La norma ISO 27002 es la guía práctica para llevar los riesgos de seguridad de la información a un conjunto de controles concretos y verificables. Aunque no es certificable por sí misma, se utiliza junto con la ISO 27001, que establece los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI). La norma ISO 27002:2022 describe qué controles aplicar, cómo implementarlos y cómo mantenerlos en el tiempo, aportando a los responsables de TI y seguridad un marco claro para reducir vulnerabilidades y fortalecer la resiliencia organizativa.
Norma ISO 27002: clasificación y tipos de controles
La versión 2022 de la norma ISO 27002 reorganiza sus controles en cuatro dominios principales: organizativos, de personas, físicos y tecnológicos. Esta división responde a un criterio práctico: cada dominio se relaciona con un ámbito de responsabilidad distinto dentro de la organización, facilitando la gobernanza y la auditoría.
Controles organizativos
Constituyen la base de gobierno del SGSI. Incluyen la definición de políticas, roles y responsabilidades, la gestión de proveedores, la clasificación de la información, los aspectos legales y contractuales, y las revisiones periódicas de seguridad. Estos controles son los que sostienen la elaboración de la Declaración de Aplicabilidad, un documento clave en el que se definen qué controles se adoptan, cuáles no, y las justificaciones correspondientes.
Controles de personas
Se centran en el factor humano, uno de los principales focos de riesgo en cualquier organización. Abarcan verificaciones previas a la contratación, formación y concienciación en seguridad, acuerdos de confidencialidad, segregación de funciones y responsabilidades disciplinarias. Con estos controles, la norma ISO 27002 busca mitigar incidentes derivados de errores, negligencias o accesos indebidos por parte de empleados y colaboradores.
Controles físicos
Están orientados a la protección de instalaciones y equipos. Incluyen medidas como el control de accesos físicos, la creación de zonas seguras, la videovigilancia, la protección del cableado, la manipulación de soportes y los planes de seguridad frente a desastres naturales o sabotajes. Su función es asegurar que un fallo físico no comprometa la seguridad de la información.
Controles tecnológicos
Son los que se aplican directamente sobre sistemas y redes. Incluyen la gestión de identidades y accesos, el cifrado, las copias de seguridad, la monitorización y registro, la seguridad en el desarrollo de software, la gestión de parches y la gestión de vulnerabilidades y controles. También abarcan la detección y respuesta ante incidentes, integrándose con procesos de gestión de incidentes de seguridad.
Por qué la norma ISO/IEC 27002:2022 se organiza en dominios
La separación en cuatro dominios no es teórica, sino operativa:
- Asignación de responsabilidades: cada dominio corresponde a áreas específicas: dirección y cumplimiento (organizativos), RR. HH. (personas), facilities (físicos) y TI/Seguridad (tecnológicos).
- Priorización basada en riesgos: la división permite identificar de forma más clara qué ámbitos requieren intervención urgente según el impacto en la confidencialidad, integridad o disponibilidad.
- Facilidad de auditoría: las evidencias y entrevistas pueden organizarse por bloques coherentes, reduciendo tiempos y complejidad.
- Planificación escalonada: posibilita desplegar los controles en fases, comenzando por los organizativos y de personas antes de llegar a los tecnológicos más complejos.
Atributos para seleccionar controles en la norma ISO 27002
La norma ISO 27002 proporciona además una serie de atributos que ayudan a seleccionar y aplicar controles en función del contexto:
- Propiedad de seguridad protegida: confidencialidad, integridad o disponibilidad.
- Tipo de control: preventivo, detectivo o correctivo.
- Ámbito de aplicación: organizativo, humano, físico o tecnológico.
- Complejidad: controles de aplicación rápida (quick wins) frente a otros estructurales que requieren proyectos más largos.
Proceso de uso de la norma ISO 27002
El uso de la norma ISO27002 sigue un ciclo estructurado que permite conectar los riesgos identificados con controles efectivos:
1. Análisis de riesgos
Se parte del marco de la ISO 27001 para identificar amenazas, vulnerabilidades y escenarios críticos. El análisis prioriza riesgos que requieren medidas de seguridad específicas.
2. Selección de controles
Con base en los resultados del análisis, se eligen los controles de la norma ISO 27002 más adecuados. Cada decisión se refleja en la Declaración de Aplicabilidad, donde se explica por qué se incluyen o excluyen.
3. Implantación
Los controles seleccionados se transforman en políticas, procedimientos, configuraciones técnicas y responsabilidades asignadas. Se recomienda desplegarlos en fases, priorizando aquellos que reducen los riesgos más críticos.
4. Operación y monitorización
Una vez implantados, los controles se integran en la operativa diaria. Incluyen procesos de gestión de incidentes, auditorías internas y revisiones periódicas de eficacia.
5. Mejora continua
La norma ISO 27002 no es estática. Los cambios tecnológicos, nuevos servicios, fusiones o incidentes exigen recalibrar riesgos y ajustar controles para mantener la eficacia del SGSI.
Beneficios de aplicar la norma ISO 27002 en la empresa
La adopción de la norma ISO 27002 genera un impacto directo en la gestión empresarial y en la operativa de los departamentos de TI y seguridad de la información. Su valor no reside únicamente en cumplir con requisitos normativos, sino en establecer un modelo de seguridad robusto, adaptable y sostenible. Los beneficios pueden dividirse en dos planos: estratégicos para la organización en su conjunto y operativos para las áreas técnicas responsables de la protección de la información.
