Conoce Atico34 - Solicita presupuesto
CiberseguridadCompliance

ISO 27002 de Tecnología de la información

Cualquier empresa u organización interesada en mejorar y reforzar la seguridad de la información, debe considerar recurrir a la norma ISO 27002 – Seguridad de la información, ciberseguridad y protección de privacidad – Controles de seguridad de la información. Esta norma, que ha sido recientemente actualizada, ofrece a las empresas una completa guía de controles para garantizar la seguridad de la información.

En el presente artículo repasaremos qué es y para qué sirve la ISO 27002, qué estructura y controles tiene y en qué se diferencia de la ISO 27001.

¿Qué es la ISO 27002 y para qué sirve?

La ISO 27002 es un código de prácticas para la implantación de los controles de seguridad de la información en las empresas y organizaciones, desarrollado por la Organización Internacional de Normalización (ISO) y la Comisión Electrónica Internacional (IEC).

Se trata, por tanto, de un documento o guía de referencia para seleccionar, implantar y gestionar los controles de seguridad de la información para empresas y organizaciones que decidan implantar un Sistema de Gestión de la Seguridad de la Información (SGSI), tanto si este está basado en la norma ISO 27001, con la que tiene una estrecha relación, como si no.

La norma ISO 27002 ha sido modificada en tres ocasiones, 2005, 2013 y 2022, prueba de la importancia de mantener actualizados los SGSI de acuerdo a la evaluación y desarrollo de las tecnologías de la información, que suponen nuevos desafíos, riesgos y amenazas para la seguridad de la información y la protección de datos.

Estructura de la ISO 27002

La nueva ISO 27002 tiene la siguiente estructura:

  • Introducción
  • Cláusula 1.- Alcance
  • Cláusula 2.- Normativa de referencia
  • Cláusula 3.- Términos, definiciones y abreviaturas
  • Cláusula 4.- Estructura del documento
    • 4.1.- Cláusulas
    • 4.2.- Temas y tributos
    • 4.3.- Diseño de controles
  • Cláusula 5.- Controles organizacionales (37 controles)
  • Cláusula 6.- Controles de personas (8 controles)
  • Cláusula 7.- Controles físicos (14 controles)
  • Cláusula 8.- Controles tecnológicos (34 controles)
  • Anexo A – Uso de atributos
  • Anexo B – Correspondencia entre la ISO 27002 con otras normas ISO 2700

Controles de la ISO 27002

Entre las características de la ISO 27002, lo más importante son los 93 controles para la seguridad de la información que establece esta norma y que las empresas que vayan a aplicarla pueden implantar en función de sus necesidades y contexto, es decir, no es necesario implantar los 93 controles, sino aquellos que sean necesarios según los riesgos y amenazas a los que esté expuesta la empresa u organización por su actividad, así como el cumplimiento de normas y leyes relativas a la seguridad de la información y la protección de datos que le afecten.

Los controles de la ISO 27002, que como hemos visto, están recogidos en las cláusulas 5 a 8 de la norma, tienen establecida una estructura de atributos particular, que permite filtrarlos, de manera que cada control tiene las siguientes características:

  • Tipo de control: Este atributo determina si los controles son:
    • Preventivos
    • Detectivos
    • Correctivos
  • Propiedades de seguridad de la información: Determina qué protege el control:
    • Confidencialidad
    • Integridad
    • Disponibilidad
  • Conceptos de ciberseguridad: Atributo basado en el marco de ciberseguridad descrito en la ISO 27110 y otros marcos como NIST, para:
    • Identificar
    • Proteger
    • Detectar
    • Responder
    • Recuperar
  • Capacidades operativas: Establece las capacidades de seguridad de la información de acuerdo a estos valores:
    • Gobernanza
    • Gestión de activos
    • Protección de la información
    • Seguridad de los recursos humanos
    • Seguridad física
    • Seguridad de las aplicaciones
    • Configuración segura
    • Gestión de la identidad y del acceso
    • Gestión de amenazas y vulnerabilidades
    • Continuidad
    • Seguridad de las relaciones con proveedores
    • Cumplimiento legal
    • Gestión de eventos de seguridad de la información
    • Aseguramiento de la información
  • Dominios de seguridad: Atributo relacionado con la seguridad de la información desde la:
    • Gobernanza y ecosistema
    • Protección
    • Defensa
    • Resiliencia

