Los profesionales especializados en seguridad de la información son conscientes de que obtener una certificación es una garantía para las organizaciones, una barrera de defensa frente a posibles vulneraciones de datos. Sin embargo, en ocasiones pueden surgir dudas y algunas tienen que ver con los controles de seguridad de la información en ISO 27001 e ISO 27002.
El uso de controles de seguridad de la información publicados en el Anexo A del estándar ISO 27001 ha protegido a numerosas organizaciones de infracciones o violaciones en la protección de datos. Son aquellas otras que no han implementado la norma las que más han sufrido ciberataques y acceso no permitido a datos privados.
Es un hecho que la norma ISO 27001 y sus controles de seguridad de la información permiten a las empresas gestionar con efectividad los riesgos en esta área y proteger así su información en cualquier formato: papel, digital, virtual o incluso oral.
Los controles de seguridad de la información forman parte esencial de una norma hermana de ISO 27001: ISO 27002. Las dos normas tratan desde enfoques diferentes el mismo aspecto y en ambas los controles de seguridad de la información son importantes. ¿Cuál es la diferencia?
Qué es la norma ISO 27001
ISO 27001 es el estándar internacional con mayor reconocimiento y aceptación a nivel mundial para la gestión de riesgos de seguridad de la información. Es un estándar certificable que adopta la estructura de alto nivel. Esta incluye 10 capítulos: los primeros 3 centrados en directrices, glosario y referencias, en tanto que los otros 7 incorporan los requisitos.
Los más recientes cambios de la norma ISO 27001, publicados en 2022, incluyen en el Anexo A 93 controles de seguridad agrupados en cuatro categorías. Los controles no son de uso obligatorio. La organización determinará cuáles utilizará y de cuáles prescindirá y lo argumentará en un documento denominado Declaración de Aplicabilidad.
Qué es la norma ISO 27002
ISO 27002 es una norma complementaria de ISO 27001. No es un estándar certificable y, desde un punto de vista práctico, no es realmente un estándar de gestión, sino una guía de directrices y orientaciones. El objetivo esencial de ISO 27002 es ampliar y explicar con profundidad cada uno de los 93 controles de seguridad de la información contenidos en el Anexo A de ISO 27001.
ISO 27002 describe con gran detalle cada control, habla sobre la forma en que se implementa y la contribución que puede hacer a la seguridad de la información. También propone estrategias para obtener el mejor provecho de cada control.
Utilizar o implementar ISO 27002 en la organización no es obligatorio y no es requisito para obtener la certificación ISO 27001. Sin embargo, sí representa una gran ayuda en particular para el adecuado uso de los controles de seguridad de la información.
Conoce las diferencias, en cuanto a controles de seguridad de la información, entre #ISO27001 e #ISO27002. Share on XCuáles son las grandes diferencias entre ISO 27001 e ISO 27002
La primera gran diferencia es que ISO 27001 es un estándar de requisitos certificable. ISO 27002 no es certificable y es una guía de orientaciones y directrices. En la práctica, ISO 27002 es una extensión del Anexo A de ISO 27001, que aparece como resultado de la brevedad de las descripciones de los controles de seguridad en la norma principal.
ISO 27002 no solo amplía el concepto y la descripción de cada uno de los controles de seguridad, sino que incluye los objetivos y las directrices para su uso e implementación.
Cómo se abordan los controles de seguridad de la información en ISO 27001 y en ISO 27002
El nivel de detalle con el que se describen los controles de seguridad de la información es la primera diferencia. La segunda, y tal vez más relevante, es la forma en que cada norma agrupa los 93 controles. En ISO 27001 los 93 controles se agrupan en cuatro categorías de acuerdo con su tipo, con su origen o con los recursos que utilizará:
- Personas: 8
- Organizacionales: 37
- Tecnológicos: 34
- Físicos: 14
Esto, de acuerdo con la edición 2022 de la norma. Sin embargo, ISO 27002 asume una categorización diferente, basada en atributos:
| Atributo | Clasificación |
| Tipo |
|
| Propiedades de seguridad |
|
| Conceptos de ciberseguridad |
|
| Capacidades operativas |
|
| Dominios de seguridad |
|
Los controles que aquí se mencionan como “capacidades operativas” incluyen, por ejemplo, la mayoría de los que en la categorización de ISO 27001 se ubican en el apartado de físicos. No obstante, algunos serán de personas y otros tecnológicos.
Cómo utilizar ISO 27001 e ISO 27002
ISO 27001 contiene requisitos que van de lo general a lo particular. Es preciso realizar un análisis de brechas, redactar políticas, establecer alcance, identificar contexto, evaluar riesgos, elegir controles de seguridad de la información, auditar, verificar el cumplimiento de la norma ISO 27001, revisar, auditar de nuevo y solicitar una auditoría de certificación.
La selección de los controles de seguridad de la información es el punto en donde la implementación de ISO 27001 conecta con ISO 27002. Para comprender la importancia y el alcance que tiene esta última es básico entender la relevancia que tiene la elección de los controles que la organización utilizará para proteger su información.
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa diseñado por docentes con reconocimiento internacional. Su objetivo es formar a profesionales expertos en el estándar, en gestión de seguridad de la información y en auditorías internas de SG-SI.
Los alumnos del programa adquieren capacitación para enfrentarse a los retos de un área en constante evolución. Además, tienen la oportunidad de acceder a la certificación ERCA, que les permitirá desarrollar su labor en cualquier país europeo o de América Latina.
La convocatoria de este programa, que se imparte mediante modalidad online, está abierta. Puedes iniciar ya mismo tu formación, además, la Escuela Europea de Excelencia cuenta con un interesante programa de becas. Para más información, solo tienes que contactar con nuestros consultores.
