ISO 27001

Seguridad de redes según ISO 27001

Por Equipo GRC360 24 de March, 2026 11 min de lectura
Seguridad redes ISO 27001 controles A.8.20 A.8.22 A.8.23 segmentación

La seguridad de redes es uno de los pilares técnicos fundamentales de cualquier SGSI. ISO 27001:2022 dedica cuatro controles específicos (A.8.20 a A.8.23) a la protección de la infraestructura de red, reconociendo que la red es el sistema nervioso central de la organización y uno de los principales vectores de ataque.

Esta guía explica qué exige ISO 27001 para la seguridad de redes, cómo implementar los controles clave y qué evidencias necesitas para superar una auditoría. Complementa con los controles de gestión de identidades y acceso y seguridad en la nube.

Los controles de seguridad de redes en ISO 27001:2022

ControlNombreDescripción
A.8.20Seguridad de redesLas redes deben gestionarse y controlarse para proteger la información de los sistemas y aplicaciones
A.8.21Seguridad de los servicios de redLos servicios de red deben tener mecanismos de seguridad identificados e incluidos en acuerdos con proveedores
A.8.22Segregación de redesLos grupos de servicios de información, usuarios y sistemas deben estar segregados en redes
A.8.23Filtrado webEl acceso a sitios web externos debe gestionarse para reducir la exposición a contenido malicioso

Control A.8.20: Seguridad de redes

Este control establece los fundamentos de la gestión de la seguridad de red. Requiere que la organización tenga identificada y documentada la topología de red, asigne responsabilidades claras para la gestión de la red e implemente controles para proteger la confidencialidad, integridad y disponibilidad de los datos en tránsito.

Implementación práctica

  • Diagrama de red actualizado: Documentación de la topología física y lógica, incluyendo zonas de seguridad
  • Firewall perimetral: Control del tráfico entrante y saliente basado en reglas definidas por necesidad de negocio
  • IDS/IPS: Sistema de detección/prevención de intrusiones para identificar actividad maliciosa
  • Logs de red: Registro del tráfico de red para análisis forense y detección de incidentes
  • Cifrado en tránsito: TLS/HTTPS para comunicaciones sensibles; VPN para acceso remoto

Control A.8.22: Segregación de redes

La segmentación de red es uno de los controles más efectivos para limitar el impacto de un ataque. El concepto central es dividir la red en zonas con diferentes niveles de confianza y controlar el tráfico entre zonas.

Modelo de zonas de seguridad típico

ZonaDescripciónEjemplos de sistemasNivel de acceso
InternetRed pública sin controlUsuarios externosSin acceso directo a sistemas internos
DMZZona desmilitarizadaServidores web, correo públicoAccesible desde internet con restricciones
Red corporativaRed interna generalEstaciones de trabajoAcceso filtrado a servidores y servicios
Red de servidoresSistemas de back-endBases de datos, aplicacionesSolo desde red corporativa con reglas estrictas
Red de gestión (OOB)Gestión de infraestructuraConsolas de administraciónSolo para administradores, aislada
Red IoT / OTDispositivos operacionalesCámaras, sensores, impresorasAislada de sistemas críticos
El movimiento lateral: La mayor amenaza que mitiga la segmentación es el movimiento lateral — la capacidad de un atacante de moverse entre sistemas una vez que ha comprometido uno. Sin segmentación, un endpoint comprometido puede comprometer toda la red. Con segmentación, el daño queda contenido en la zona afectada.

Control A.8.23: Filtrado web

El filtrado web controla qué sitios web pueden visitar los usuarios desde la red corporativa. Es una herramienta eficaz para reducir la exposición a sitios de phishing, distribución de malware y comunicaciones de command-and-control (C2). Las soluciones modernas (Secure Web Gateway) permiten categorización de URLs, inspección SSL/TLS, protección DNS y registro de actividad.

Evidencias para la auditoría

  • Diagrama de arquitectura de red con zonas de seguridad identificadas
  • Ruleset del firewall (o resumen ejecutivo) con revisión periódica documentada
  • Política de seguridad de redes aprobada
  • Evidencia de monitoreo de red (alertas IDS/IPS, reportes)
  • Política de filtrado web con categorías bloqueadas documentadas

Documenta tus controles de red en GRC360

GRC360 te permite registrar los controles técnicos de red, vincularlos a los controles A.8.20–A.8.23 del Anexo A, gestionar evidencias y generar reportes de cumplimiento para la auditoría.

Probar Gratis

Complementa con los controles de prevención de pérdida de datos (DLP), respaldo y recuperación y gestión de identidades y acceso.

SGSI Controles Criptografía
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis