Estándar ISO 27002: Controles de apoyo a la Norma ISO 27001:2013

Estándar ISO 27002: Controles de apoyo a la Norma ISO 27001:2013

El estándar nació como BS 7799-1; luego de la adopción por parte de la ISO pasó a llamarse ISO/IEC 17799, y posteriormente ISO/IEC 27002, en su versión 2005.

Por: Luis R. Soto E.

En una publicación anterior hablamos sobre algunos aspectos generales de la Norma ISO 27001 en el ámbito de la seguridad de la información; y de igual forma hicimos una breve referencia al estándar ISO 27002 que es a su vez, una guía de apoyo para la definición de controles durante la implementación de la referida Norma.

En esta oportunidad veremos un poco la estructura de dicho estándar que, desde su creación en el año 1995, por el Instituto Británico de Estándares del Reino Unido, se concibió como una guía de buenas prácticas, para la que no se establecía un esquema de certificación; y así se ha mantenido hasta la fecha.

El estándar nació como BS 7799-1; luego de la adopción por parte de la ISO pasó a llamarse ISO/IEC 17799, y posteriormente ISO/IEC 27002, en su versión 2005. Luego fue revisado y actualizado en el año 2013 y es como lo conocemos en la actualidad: ISO/IEC 27002:2013.

Además:  La Norma ISO/IEC 27001 y su contexto en la seguridad de la información

Este estándar está compuesto por 14 dominios, que a su vez contienen 114 controles. Como se mencionó al inicio, ISO 27002 NO ES CERTIFICABLE debido a que no contiene requisitos, es decir, en su contenido no hay exigencias que ninguna organización que quiera certificarse tenga que cumplir. Como ocurre con la ISO 27001.

A diferencia del uso que muchas empresas suelen darle, que toman el estándar para definir los controles a implementar; la norma pide que: una vez definidos los controles como parte de la evaluación de riesgos en la implementación del SGSI, se debe ir al estándar para validar que tan alineados están nuestros controles con el mismo.

Dicho de otra manera: El estándar no define nuestros controles; los controles se definen de acuerdo al alcance del SGSI y a los procesos afectados en su implementación. El estándar ISO 27002 nos ayuda a definir los controles ya implementados.

No todos los dominios del estándar ISO 27002 son implementables en todas las organizaciones, esto dependerá de los procesos existentes. Por ejemplo, si una empresa no desarrolla software, el dominio de Desarrollo de Sistemas no seria aplicable a la misma. Al contrario de lo que pasa con la Norma 27001, donde todos sus requisitos deben ser implementados en un SGSI.

También: ¿Cuál es la importancia de la ISO27001 en la ciberseguridad?

Finalmente, y de acuerdo con la página oficial de la ISO (www.iso.org), este estándar está actualmente en vistas públicas en versión borrador para su revisión y posterior actualización. En su nueva versión, que se espera sea publicada en el último trimestre del 2021 o en su defecto, el primer trimestre del 2022, se incluirían conceptos como:

  • Inteligencia de amenazas.
  • Gestión de la configuración.
  • Enmascaramiento de los datos.
  • Prevención de fugas datos.

De igual forma, los catorce dominios de la versión actual serian agrupados en 4 grandes grupos, que serían los temas a los que aportan valor:

  • Controles organizacionales.
  • Controles de personas.
  • Controles físicos.
  • Controles tecnológicos.

Esta actualización fortalece el estándar y lo lleva a cubrir temas importantes que antes no eran considerados en su implementación.