Blog
dark mode light mode Search Archivos descargables
Search
Popular tags
The Latest
View All
5 min read
Share 0
Share 0
share this

Controles de ISO 27001: conoce todo al respecto

Natalia Molina
Content marketing
Controles ISO 27001 2022
Controles ISO 27001 2022

Los controles de seguridad de ISO 27001 son un conjunto de medidas técnicas, físicas y organizacionales que una empresa aplica para proteger la confidencialidad, la integridad y la disponibilidad de su información. 

Estos controles forman parte del Anexo A del estándar y definen las acciones concretas que sostienen el Sistema de Gestión de Seguridad de la Información (SGSI)

Para comprender su función dentro de la norma, resulta útil revisar primero qué es ISO 27001, ya que el estándar establece la estructura y los requisitos para implementar y evaluar estos controles de forma sistemática.

La transición es relevante, pero resulta aún más importante comprenderla en profundidad y analizar cómo se estructuran los controles de ISO 27001:2022 en relación con el marco definido por ISO 27002.

1. Estructura actual de los controles de ISO 27001

Antes de avanzar en la transición o ajustar procedimientos internos, resulta útil trabajar con una lista de controles iso 27001 que permita relacionar cada control con activos, procesos y riesgos identificados dentro del SGSI.

Esto facilita conectar la versión 2022 con prácticas existentes y evita implementar medidas sin un fundamento claro en la gestión de riesgos.

Un cambio destacado en la versión 2022 es la actualización del Anexo A, que reestructura y moderniza los controles para alinearlos con el catálogo de ISO 27002:2022. En lugar de los 114 controles organizados en 14 dominios de la versión 2013, el Anexo A ahora incluye 93 controles distribuidos en 4 categorías:

  1. Controles organizacionales
  2. Controles de personas
  3. Controles físicos
  4. Controles tecnológicos

Controles eliminados

Algunos fueron eliminados en la versión 2022, ya sea porque quedaron obsoletos, fueron absorbidos por otros controles o ya no eran relevantes para el estándar actual.

  • El control 6.1.5 (gestión de riesgos relacionados con los proveedores) fue eliminado y sus aspectos clave se integraron en el nuevo control de gestión de la cadena de suministro.
  • El control 14.2.1 (desarrollo seguro de software) fue absorbido en un control más amplio de seguridad en el ciclo de vida del software.
  • A.6.2.2 teletrabajo
  • A.8.2.2 etiquetado de información
  • A.11.2.5 retirada de activos
  • A.11.2.6 seguridad equipos fuera
  • A.14.2.8 pruebas de seguridad sistema
  • A.17.2.1 disponibilidad instalaciones

Controles consolidados

Estos existían por separado en la versión 2013 y que en la versión 2022 se unificaron en un solo control para simplificar y evitar redundancias.

  • Los controles sobre el acceso a redes y protección de datos en tránsito (13.1.1 y 13.2.1) ahora están integrados en un solo control de seguridad de redes.
  • Las políticas de contraseñas y gestión de accesos (9.2.1 y 9.3.1) se consolidaron para simplificar su aplicación.
  •  A.8.1.1 y A.8.1.2 de 2013 → 5.9 inventario de información y otros activos asociados (2022)
  • A.12.4.2 y A.12.4.3 de 2013 → 8.16 actividades de seguimiento (2022)
  • A.14.2.6 y A.14.2.7 de 2013 → 8.32 entorno de desarrollo seguro (2022)

Controles renombrados/reubicados:

Controles que mantuvieron su esencia, pero fueron movidos a otra sección o se les cambió el nombre para mejor claridad y organización en la versión 2022.

  • A.6.1.1 (2013) “roles y responsabilidades” → 5.3 (2022)
  •  A.8.2.1 (2013) “clasificación de información” → 5.12 (2022)
  • A.9.2.5 (2013) “revisión derechos acceso” → 5.18 (2022)
  •  A.12.1.1 (2013) “procedimientos operativos” → 8.1 (2022)
  •  A.12.3.1 (2013) “copias seguridad” → 8.13 (2022)

2. Nuevos controles introducidos en ISO 27001 2022 

Los nuevos controles refuerzan áreas críticas como la inteligencia de amenazas, la seguridad en la nube, el filtrado web y la prevención de fuga de información.

Monitoreo de seguridad: sistemas para detectar y responder a incidentes en tiempo real.

  • Control 5.7 – inteligencia de amenazas
  • Control 7.4 – supervisión de la seguridad física
  • Control 8.16 – actividades de seguimiento

Gestión de configuración: directrices para configurar y mantener sistemas seguros.

  • Control 8.9 – gestión de la configuración
  • Control 8.28 – codificación segura
  • Control 5.30 – preparación de las TIC para continuidad de actividades

Filtrado web: protección contra sitios maliciosos.

  • Control 8.23 – filtrado web
  • Control 5.23 – seguridad de la información para servicios en la nube

Prevención de Pérdida de Datos (DLP): controles para evitar fugas de información.

