En el ámbito de la tecnología y la seguridad de la información, la norma ISO 27002 es un recurso fundamental para garantizar la protección y confidencialidad de los datos empresariales. Esta norma proporciona directrices y mejores prácticas que permiten a las organizaciones establecer un marco sólido para la gestión de la seguridad de la información. En este artículo, hablaremos en detalle sobre qué es la ISO 27002, sus principios clave y cómo puede beneficiar a las empresas.
¿Cómo proteger la información de mi empresa?
Cómo gestionar una fuga de información en una empresa
Cómo hacer e implantar un Plan Director de Seguridad
Cómo hacer un Plan de Contingencia y Continuidad de Negocio para tu empresa
Mejores herramientas de seguridad en la nube para empresas
¿Qué es la ISO 27002?
La ISO 27002 se presenta como un conjunto de prácticas vitales para la incorporación de los mecanismos de salvaguardia de la información en el ámbito empresarial y organizacional. Fruto de la colaboración entre la Organización Internacional de Normalización (ISO) y la Comisión Electrónica Internacional (IEC), este marco se erige como un manual esencial.
Su propósito se centra sobre la selección, implementación y administración de los mecanismos de seguridad de la información en empresas y entidades que opten por la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI).
A lo largo del tiempo, la norma ISO 27002 ha experimentado tres revisiones en los años 2005, 2013 y 2022. Esto manifiesta la trascendencia de mantener al día los SGSI en concordancia con la evaluación y la evolución de las tecnologías de la información. Estas, al traer consigo retos, riesgos y amenazas inéditas para la integridad de la información y la salvaguardia de los datos.
Principales áreas abordadas por la ISO 27002
La ISO 27002 comprende 14 dominios, 35 objetivos de control y 93 controles relacionados, información de la última revisión de 2022. Esta ISO, por tanto, atribuye diferentes características a cada control:
¿Qué novedades trae la ISO 27002:2022?
Tal como mencionábamos, la revisión más reciente de la norma ISO 27002, concretamente la versión 2022, representa la tercera de esta norma. Uno de los cambios más notorios radica en la reducción del número de controles de seguridad, que pasan de 114 a 93. Estos controles se distribuyen en cuatro categorías o cláusulas que delimitan el contexto de aplicación de cada control. Estas categorías son las siguientes: Controles Organizacionales, Controles de Personas, Controles Físicos y Controles Tecnológicos.
Es interesante notar que de estos 93 controles, 58 han sido actualizados, 24 resultan de la amalgama de controles previos y 11 son completamente nuevos. Este ajuste en la cantidad de controles obedece a la necesidad de eliminar aquellos que se hallan al borde de la obsolescencia o que ya han caído en ella. Los nuevos controles, en cambio, reflejan la evolución constante de las tecnologías y las amenazas que las acompañan. Esto se evidencia particularmente en el ámbito del desarrollo de servicios en la nube y en la prevención de la fuga de información.
Un cambio trascendental a tener en cuenta es la eliminación del concepto de «objetivo de control», que es reemplazado por los «atributos de control». Esta modificación tiene el propósito de posibilitar una clasificación más precisa y específica de los controles, adaptándose de manera más eficaz a la complejidad y diversidad de los entornos tecnológicos actuales.
Beneficios de la ISO 27002 para las empresas
La implementación de la ISO 27002 puede aportar múltiples ventajas a las empresas:
Reducción de riesgos
Al seguir las prácticas recomendadas en la norma, las organizaciones pueden identificar y mitigar riesgos potenciales relacionados con la seguridad de la información.
Cumplimiento regulatorio
La ISO 27002 ayuda a las empresas a cumplir con regulaciones de seguridad de la información y requisitos legales, asegurando la integridad y confidencialidad de los datos.
¿Qué diferencias hay entre la ISO 27002 y la 27001?
La demarcación entre la norma ISO 27001 y la ISO 27002 reside en un matiz crucial. La primera ostenta el estatus de estándar certificable dedicado a la implementación y gestión de un sistema integral de seguridad y gestión de información. Este enfoque abarca no solo la estrategia y la ejecución del sistema, sino también su vigilancia constante, evaluación periódica y su perenne refinamiento. En contraposición, la ISO 27002, tal como hemos detallado, funciona como una brújula de controles de seguridad que pueden ser instaurados en un Sistema de Gestión de la Seguridad de la Información (SGSI).
En resumidas cuentas, la ISO 27002 se distingue como un manual de controles de seguridad específicos, concebidos para el SGSI de una entidad empresarial u organización.
¿Cómo se inicia la implementación de la ISO 27002?
La implementación comienza con la comprensión de la norma y la identificación de las áreas que requieren mejoras en la seguridad de la información.
Conclusiones
La ISO 27002 ofrece un enfoque estructurado para la gestión de la seguridad de la información en las empresas. Al seguir sus directrices, las organizaciones pueden fortalecer sus medidas de seguridad, reducir riesgos y cumplir con las regulaciones aplicables. La adopción de la ISO 27002 demuestra un compromiso serio con la protección de datos y contribuye a la confianza de los clientes y socios comerciales.
