ISO/IEC 27002 es una norma internacional que proporciona una guía práctica y completa para las organizaciones que buscan implementar, mantener y fortalecer la seguridad de la información dentro de un Sistema de Gestión de Seguridad de la Información (SGSI).
Mientras que ISO/IEC 27001 establece los requisitos que debe cumplir un SGSI —y es certificable—, ISO/IEC 27002 la complementa ofreciendo directrices, objetivos de control y buenas prácticas para aplicar los controles de seguridad de forma efectiva.
De esta manera, el estándar funciona como un marco flexible y adaptable que ayuda a las organizaciones a proteger sus activos de información frente a una amplia gama de amenazas cibernéticas, fortaleciendo al mismo tiempo su resiliencia y madurez en ciberseguridad.
Estructura de la ISO/IEC 27002:2022
La versión 2022 de la ISO 27002 adopta una estructura más clara y alineada con la gestión del riesgo, estableciendo cuatro grandes dominios de control:
- Controles organizacionales (Cláusula 5):
Políticas, roles, gestión de riesgos, relaciones con proveedores, cumplimiento legal y gobierno de la seguridad.
(Ejemplos: clasificación de la información, gestión de proveedores, inteligencia de amenazas, seguridad en proyectos.) - Controles de personas (Cláusula 6):
Aspectos humanos que influyen en la seguridad, como la selección de personal, la formación, el trabajo remoto o la notificación de incidentes.
(Ejemplos: programas de concienciación, acuerdos de confidencialidad, medidas disciplinarias.) - Controles físicos (Cláusula 7):
Protección de los entornos físicos, los equipos y las instalaciones.
(Ejemplos: control de acceso físico, almacenamiento de activos, protección ambiental, eliminación segura de dispositivos.) - Controles tecnológicos (Cláusula 8):
Medidas técnicas para proteger sistemas, redes, aplicaciones y datos.
(Ejemplos: autenticación segura, gestión de vulnerabilidades, protección contra malware, cifrado, copias de respaldo, seguridad en el desarrollo de software.)
Cada control se presenta con una estructura uniforme que incluye:
- Título (nombre del control)
- Propósito (por qué es necesario)
- Guía (cómo aplicarlo)
- Información adicional (ejemplos o referencias complementarias)
Nuevos atributos introducidos en la edición 2022
Una de las principales innovaciones de la versión 2022 es la incorporación de “atributos”, que permiten clasificar y visualizar los controles desde diferentes perspectivas:
- Tipo de control: preventivo, detectivo o correctivo.
- Propiedades de seguridad: confidencialidad, integridad y disponibilidad.
- Conceptos de ciberseguridad: identificar, proteger, detectar, responder, recuperar (alineados con el modelo del NIST CSF).
- Capacidades operativas: gobierno, gestión de activos, seguridad de recursos humanos, entre otros.
- Dominios de seguridad: gobernanza y ecosistema, protección, defensa y resiliencia.
Este enfoque basado en atributos hace que la norma sea más flexible e interoperable, facilitando su integración con otros marcos como NIST CSF, CIS Controls o COBIT.
Beneficios de implementar ISO/IEC 27002
Adoptar las directrices de ISO/IEC 27002 permite a las organizaciones:
- Construir un entorno de control integral y basado en riesgos, alineado con los objetivos del negocio.
- Reforzar la resiliencia cibernética y reducir la probabilidad de brechas o interrupciones.
- Garantizar el cumplimiento legal, regulatorio y contractual en materia de seguridad y privacidad.
- Fortalecer la confianza de clientes, socios, proveedores y auditores.
- Fomentar una cultura organizacional de concienciación y responsabilidad en seguridad de la información.
Una norma flexible y en evolución
ISO/IEC 27002:2022 no es prescriptiva. Cada organización puede seleccionar y adaptar los controles según su perfil de riesgo, nivel de madurez y objetivos estratégicos. Además, la nueva versión integra la seguridad de la información, la ciberseguridad y la protección de la privacidad, promoviendo una visión más completa del riesgo digital.
Su enfoque adaptable y orientado a la mejora continua convierte a ISO/IEC 27002 en una herramienta esencial para impulsar la madurez y resiliencia de los Sistemas de Gestión de Seguridad de la Información (SGSI).