Novedades de la ISO 27002:2022

Como decíamos, la norma ISO 27002:2022 es la tercera modificación de la norma y, más allá del cambio de nombre, introduce varias novedades respecto a la edición de 2013, que podemos resumir en las siguientes:

  • Se ha reducido el número de controles de seguridad, pasando de 114 a 93 controles, divididos, como hemos visto, en cuatro categorías (o cláusulas), que determinan el contexto de aplicación del control:
    • Controles organizacionales
    • Controles de personas
    • Controles físicos
    • Controles tecnológicos
  • Así mismo, 58 controles se han actualizado, 24 son el resultado de la fusión de algunos controles anteriores y 11 son nuevos. Esta reducción en el número de controles se hace para eliminar aquellos que están camino de estar o ya están obsoletos. Los nuevos controles responden a la evolución de las nuevas tecnologías y de las amenazas que las acompañan, especialmente en el desarrollo de los servicios en la nube y en la prevención de la fuga de información.
  • Se ha eliminado el concepto «objetivo de control» para sustituirlo por los atributos de control, permitiendo así una clasificación más específica.

Diferencia entre la ISO 27001 y 27002

La diferencia entre la ISO 27001 y 27002 está en que la primera es un estándar certificable para la implantación y gestión de un sistema de gestión y seguridad de la información, lo que implica no solo la planificación e implantación del sistema, sino su supervisión, revisión y mejora. Por su lado, la ISO 27002 es, como hemos visto, una guía de los controles de seguridad que se pueden implantar en un SGSI.

Es decir, que la ISO 27002 es una guía específica de medidas de seguridad de la información que las empresas pueden implantar o no, en función de sus necesidades y contexto, a diferencia de la ISO 27001, que es aplicable para todo tipo de empresas, sin distinciones. Además, la ISO 27001 recoge ya en su Anexo A los controles de la ISO 27002 (aunque debe actualizarse a la nueva versión), si bien lo hace de una manera mucho menos detallada y específica que la ISO 27002.

En definitiva, la ISO 27002 es la guía detallada de los controles de seguridad para el SGSI de una empresa u organización.

Beneficios de la ISO 27002 para las empresas

Entre los beneficios de la ISO 27002 para las empresas destacan:

  • Ofrece un conjunto de referencia sobre controles de seguridad de la información y una guía para su implantación y aplicación.
  • Ayuda a las empresas a identificar qué tipo de controles de seguridad de la información son los más adecuados, en función de las necesidades y contexto de la empresa.
  • Permite adoptar mejores prácticas en la gestión de la seguridad de la información.
  • Reduce las probabilidades de materialización de riesgos y, por tanto, de pérdida o fuga de información.
  • Permite cumplir con normas y requisitos legales, como la normativa de protección de datos.
  • Aumenta la ciberseguridad en la empresa.
  • Una mejor gestión de la seguridad de la información y la adopción de buenas prácticas en esta materia, permite reducir costes relacionados con incidentes de seguridad (sanciones, pérdida de clientes, etc.).

¿Es certificable la ISO 27002?

No, la ISO 27002 no es certificable, puesto que se trata de una guía para la implantación de controles para la seguridad de la información. Sin embargo, para quienes quieren certificar la ISO 27001, es necesario seguir las indicaciones establecidas en la ISO 27002, ya que, como decíamos más arriba, los controles del Anexo A de la ISO 27001 son los mismos que los de la 27002 (o lo serán, una vez se actualice la versión de la ISO 27001, algo que se espera que ocurra pronto).