a cada control, adjuntar evidencia y generar reportes de cumplimiento automáticos. Si quieres ver cómo funciona, revisa nuestro tutorial de implementación del SGSI.