A continuación compartimos un artículo realizado por nuestro CEO Iago Fortes sobre las novedades y los beneficios de la ISO 27001 y la ISO 27002:
Empiezo mi contribución con un breve artículo de un tema en general “árido”: ¡normativa!
Seré breve y espero que ameno para hablar de algo que me apasiona y que considero clave en la organización y gestión de la seguridad de la información o ciberseguridad.
Aunque existen muchos marcos o normativas (estándares): NIST, CIS, VDA-ISA (TISAX), ENS,… diría sin miedo a equivocarme que la serie ISO 27k ha sido la primera y siempre ha sido la que más me ha gustado por su enfoque global, estándar y complementario (con otras normas y sistemas, como Calidad-ISO 9001, etc.). Es más, varias de las que he mencionado (como VDA-ISA y ENS) se han basado siempre en la ISO 27k.
¿Qué son la ISO 27001 y la ISO 27002?
ISO 27001 (requisitos de un Sistema de Gestión de Seguridad de la Información – SGSI): Esta norma es común y muy similar (con diferencias relevantes solo en 1-2 de los 10 apartados de la norma) a cualquier otro Sistema de Gestión (ISO 9001: Calidad, ISO 14001: Medioambiente, ISO 50001: Energía, ISO 27701: Privacidad), con la salvedad de que tenemos un anexo. El Anexo A, que se refiere a un conjunto de controles, que precisamente replica el contenido de la siguiente (ISO 27002).
ISO 27002 (inicialmente buenas prácticas, ahora un conjunto de “Controles de Seguridad de la Información”): Se trata de un conjunto genérico de controles y guías y recomendaciones a alto nivel para su implementación. Si nos lo “curramos” nos ayuda a gestionar el ciclo de vida de nuestros controles (gestión de los mismos).
Considero las siguientes fases (o ciclo de vida) de un control (o conjunto de controles):
- Necesidad/Identificación (origen: Riesgo) – ISO 27001.
- Definición y Diseño – a alto nivel en ISO 27002 (ligada al siguiente).
- Implementación – el “grueso” de ISO 27002 (pero a alto nivel).
- Monitorización – a alto nivel en ISO 27001, y tendríamos otras referencias.
- Evaluación/Auditoría – a alto nivel en ISO 27001, y tendríamos otras referencias.
¿Qué cambios se han producido en las nuevas versiones? (de 2013 a 2022)
Han cambiado las 2 normas principales que hemos tratado, la primera (27001) con cambios menores, puesto que el sistema de gestión no cambia significativamente y sigue estando alineado a cualquier otro sistema de gestión.
Sin embargo, es la segunda (ISO 27002) la que tiene cambios muy significativos: Nº de Controles, Organización (categorización y clasificación) de los mismos, utilización de nuevos conceptos (atributos) para permitir más flexibilidad y mejor adaptación, por ejemplo, a sectores específicos (como puede ser el industrial, donde en otros marcos existen normas específicas).
Me centraré aquí en la ISO 27002 (o anexo A de la 27001), es decir en los controles.
En mi visión (y la de Inprosec) tratamos de enfocarnos de manera visual esquemática con la pirámide que publico junto con este artículo, donde organizamos los Dominios (en base a la norma del 2013) en 4 categorías: “Física”, “Legal”, “Organizativa” y “Técnica”.
Esta pirámide, en una sola visual nos permite:
- Mostrar los 11 Dominios (de controles) de la ISO 27002.
- Categorizarnos por colores en 4 categorías de seguridad (“Física”, “Legal”, “Organizativa” y “Técnica”).
- Clasificarlos en su nivel de jerarquía (algo no explícito en la pirámide): arriba lo más estratégico y abajo lo más operativo.
Precisamente el cambio principal de la versión 27002 es en la organización de los controles categorizados en las siguientes 4 categorías (3 coinciden y 1 no, en nuestra pirámide de la versión 2013): Organización (37), Personas (8), Instalaciones Físicas (14) y Tecnología (34), en total 93 controles.
La versión ISO 27002:2022 en una versión mejorada, más sencilla más práctica y más útil.
Si queréis profundizar en la serie ISO 27k, os recomiendo las mejores 2 opciones, 1 en español y otra en inglés:
· Sin duda la mejor opción (en inglés): Free ISO27k Forum (iso27001security.com)
· Y la mejor opción en español: Home (iso27000.es)
Espero que os haya resultado ameno y espero volver a contribuir en breve, para compartir conocimiento y aportar mi granito de arena para la mejora de la seguridad en la sociedad y las organizaciones.