Si estás aplicando controles de seguridad en tu empresa o preparándote para certificarte, probablemente ya escuchaste hablar de la norma ISO 27002. Es una de las normas más importantes en ciberseguridad, pero también una de las más confusas. ¿Es lo mismo que la 27001? ¿Cuál necesitas aplicar? ¿Se complementan o se elige una?
¿Qué es la norma ISO 27002?
La ISO 27002 es un estándar internacional que contiene una guía práctica para implementar controles de seguridad de la información. Su función es entregar un marco detallado para aplicar los controles definidos en el Anexo A de la ISO 27001, que es la norma certificable.
En otras palabras:
- ISO 27001 te dice qué controles necesitas.
- ISO 27002 te explica cómo aplicarlos.
La definición de ISO 27002 la describe como un conjunto de buenas prácticas orientadas a proteger la confidencialidad, integridad y disponibilidad de la información dentro de una organización. Aunque no es certificable, es esencial para cumplir correctamente con la ISO/IEC 27001 27002 como conjunto.
¿Qué cambios trajo la nueva versión de ISO 27002?
La actualización de ISO 27002:2022 reorganizó completamente los controles y mejoró su usabilidad. Lo más importante:
✅ Reorganización temática
- Se redujeron de 114 a 93 controles. Algunos fueron eliminados, otros fusionados, y se agregaron 11 nuevos.
- Los controles se reestructuraron en 4 bloques temáticos, en lugar de los 14 dominios anteriores:
- Controles organizacionales (37): políticas, gestión de riesgos, roles, etc.
- Controles centrados en personas (8): condiciones de empleo, concienciación, acceso humano.
- Controles físicos (14): seguridad de oficinas, accesos, protección de activos físicos.
- Controles tecnológicos (34): autenticación, cifrado, gestión de identidades, entre otros.
- Controles organizacionales (37): políticas, gestión de riesgos, roles, etc.
Atributos y clasificación
Además, ahora cada control incluye atributos específicos que permiten clasificarlo y gestionarlo de forma más práctica.
- Tipo de control: define su función frente al riesgo: #Preventivo, #Detectivo o #Correctivo.
- Propiedad de seguridad: determina si protege la #Confidencialidad, #Integridad o #Disponibilidad.
- Dominios de ciberseguridad (basado en NIST): #Identificar, #Proteger, #Detectar, #Responder, #Recuperar.
- Capacidad operacional: permite agrupar controles por foco operativo, como #Gestión de activos, #Accesos, #Continuidad o #Legal y cumplimiento.
- Dominio de seguridad: da contexto de aplicación: #Defensa, #Gobierno_y_ecosistema, #Protección o #Resiliencia.
¿Y cuáles son las diferencias entre ISO 27001 y 27002?
Aunque suelen mencionarse juntas, al comparar qué es la ISO 27002 y qué es la norma ISO 27001, puedes darte cuenta de que ambas cumplen funciones diferentes dentro de una misma estrategia de seguridad.
ISO 27001 | ISO 27002 | |
Certificable | Sí | No. Solo funciona como una guía práctica de implementación. |
Propósito | Establece los requisitos mínimos para implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI). | Entrega el detalle de cómo aplicar los controles definidos en la 27001. |
Contenido | Incluye el Anexo A con la lista de controles, pero no explica su implementación. | Describe uno por uno cómo aplicar esos controles en la operación real. |
Aplicación en auditorías | Es la norma que se audita para obtener certificación. | Se utiliza como referencia técnica para demostrar cumplimiento durante ese proceso. |
Rol práctico | Te dice qué controles necesitas. | Te muestra cómo aplicar los controles en tu empresa. |
¿Cómo afecta esto a tu empresa?
En Latinoamérica, cada vez más organizaciones operan bajo normativas que exigen pruebas concretas de cumplimiento en ciberseguridad. Y es que las normas ISO 27001 y 27002 funcionan como base técnica para responder ante reguladores y clientes corporativos.
Por lo mismo, en Hackmetrix ofrecemos este servicio para distintos países de la región:
- Certificación ISO 27001 en México
- Certificación ISO 27001 en Colombia
- Certificación ISO 27001 en Chile
Pero atento, si tu empresa ya cuenta con un SGSI basado en ISO 27001, es importante saber que tienes hasta tres años para alinear tu declaración de aplicabilidad con la versión 2022 de la ISO 27002. Esto significa revisar qué controles aplican a tu operación real y actualizar tu enfoque de gestión de manera estratégica.
¿Qué características tiene la ISO 27002?
La nueva ISO 27002 características clave son:
- Modularidad: los controles se agrupan por función y no por dominio rígido.
- Adaptabilidad: los atributos permiten filtrar y aplicar según el contexto operativo.
- Compatibilidad: se alinea con marcos de ciberseguridad como NIST y normativas locales.
- Claridad: mejora la comprensión técnica, incluso en equipos no expertos.
Cómo te ayuda Hackmetrix
Si estás alineando tus controles con la ISO 27002 o preparando una auditoría para certificación ISO 27001, trabajamos contigo para que el cumplimiento sea parte de tu forma de operar.
Te ayudamos a:
- Diagnosticar y actualizar tu SGSI según la nueva ISO 27002.
- Prepararte para una futura auditoría o certificación ISO 27001.
- Implementar controles prácticos y adaptados a tu operación real.
Cuando tus clientes te exigen seguridad, estamos acá para ayudarte a demostrarla.
¿Quieres revisar tus controles según ISO 27002? Contacta a nuestros expertos.