Controles del Anexo A en ISO 27001 explicados con ejemplos industriales
ISO 27001 free download
Los controles del Anexo A en ISO 27001 contiene 93 controles que ayudan a proteger la información en una organización. Para el entorno industrial, su correcta aplicación es clave para prevenir incidentes, ataques y fallos operativos.
En esta guía te explicamos qué son, cómo están organizados y cómo aplicarlos con ejemplos reales en industrias.
¿Qué es el Anexo A de ISO 27001?
Es una lista de controles de seguridad clasificados en 4 grupos temáticos. Estos controles se usan como base para tratar los riesgos identificados durante el análisis de riesgos.
Los 4 bloques del Anexo A
- A.5 Controles organizacionales (37 controles): políticas, roles, gestión de riesgos, proveedores.
- A.6 Controles de personas (8 controles): capacitación, responsabilidades, confidencialidad.
- A.7 Controles físicos (14 controles): accesos físicos, protección contra incendios, zonas seguras.
- A.8 Controles tecnológicos (34 controles): cifrado, respaldo, monitoreo, seguridad en redes.
Ejemplos de aplicación en industrias
A.5 – Controles organizacionales
- 5.7: Política de seguridad para proveedores.
➡ Ejemplo: exigir cláusulas de confidencialidad a proveedores de mantenimiento. - 5.23: Gestión de riesgos.
➡ Ejemplo: integrar riesgos de seguridad de la información en el plan de continuidad operativa de planta.
A.6 – Controles de personas
- 6.3: Concienciación y formación.
➡ Ejemplo: capacitar a operarios sobre el uso seguro de dispositivos móviles conectados a sistemas SCADA.
A.7 – Controles físicos
- 7.4: Seguridad de oficinas, salas e instalaciones.
➡ Ejemplo: control de acceso físico con tarjetas en áreas de servidores y salas de control. - 7.10: Eliminación segura de activos.
➡ Ejemplo: destrucción física de discos duros de PLCs obsoletos.
A.8 – Controles tecnológicos
- 8.9: Seguridad de redes.
➡ Ejemplo: segmentar redes industriales (OT) y administrativas (IT) con firewalls. - 8.11: Uso seguro del software.
➡ Ejemplo: controlar versiones y accesos a software de automatización. - 8.28: Protección contra malware.
➡ Ejemplo: instalar antivirus en estaciones de ingeniería que acceden al DCS.
¿Todos los controles del anexo A en ISO 27001 deben aplicarse?
No. La norma permite aplicar solo los controles que sean necesarios según los riesgos identificados. Para justificar esta selección se utiliza la Declaración de Aplicabilidad (SoA).
Este documento muestra:
- Qué controles se aplican
- Cuáles se excluyen y por qué
- Cómo se implementan
Tips para implementar los controles del Anexo A en ISO 27001 en plantas industriales
- Involucrar al área de mantenimiento, producción y sistemas desde el inicio
- Hacer simulacros de recuperación ante incidentes
- Establecer un comité de seguridad que incluya personal técnico
- Documentar políticas simples, entendibles y auditables
Enlaces internos recomendados
Cliquea en el tema que quieras profundizar:
FAQs sobre los controles del Anexo A en ISO 27001
¿Qué significa Anexo A en ISO 27001?
Es un conjunto de controles de seguridad que ayudan a mitigar los riesgos identificados en la empresa. Son una guía, no una lista obligatoria completa.
¿Es necesario aplicar todos los controles?
No, solo los que correspondan según los riesgos específicos de tu organización. Lo clave es justificar cada decisión en la Declaración de Aplicabilidad.
¿Cómo adapto los controles a una fábrica?
Considerá tanto amenazas digitales (como malware) como físicas (acceso no autorizado a tableros o servidores). Adaptá los controles al contexto industrial específico.
¿Queres saber más sobre ISO 27001? Recorre todos los artículos de nuestra Guía completa sobre ISO 27001
¿Te gustó este contenido? Seguinos en nuestras redes sociales para acceder a más artículos, herramientas y recursos sobre ingeniería industrial:
