Controles tecnológicos del Anexo A ISO 27001 (A.8): guía completa
Los controles tecnológicos del Anexo A de ISO 27001:2022 conforman la categoría A.8, que concentra 34 controles orientados a la seguridad de los sistemas, redes, aplicaciones y dispositivos. Es la categoría más extensa del Anexo A y la que más trabajo técnico requiere durante la implementación.
En esta guía agrupamos los 34 controles por función para facilitar su comprensión e implementación, con referencias cruzadas a los controles relacionados de acceso lógico y gestión de riesgos.
Resumen de los 34 controles tecnológicos
| Rango | Grupo funcional | Cantidad |
|---|---|---|
| A.8.1–A.8.8 | Dispositivos y endpoints | 8 |
| A.8.2–A.8.5, A.8.18 | Control de acceso lógico | 5 |
| A.8.24 | Criptografía | 1 |
| A.8.20–A.8.23, A.8.25–A.8.26 | Seguridad de red | 6 |
| A.8.25–A.8.31 | Seguridad en desarrollo | 7 |
| A.8.15–A.8.17, A.8.34 | Monitoreo y operaciones | 4 |
| Otros | Gestión de vulnerabilidades y configuración | 3 |
Grupo 1: Dispositivos y endpoints (A.8.1–A.8.8)
A.8.1 — Dispositivos terminales de usuario
Protege los equipos de escritorio, portátiles, tablets y smartphones que acceden a información de la organización. Requiere políticas de uso, cifrado de disco, gestión de parches y bloqueo automático de pantalla.
A.8.2 — Derechos de acceso privilegiado
Las cuentas con privilegios elevados (administradores, DBA, root) deben gestionarse con controles adicionales. Aplica el principio de mínimo privilegio: nadie debe usar cuentas privilegiadas para tareas cotidianas. Ver también control de acceso y mínimo privilegio.
A.8.3 — Restricción del acceso a la información
El acceso a sistemas e información debe restringirse según la política de control de acceso y los resultados de la evaluación de riesgos.
A.8.4 — Acceso al código fuente
El acceso al código fuente, bibliotecas de código y herramientas de desarrollo debe controlarse estrictamente para prevenir modificaciones no autorizadas, introducción de código malicioso y robo de propiedad intelectual.
A.8.5 — Autenticación segura
Implementa mecanismos de autenticación proporcionales al nivel de riesgo. Para sistemas críticos, exige autenticación multifactor (MFA). Define políticas de contraseñas robustas: longitud mínima, complejidad, historial y bloqueo por intentos fallidos.
A.8.6 — Gestión de la capacidad
Monitorea y planifica la capacidad de los recursos tecnológicos (almacenamiento, CPU, ancho de banda) para garantizar disponibilidad. Incluye proyecciones de crecimiento y alertas cuando se superen umbrales.
A.8.7 — Protección contra malware
Implementa controles de detección, prevención y recuperación frente a malware, combinando soluciones técnicas (antivirus, EDR, filtrado de correo) con concienciación del usuario sobre phishing e ingeniería social.
A.8.8 — Gestión de vulnerabilidades técnicas
Establece un proceso para identificar, evaluar y remediar vulnerabilidades en el software utilizado. Incluye suscripción a fuentes de información sobre vulnerabilidades, evaluación de criticidad y plazos de parcheo según el nivel de riesgo.
Grupo 2: Control de acceso lógico
A.8.9 — Gestión de la configuración
Define, documenta, implementa y monitorea configuraciones seguras (hardening) para hardware, software, servicios y redes. Utiliza líneas base de configuración y verifica regularmente que no hayan sido alteradas.
A.8.10 — Eliminación de información
Cuando ya no se necesite información, elimínala de forma segura. Esto aplica a medios de almacenamiento (borrado seguro, destrucción física), archivos digitales y copias en la nube.
A.8.11 — Enmascaramiento de datos
Aplica técnicas de enmascaramiento, seudonimización o anonimización cuando se usen datos reales en entornos no productivos (desarrollo, pruebas, análisis) para proteger la privacidad.
A.8.12 — Prevención de fuga de datos (DLP)
Implementa medidas para detectar y prevenir la divulgación no autorizada de información sensible. Las soluciones DLP (Data Loss Prevention) monitorizan el correo electrónico, la transferencia de archivos y los dispositivos de almacenamiento extraíble.
