ISO 27001 vs ISO 27002: Una comparación
La ciberseguridad es una amenaza constante en la actualidad. Implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) puede ayudar a las empresas a gestionar los riesgos para la seguridad de la información, pero para algunas puede ser un mundo que les resulte un poco ajeno. Les será de gran ayuda la ISO 27001 (seguridad de la información) y la ISO 27002 (controles de seguridad de la información), ambas normas de la familia ISO/IEC 27000, diseñadas para ayudar a las organizaciones a mantener seguros los activos de información.
Antes de comparar las dos normas hay que señalar que, aunque comúnmente se las denomine ISO 27001 e ISO 27002, en realidad es incorrecto. Ambas normas fueron desarrolladas y publicadas conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI) y se denominan correctamente ISO/IEC 27001 e ISO/IEC 27002. Sin embargo, muchos siguen refiriéndose a las dos normas como ISO 27001 e ISO 27002.
Comprender las diferencias entre ISO 27001 e ISO 27002 es clave para aplicar las prácticas adecuadas de gestión de la seguridad de la información.
¿Qué es la norma ISO/IEC 27001?
Para hacer frente a las amenazas a la seguridad de la información y cumplir la normativa nacional o regional en este ámbito, lo ideal es que las organizaciones adopten un SGSI. ISO/IEC 27001 es la norma internacional más reconocida para SGSI. Entre las Among the ventajas de la norma ISO/IEC 27001: ayuda a las organizaciones a establecer la política, los objetivos y los procesos de gestión de la seguridad de la información, y a comprender cómo pueden gestionarse los aspectos importantes, aplicar los controles necesarios y fijar objetivos claros para mejorar la seguridad de la información.
Adopta un enfoque integral de la seguridad de la información. Los activos que necesitan protección van desde la información digital, los documentos en papel y los activos físicos (ordenadores y redes) hasta los conocimientos de cada empleado. Los temas a tratar van desde el desarrollo de competencias del personal hasta la protección técnica contra el fraude informático.
ISO/IEC 27001 está diseñada para ser compatible y armonizada con otras normas reconocidas de sistemas de gestión. Por lo tanto, es ideal para su integración en los sistemas y procesos de gestión existentes, aunque sean de otras áreas.
Más información sobre el curso de formación de auditor interno ISO 27001.
¿Qué es la norma ISO 27002?
Parte de la implantación de un SGSI consiste en comprender qué amenazas y riesgos existen. La norma ISO/IEC 27001 exige que las organizaciones identifiquen los riesgos para la seguridad de la información y seleccionen los controles adecuados para hacerles frente. En una pequeña o mediana empresa en la que la competencia del personal no se centra en TI, esto puede ser una perspectiva muy desalentadora. Incluso para organizaciones más grandes con un departamento de TI, la gama completa de riesgos puede no ser obvia.
ISO/IEC 27001 contiene un elemento útil en el Anexo A, que es una lista de 93 controles de seguridad que una organización puede necesitar considerar. Sin embargo, es algo escasa a la hora de sugerir exactamente cómo se pueden aplicar los controles.
ISO/IEC 27002 es una norma de orientación complementaria a ISO/IEC 27001 que amplía la información del Anexo A describiendo cada control con más detalle y proporciona un código de prácticas para los controles de seguridad de la información. Ofrece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información dentro de una organización.
Descubre más sobre el curso de formación ISO 27002.
¿Cuál es la diferencia entre ISO 27001 e ISO 27002?
La principal diferencia entre ISO/IEC 27001 e ISO/IEC 27002 radica en su enfoque y aplicación. ISO/IEC 27001 es una norma certificable que establece los criterios para un SGSI. Incluye requisitos para establecer, implantar, mantener y mejorar continuamente un SGSI. Las organizaciones que obtienen la certificación pueden demostrar fácilmente a las partes interesadas que se toman en serio la seguridad de la información. Esto puede tranquilizar a los clientes y socios comerciales y satisfacer a los reguladores en el sentido de que la organización cumple los requisitos legales.
Por otro lado, ISO/IEC 27002 no es una norma certificable, sino un documento de orientación exhaustivo que describe las mejores prácticas para los controles de seguridad de la información que deben tenerse en cuenta en el contexto del SGSI de la organización. Abarca aspectos clave de la ciberseguridad, como el control de acceso, la criptografía, la seguridad de los recursos humanos y la respuesta a incidentes. Haciendo uso de las directrices ISO/IEC 27002, las empresas pueden adoptar un enfoque proactivo de la gestión de riesgos de ciberseguridad y proteger la información crítica frente a accesos no autorizados y pérdidas.
¿Cuándo deben utilizar las empresas cada norma?
La norma ISO/IEC 27001 debe ser utilizada por las organizaciones que deseen establecer un SGSI formal y obtener la certificación de un tercero independiente para demostrar el cumplimiento de las mejores prácticas de seguridad de la información. Esto puede ser un «billete para el comercio» en muchos casos, ya que los clientes y las partes interesadas buscan proteger sus propios datos valiosos y personales. Además, puede ayudar a proteger la empresa mediante estrategias de continuidad del negocio y resistencia.
ISO/IEC 27002 se utiliza mejor como referencia para seleccionar e implementar controles dentro del SGSI basados en los requisitos de ISO 27001. Puede ser particularmente útil para las organizaciones que buscan mejorar sus prácticas de gestión de la seguridad de la información sin buscar necesariamente la certificación. Aunque no se busque la certificación ISO/IEC 27001, la adopción de los controles establecidos en ISO/IEC 27002 proporcionará a la organización cierto grado de protección frente a las ciberamenazas.
Ambas normas se actualizan periódicamente para tener en cuenta los nuevos avances y prácticas en un campo de amenazas y exigencias en rápida evolución.
