En breve: El Anexo A de ISO 27001:2022 reúne 93 controles de seguridad agrupados en 4 categorías: organizativos (37), personas (8), físicos (14) y tecnológicos (34). No se aplican todos por igual: cada empresa selecciona los que necesita según su análisis de riesgos y lo justifica en la Declaración de Aplicabilidad (SoA).
¿Qué es el Anexo A de ISO 27001?
Cuando reviso el Anexo A con un cliente por primera vez, suele imaginarse una lista cerrada de tareas que hay que marcar una a una. No es exactamente así. El Anexo A de ISO 27001 es un catálogo normativo de controles de seguridad de la información: 93 medidas concretas (políticas, procesos técnicos, medidas físicas, obligaciones para las personas) que una organización puede aplicar para reducir sus riesgos. La norma ISO/IEC 27001 exige que la empresa las revise todas y decida, con criterio, cuáles le corresponden. La guía de implantación de cada uno de esos controles —cómo ponerlo en marcha en la práctica— está en la norma hermana ISO/IEC 27002:2022, que conviene tener a mano como manual de consulta mientras se trabaja el Anexo A.
Es importante entender esto desde el principio: el Anexo A no es una checklist obligatoria al cien por cien. Es un menú de referencia. Tu empresa puede excluir controles que no le apliquen (por ejemplo, medidas sobre desarrollo de software si no desarrollas software propio) siempre que lo justifiques documentalmente. Y puede añadir controles adicionales si su contexto lo exige. Esa flexibilidad es precisamente lo que hace que ISO 27001 sirva tanto para una asesoría de diez personas como para una industrial con planta de producción.
¿Cómo se organizan los 93 controles en 4 categorías?
La versión 2022 de la norma simplificó la estructura anterior y agrupó los 93 controles en 4 temas o categorías, frente a los 14 dominios de la edición de 2013. Esta reorganización facilita mucho el trabajo, porque en lugar de moverte entre catorce bloques dispersos, trabajas sobre cuatro grandes bloques con una lógica clara: qué decide la organización, qué depende de las personas, qué ocurre en el espacio físico y qué se resuelve con tecnología.
| Categoría | Nº de controles | Qué cubre, en términos generales |
|---|---|---|
| Organizativos | 37 | Políticas de seguridad, roles y responsabilidades, gestión de proveedores, gestión de incidentes, continuidad de negocio, relación con autoridades, inventario y clasificación de la información |
| Personas | 8 | Selección de personal, condiciones de contratación, formación y concienciación, acuerdos de confidencialidad, teletrabajo, procesos disciplinarios |
| Físicos | 14 | Perímetros de seguridad, control de entradas, protección ante amenazas ambientales, escritorio despejado y pantalla limpia, eliminación segura de equipos y soportes |
| Tecnológicos | 34 | Control de acceso, cifrado, seguridad de redes, protección contra malware, copias de seguridad, monitorización, seguridad en la nube, prevención de fuga de datos |
Controles organizativos: la base de todo (37)
Es la categoría más numerosa y, en mi experiencia, la que más cuesta a las pymes al principio porque exige decisiones de gestión antes que herramientas técnicas: quién es responsable de qué, cómo se gestiona a los proveedores que tratan tus datos, cómo se responde ante un incidente, qué se hace si un empleado sale de la empresa. No requieren grandes inversiones, pero sí disciplina documental y compromiso de la dirección.
Controles de personas: el eslabón humano (8)
Solo 8 controles, pero cubren algo que suele fallar más que la tecnología: la formación, la concienciación, las condiciones al contratar y al desvincular a alguien, y el trabajo remoto. Una pyme con teletrabajo habitual necesita tener esto bien resuelto, porque es donde suelen aparecer los incidentes por descuido (contraseñas compartidas, portátiles sin cifrar, correos de phishing que cuelan).
Controles físicos: lo que se ve (14)
Aquí entran las medidas sobre el espacio de trabajo: accesos controlados a oficinas y servidores, protección ante incendios o cortes de suministro, y hábitos como el escritorio despejado o la eliminación segura de discos y documentos en papel antes de tirarlos. En negocios con oficina física y almacén de documentación, esta categoría no se puede pasar por alto.