Beneficios estratégicos
- Confianza y reputación: demostrar que los controles de seguridad están basados en un estándar reconocido internacionalmente incrementa la confianza de clientes, proveedores y socios estratégicos.
- Reducción de riesgos financieros y legales: la norma contribuye a mitigar sanciones por incumplimientos normativos y a reducir pérdidas económicas derivadas de incidentes de seguridad.
- Competitividad: contar con un SGSI alineado con ISO 27001 y soportado en la ISO 27002 puede ser un requisito en licitaciones, contratos y acuerdos internacionales.
- Visión integral de riesgos: al dividir los controles en organizativos, de personas, físicos y tecnológicos, la empresa obtiene una visión completa de las amenazas que enfrenta y de las medidas para mitigarlas.
Beneficios para TI y seguridad de la información
- Catálogo de controles actualizado: los responsables técnicos disponen de una guía clara que refleja los riesgos actuales y las tendencias tecnológicas, evitando lagunas en la protección.
- Selección racional de medidas: la norma ISO 27002 ayuda a priorizar controles en función del análisis de riesgos, evitando inversiones innecesarias en soluciones que no responden a amenazas reales.
- Soporte a la gestión de vulnerabilidades: al proporcionar directrices específicas sobre gestión de vulnerabilidades, facilita procesos de parcheo, monitorización y respuesta técnica.
- Gestión estructurada de incidentes: los controles relacionados con detección, análisis y respuesta se integran con un ciclo completo de gestión de incidentes de seguridad, lo que mejora los tiempos de reacción y la coordinación interna.
- Mejor comunicación con la dirección: gracias a la clasificación en dominios y atributos, los equipos técnicos pueden explicar a la alta dirección el valor de cada control con un lenguaje claro y vinculado al riesgo.
- Continuidad de negocio: los apartados dedicados a planes de continuidad y contingencia permiten a TI asegurar la disponibilidad de sistemas críticos frente a ataques o desastres.
Cómo se traduce la norma ISO 27002 en resultados operativos
Más allá de la teoría, la norma ISO 27002 impacta en el día a día de los equipos de seguridad. Los controles se materializan en procesos, herramientas y procedimientos que pueden medirse y auditarse. Algunos ejemplos de aplicación práctica son:
Gestión de accesos e identidades
El estándar define la necesidad de limitar los privilegios de usuario, aplicar autenticación multifactor y revisar de forma periódica las cuentas activas. Con ello, se evita la proliferación de cuentas huérfanas y accesos no justificados, reduciendo riesgos de intrusión.
Cifrado y protección de datos
La norma ISO 27002 establece criterios claros sobre uso de cifrado en tránsito y en reposo, claves de cifrado y políticas de retención de datos. Esto ayuda a garantizar que la información sensible, especialmente la relacionada con protección de datos personales, esté siempre bajo salvaguardas robustas.
Resiliencia tecnológica
El estándar promueve pruebas periódicas de restauración de copias, revisión de planes de recuperación y simulacros de indisponibilidad de servicios críticos. Estas medidas garantizan que los equipos de TI puedan responder con agilidad ante fallos de infraestructura o ataques de ransomware.
Gestión de la cadena de suministro
ISO 27002 dedica controles específicos a la relación con terceros y proveedores. Esto se traduce en procesos de evaluación de seguridad, cláusulas contractuales y revisiones periódicas, apoyando la gestión de la ciberseguridad de proveedores críticos. Así se evitan brechas que provienen de la cadena de suministro.
Relación entre norma ISO 27001 e ISO 27002
Aunque son documentos diferentes, ambas normas funcionan como piezas complementarias de un mismo sistema. La ISO 27001 establece el marco de gestión, definiendo cómo se realiza el análisis de riesgos, qué documentos son obligatorios y cómo se certifica el SGSI. La norma ISO 27002, por su parte, proporciona la lista detallada de controles y la guía para aplicarlos en la práctica. El nexo entre ambas es la Declaración de Aplicabilidad, documento donde se decide qué controles se adoptan y se justifican en función de los riesgos identificados.
Beneficios de la norma ISO 27002 para la mejora continua
Una de las mayores ventajas de trabajar con la norma ISO 27002 es que facilita un ciclo de mejora continua. Cada incidente, auditoría o cambio tecnológico se traduce en una revisión de riesgos y un ajuste de controles. Esto permite a la empresa:
- Detectar debilidades: identificar brechas y errores antes de que deriven en incidentes graves.
- Priorizar inversiones: orientar presupuestos hacia medidas que realmente aporten valor frente al riesgo.
- Elevar la madurez de seguridad: pasar de una protección reactiva a una seguridad proactiva y planificada.
- Alinear seguridad con negocio: vincular cada control a un proceso, un activo y un riesgo identificado.
Norma ISO 27002 como hoja de ruta para TI
Para los responsables de TI y seguridad de la información, la norma ISO 27002 funciona como una hoja de ruta tangible. Permite estructurar proyectos de seguridad por fases, justificar decisiones ante auditorías y comunicar a la dirección los avances con indicadores claros. Además, contribuye a que la seguridad no dependa de decisiones aisladas, sino que forme parte de un marco sólido y reconocido.
The post ¿Qué es y para que sirve la norma ISO 27002? appeared first on PMG SSI – ISO 27001.
