La perspectiva de Cyber Academy
ISO 27002 es la guía de implementación de los controles del Anexo A de ISO 27001. No es certificable por sí sola. Los auditores la utilizan cuando quieren cuestionar CÓMO se opera un control, no solo si está «implantado». Trátela como el manual operativo que acompaña a la norma de certificación.
Qué es realmente la norma ISO/IEC 27002
ISO/IEC 27002 es la guía de implementación que acompaña a ISO 27001. Mientras que ISO 27001 es la norma certificable de sistema de gestión que enumera los controles del Anexo A y exige justificar cuáles se aplican, ISO 27002 explica cada uno de esos controles en profundidad: su propósito, cómo es una buena práctica y las consideraciones prácticas de ponerlo en operación. Es un código de buenas prácticas, no una lista de requisitos para marcar. No se certifica frente a ISO 27002 y un auditor no puede emitir una no conformidad directamente contra ella. La utiliza para interpretar el espíritu de un control del Anexo A y para cuestionar si su implementación es realmente adecuada a su finalidad.
Esa distinción importa en las auditorías reales. Una revisión superficial pregunta si un control está "implantado". Un auditor que recurre a ISO 27002 pregunta cómo lo opera: si la revisión de accesos ocurre realmente con la cadencia que usted afirma, si su registro captura los eventos que le permitirían detectar un incidente, si sus cláusulas con proveedores sobreviven al contacto con una brecha real. La norma da a ambas partes un vocabulario común para esa conversación, y por eso los profesionales la tratan como el manual operativo en lugar de como una lectura complementaria.
Cómo se relaciona con ISO 27001, la SoA y el SGSI
Los tres documentos forman una cadena. Su SGSI es el sistema de gestión que dirige todo el programa. ISO 27001 define qué debe hacer ese sistema y aporta el conjunto de controles. La Declaración de Aplicabilidad (SoA) registra, control por control, cuáles ha incluido, cuáles ha excluido y por qué. ISO 27002 es a donde acude para conocer el contenido de cada control una vez que la SoA le indica que se aplica. En la práctica, los equipos redactan la SoA con ISO 27001 abierta para el requisito e ISO 27002 abierta para la guía de implementación, y luego diseñan el control real conforme a la guía.
Las ediciones modernas de ISO 27002 organizan los controles en cuatro temas, organizativo, de personas, físico y tecnológico, y etiquetan cada uno con atributos como el tipo de control, la propiedad de seguridad que protege y el concepto de ciberseguridad pertinente. Esos atributos le permiten segmentar el conjunto de controles de distintas maneras, por ejemplo extrayendo todos los controles preventivos o todos los que apoyan la detección, lo que ayuda cuando establece correspondencias con otros marcos o construye un plan de tratamiento del riesgo.
Qué hacen realmente los profesionales con ella
En un programa en funcionamiento, ISO 27002 aparece en algunas tareas recurrentes:
- Diseñar controles: cuando la SoA marca un control como aplicable, la guía de implementación da forma a la política, el procedimiento o la configuración técnica que usted construye.
- Justificar decisiones: cuando adapta o delimita el alcance de un control, la guía le aporta el fundamento que debe registrar para que un auditor pueda seguir su razonamiento.
- Prepararse para la auditoría: los equipos usan la guía para poner a prueba sus propios controles antes de que lo haga el evaluador, cerrando la brecha entre "documentado" y "operando con eficacia".
- Establecer correspondencias entre marcos: la estructura de los controles y los atributos hacen de ISO 27002 una columna vertebral útil para hacer correspondencias con conjuntos de controles como los CIS Controls o las guías del NIST.
Como ISO 27002 es una guía y no un requisito estricto, el juicio queda de su parte. La norma describe la intención y la buena práctica; usted decide hasta dónde llegar en función de su evaluación del riesgo. Esa libertad es el objetivo. Permite que una pequeña consultoría y una multinacional reclamen ambas la conformidad con el mismo control, implementándolo a profundidades muy distintas, cada una adecuada a su riesgo.
Frequently asked questions
01¿Puede certificarse en ISO 27002?
No. ISO 27002 es un código de buenas prácticas y no es certificable. La certificación se otorga frente a ISO 27001, que define los requisitos auditables del sistema de gestión. ISO 27002 proporciona la guía de implementación en la que usted se apoya al construir los controles que ISO 27001 audita.
02¿Cuál es la diferencia entre ISO 27001 e ISO 27002?
ISO 27001 es la norma de requisitos frente a la que usted se certifica; enumera los controles del Anexo A y le obliga a justificar su inclusión o exclusión en la Declaración de Aplicabilidad. ISO 27002 es la guía complementaria que explica cómo se supone que debe implementarse y operarse cada uno de esos controles.
03¿Tengo que implementar todos los controles de ISO 27002?
No. Usted selecciona los controles según su evaluación del riesgo y registra las decisiones en la Declaración de Aplicabilidad. ISO 27002 describe cómo debería funcionar un control si decide aplicarlo; no obliga a aplicarlos todos.
04¿Cómo usan los auditores ISO 27002?
La usan como referencia de cómo es una implementación competente. En lugar de emitir una no conformidad contra ISO 27002 en sí, un auditor utiliza su guía para juzgar si su implementación de un control del Anexo A cumple realmente el objetivo del control, y no solo si hay algo nominalmente implantado.