  • Control 8.12 – prevención de fuga de datos
  • Control 8.11 – enmascaramiento de datos
  • Control 8.10 – eliminación de información

3. Controles actualizados con enfoque moderno

  • Teletrabajo: ampliado para incluir riesgos del trabajo remoto y la nube.
  • Seguridad de proveedores: mayor enfoque en la gestión de riesgos de la cadena de suministro.
  • Resiliencia cibernética: planificación y recuperación ante incidentes cibernéticos.

Al preguntarte cuántos controles tiene la iso 27001, debes considerar el cambio desde los 114 controles de la versión 2013 hacia los 93 controles definidos en la versión 2022.

AspectoISO 27001:2022
Número total de controles93 controles
Controles eliminados11 controles eliminados
Controles nuevos11 controles nuevos
Controles consolidados58 controles consolidados

Razones para actualizarse a ISO 27001:2022

  • Cumplimiento normativo: la certificación basada en la versión de 2013 dejará de ser válida en octubre de 2025.
  • Adaptación a nuevas amenazas: la versión 2022 aborda mejor los desafíos actuales, como el teletrabajo y la gestión de datos en la nube.
  • Mayor eficiencia: los controles consolidados reducen redundancias y simplifican la implementación.
  • Reputación y confianza: actualizarse demuestra compromiso con la seguridad, lo que fortalece la confianza de clientes y socios.
  • Mejor alineación con marcos de ciberseguridad usados en Latinoamérica.

Certificación ISO 27001 en Latinoamérica

Certificación Chile

La certificación ISO 27001 en Chile avala un SGSI alineado con los 93 controles de 2022. Se complementa con la Ley 19.628, la Ley 21.459 y normativas de la CMF. Los controles más relevantes son: gobierno de seguridad, accesos, protección de datos personales, incidentes y gestión de proveedores.

Certificación México

La certificación ISO 27001 en México asegura un SGSI capaz de gestionar riesgos y aplicar el Anexo A. Se vincula con la LFPDPPP, INAI, Ley Fintech, CNBV y NOM-151. Controles clave: protección de datos, criptografía, incidentes, cumplimiento, proveedores y seguridad del personal.

Certificación Colombia

La certificación ISO 27001 en Colombia valida un SGSI sólido y controles actualizados. Se complementa con la Ley 1581, el Decreto 1377, la Súper Financiera y marcos del MinTIC. Controles más críticos: privacidad, gobierno de seguridad, antimalware, incidentes, seguridad en la nube y cumplimiento.

Pasos clave para la transición de 2013 a 2022

Al iniciar el análisis de brechas entre 2013 y 2022, muchas organizaciones utilizan una guía de implementación de ISO 27001 para estructurar los ajustes documentales y operativos que exige la nueva versión.

  1. Conoce el nuevo estándar: familiarízate con los 93 controles y compáralos con tus prácticas actuales.
  2. Realiza un Gap Analysis: identifica qué controles necesitas ajustar o implementar.
  3. Actualiza tu documentación: ajusta tus políticas y procedimientos para alinearlos con los nuevos requisitos.
  4. Capacita a tu equipo: asegúrate de que todos comprendan los cambios y sepan cómo aplicarlos.
  5. Haz una auditoría interna: verifica que los cambios cumplen con la norma antes de someterte a una auditoría externa.

Realiza un análisis comparativo profundo entre los controles iso 27001:2013 y los controles de seguridad de la información de la ISO 27001 versión 2022.

¿Por qué hacer la transición a ISO 27001: 2022 ahora?

El tiempo es limitado. En octubre de 2025 se realizó el cambio; si aún no lo has hecho, comenzar cuanto antes te permitirá planificar y ejecutar la transición sin contratiempos. Además, mantenerte certificado es vital para tu reputación y operaciones comerciales.

La actualización también mejora la alineación con otras normas ISO empleadas en gestión de riesgos, continuidad y seguridad operacional, lo que facilita auditorías integradas dentro de las empresas de la región.

En Hackmetrix, estamos aquí para simplificar tu proceso de transición. Contamos con las herramientas y la experiencia necesarias para que tu empresa cumpla con la norma ISO 27001:2022 de manera eficiente.

Lo que sigue para tu SGSI

Actualizarse a la ISO 27001:2022 implica comprender en detalle cuántos controles de seguridad tiene la ISO 27001, cómo se estructuran y cómo se aplican en el entorno actual.

Con Hackmetrix podrás hacer una transición sin complicaciones y sin ser un experto. Contáctanos y no dejes esta tarea para el último momento.

Share
Share
Content marketing Natalia Molina 37 posts
Mercadóloga apasionada por las estrategias digitales, la ciberseguridad y la creación de contenido. Con experiencia en gestión de riesgos, seguridad de la información y tecnología, combina creatividad y análisis para generar contenidos que conectan y eduquen.
www.hackmetrix.com
LinkedIn