Grupo 3: Criptografía (A.8.24)
A.8.24 — Uso de criptografía
Define y aplica políticas de uso de criptografía para proteger la confidencialidad, autenticidad e integridad de la información. Cubre el cifrado de datos en reposo, el cifrado en tránsito (TLS), la gestión de claves y el uso de firmas digitales. Consulta la guía completa sobre criptografía y cifrado según ISO 27001.
Grupo 4: Seguridad de red (A.8.20–A.8.23)
A.8.20 — Seguridad de redes
Protege las redes contra amenazas externas e internas. Incluye firewalls, sistemas de detección y prevención de intrusiones (IDS/IPS), segmentación de red y monitoreo del tráfico.
A.8.21 — Seguridad de los servicios de red
Para cada servicio de red (propio o contratado), define y verifica los mecanismos de seguridad, niveles de servicio y requisitos de gestión.
A.8.22 — Segregación de redes
Segmenta las redes según las necesidades de negocio y los niveles de confianza. Separa la red de producción de la de desarrollo, la red de usuarios de la de servidores, y la red interna de la zona desmilitarizada (DMZ).
A.8.23 — Filtrado web
Gestiona el acceso de los usuarios a sitios web externos para reducir la exposición a contenido malicioso, phishing y malware distribuido a través del navegador.
Grupo 5: Seguridad en el desarrollo (A.8.25–A.8.31)
| Control | Nombre | Enfoque |
|---|---|---|
| A.8.25 | Ciclo de vida de desarrollo seguro | Integra seguridad desde el diseño (Security by Design) |
| A.8.26 | Requisitos de seguridad de las aplicaciones | Define requisitos de seguridad antes de desarrollar |
| A.8.27 | Principios de arquitectura segura | Aplica principios como defensa en profundidad, mínimo privilegio |
| A.8.28 | Codificación segura | Estándares de codificación para prevenir vulnerabilidades (OWASP) |
| A.8.29 | Pruebas de seguridad en desarrollo | SAST, DAST, pruebas de penetración en aplicaciones propias |
| A.8.30 | Desarrollo externalizado | Controles sobre proveedores de desarrollo externo |
| A.8.31 | Separación de entornos | Distingue y protege entornos de desarrollo, prueba y producción |
Grupo 6: Monitoreo y operaciones (A.8.15–A.8.17)
A.8.15 — Registro de actividad (logging)
Genera, protege y retiene registros de eventos de seguridad relevantes: accesos, cambios de configuración, errores, eventos de seguridad. Los registros deben protegerse contra alteración y conservarse por el tiempo definido en la política.
A.8.16 — Actividades de monitoreo
Monitorea redes y sistemas para detectar comportamientos anómalos que puedan indicar un incidente de seguridad. Un SIEM (Security Information and Event Management) centraliza y correlaciona los registros.
A.8.17 — Sincronización de relojes
Sincroniza los relojes de todos los sistemas de procesamiento de información usando una fuente de tiempo fiable (NTP). Es fundamental para correlacionar eventos durante la investigación de incidentes.
Controles adicionales relevantes
A.8.13 — Copia de seguridad (backup)
Establece y verifica regularmente las copias de seguridad de la información, software y sistemas. Documenta el plan de respaldo con frecuencia, retención, ubicación y procedimiento de restauración.
A.8.14 — Redundancia de instalaciones
Implementa redundancia en las instalaciones de procesamiento para garantizar disponibilidad según los requisitos del negocio.
A.8.32 — Gestión de cambios
Controla los cambios en instalaciones y sistemas de procesamiento de información mediante procedimientos formales que incluyen evaluación de impacto, pruebas y aprobación.
A.8.33 — Información de prueba
Selecciona, protege y gestiona cuidadosamente la información utilizada en pruebas.
A.8.34 — Protección de sistemas de información durante pruebas de auditoría
Las pruebas de auditoría y actividades de verificación que involucren sistemas en producción deben planificarse y acordarse para minimizar interrupciones.
Gestiona los 34 controles tecnológicos con GRC360
GRC360 mapea automáticamente tus controles tecnológicos al Anexo A, genera tu SoA y hace seguimiento del estado de implementación de cada control A.8.
Crear Cuenta GratisComplementa esta guía con los artículos sobre controles organizacionales (A.5), controles de personas (A.6) y criptografía y cifrado.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis