Tipo de Control. – Este atributo posibilita identificar cuando o como el control impacta en la gestión de riesgos con respecto a la ocurrencia de un incidente de seguridad de la información. Los posibles valores son:

  • Preventivo (el control actúa antes de que la amenaza actué),
  • Detección (el control actúa cuando la amenaza ocurre) y
  • Correctivo (el control actúa después de que la amenaza ocurre).

Propiedades de Seguridad de la Información.- Este atributo proporciona información sobre como el control contribuye en la preservación de los resultados esperados de la seguridad de la información. Los posibles valores son: Confidencialidad, Integridad y Disponibilidad.

Conceptos de Ciberseguridad.- Este atributo puede ser empleado cuando la organización busca la implementación de un Sistema de Gestión de Seguridad de la Información o un Marco de Referencia de Ciberseguridad como el del NIST, el cual se alinea con los cinco grandes dominios de ciberseguridad establecidos en el ISO 27101. Los posibles valores que toma el atributo son: Identificar, Proteger, Detectar, Responder y Recuperar.

Capacidades Operacionales.- Este atributo puede ser usado cuando la organización requiere una clasificación de controles desde una perspectiva práctica, cuando la organización quiere asignar responsabilidades o establecer lineamientos de implementación. Los posibles valores que puede tomar este atributo son: Gobernanza, Gestión de Activos, Protección de la Información, Seguridad en los Recursos Humanos, Seguridad Física, Seguridad en Sistemas y Redes, Seguridad en Aplicaciones, Seguridad en la Configuración, Gestión de Accesos e Identidades, Gestión de Amenazas y Vulnerabilidades, Continuidad, Seguridad en Relaciones con Proveedores, Legal y Cumplimiento, Gestión de Eventos de Seguridad de la Información, y Aseguramiento de la Seguridad.

Dominio de Seguridad.- Este atributo puede ser usado en el caso que la organización quiera clasificar sus controles desde una perspectiva del campo de aplicación de la seguridad de la información y ciberseguridad, su competencia, servicios y productos relacionados. Los posibles valores que toma el atributo son: Gobernanza y ecosistema, Protección, Defensa y Resiliencia.

Tipo de Control.- Este atributo aportará mucho a fortalecer el control interno organizacional, para permitir, identificar controles de diversa naturaleza para la gestión de riesgos de alta criticidad incorporando controles preventivos, detección y correctivos).
La definición de los atributos es un importante aporte en la definición de la nueva norma, el contexto de uso es muy amplio de cada uno de ellos, posibilitando el desarrollo de diversos mecanismos de gestión de los controles que fortalecerán el control interno, el plan de tratamiento de riesgos, la evaluación de controles, la asignación de responsabilidades, y la auditoría.
A nivel de definición de los controles específicamente, estos no sufren mayores cambios con respecto a la versión 2013, estando definidos de la siguiente forma: Control, Propósito, Directrices y Otra Información (Sólo en caso de ser necesaria).