Controles tecnológicos: la categoría más grande (34)
Con 34 controles, es la segunda categoría en volumen y la que concentra casi todo lo que asociamos con "ciberseguridad": gestión de accesos, cifrado, copias de seguridad, protección contra malware, monitorización de sistemas y seguridad en servicios cloud. Muchas pymes ya tienen aplicada parte de esta categoría sin saberlo (un antivirus, copias de seguridad periódicas, contraseñas robustas), pero el Anexo A exige que esas prácticas estén documentadas, revisadas y sostenidas en el tiempo, no solo aplicadas de forma intuitiva.
¿Qué cambió respecto a los 114 controles de la versión 2013?
La edición de 2013 tenía 114 controles repartidos en 14 dominios. La revisión de 2022 los redujo a 93 mediante un trabajo de fusión: varios controles que trataban aspectos muy próximos se unificaron en uno solo, y la estructura pasó de 14 dominios a 4 temas, mucho más manejables. Si tu empresa ya certificó con la versión 2013, la transición no implica empezar de cero: la mayoría de tus controles existentes siguen siendo válidos, solo hay que reordenarlos bajo la nueva clasificación.
Lo más relevante del cambio no es la reducción numérica, sino los 11 controles completamente nuevos que se incorporaron para cubrir riesgos que en 2013 apenas existían o no se contemplaban de forma explícita. Entre ellos destacan la inteligencia de amenazas (threat intelligence), la seguridad en el uso de servicios en la nube y el enmascaramiento de datos (data masking). Son buena muestra de hacia dónde ha evolucionado el riesgo real de las organizaciones en la última década: menos servidores propios, más nube; menos reacción ante incidentes, más anticipación.
¿Cómo se seleccionan los controles del Anexo A para mi empresa?
Aquí es donde muchas pymes se equivocan de enfoque: no hay que "aplicar los 93 controles" como si fuera un examen que se aprueba por acumulación. El proceso correcto empieza al revés, por el análisis de riesgos. Primero identificas qué activos de información manejas (datos de clientes, contratos, sistemas críticos), qué amenazas pueden afectarles y qué probabilidad e impacto tiene cada una. Solo después revisas el catálogo de 93 controles y seleccionas los que efectivamente mitigan esos riesgos concretos.
Este orden importa porque evita dos errores típicos: implantar controles caros y complejos que no reducen ningún riesgo real de tu negocio, o dejar fuera un control imprescindible porque "parecía que no aplicaba". El análisis de riesgos es el filtro; el Anexo A es el catálogo del que se elige.
¿Qué es la Declaración de Aplicabilidad y por qué es obligatoria?
Una vez decidido qué controles aplican, esa decisión no se queda en una conversación interna: hay que documentarla. Ese documento se llama Declaración de Aplicabilidad (SoA, por sus siglas en inglés) y es obligatorio en toda certificación ISO 27001. En la SoA se recorren los 93 controles del Anexo A uno por uno y se justifica, para cada uno, si se aplica o se excluye, y por qué. Es probablemente el documento que más miran los auditores, porque en él se ve de un vistazo si el análisis de riesgos y la selección de controles están realmente conectados o si es un ejercicio de rellenar casillas.
¿Qué documentos necesito para implantar el Anexo A en mi pyme?
El Anexo A por sí solo no certifica nada: cada control seleccionado necesita, además, evidencia documental de que se aplica en la práctica. Eso incluye políticas, procedimientos, registros de formación, contratos con cláusulas de confidencialidad o registros de incidentes, entre otros. Si quieres ver el listado completo de lo que un auditor va a pedirte —más allá de la SoA— te dejo esta guía de documentos obligatorios de ISO 27001:2022, que conviene revisar en paralelo mientras trabajas la selección de controles.
¿Por dónde empiezo si mi pyme quiere certificarse?
Si acabas de llegar a ISO 27001 y el Anexo A te parece un muro de 93 puntos, te lo resumo así: no hace falta abordarlo entero de golpe. Empieza por el análisis de riesgos, deja que él te diga qué controles necesitas de verdad, documenta esa decisión en la SoA y ve construyendo la evidencia control a control. Es un trabajo de meses, no de semanas, pero cada paso queda registrado y sirve para la auditoría final.
En mi trabajo con pymes españolas que se enfrentan por primera vez a esta norma, el error más caro no es técnico, es de planificación: empezar por la tecnología sin haber hecho antes el análisis de riesgos. Si quieres que revisemos juntos por dónde empezar en tu caso, en mi servicio de consultoría ISO 27001 trabajo precisamente ese primer tramo: riesgos, selección de controles y SoA, antes de que gastes un euro en herramientas que igual no necesitas.