¿Qué es ISO 27002?

La Organización Internacional de Normalización (ISO) es una entidad no gubernamental que existe para elaborar normas para temas principalmente técnicos. ISO 27002 es un conjunto de estándares y procedimientos que refuerza la seguridad de la información y los controles que permiten a una empresa realizar la seguridad adecuada. Hasta 2005, ISO 27002 tenía otros dos nombres. Esta norma se complementa en gran medida con ISO 27001, que detalla las tareas de gestión como la evaluación de riesgos y la revisión de la seguridad, en lugar del aspecto de control de 27002.

Dos normas vinieron antes de la ISO 27002, cada una similar en tema y en control. La primera encarnación fue en 1995 y apareció en el Reino Unido (Reino Unido) como BS7799. Después de ser limpiado y modernizado, fue publicado nuevamente por la ISO, esta vez como la ISO 17799. En 2005, después de más ediciones, se llamó ISO 27002. Si bien cada versión es diferente, y destaca sucesivamente problemas y controles más modernos, las tres encarnaciones se ocupan de la seguridad de la información.

El estándar 27002 destaca cientos de formas de lidiar con la seguridad de la información y tiene muchos capítulos diferentes para los diferentes aspectos de la protección de la información. Algunos capítulos tratan de los recursos humanos y su interacción con la información, mientras que otros le dicen a una empresa cómo controlar el acceso y la continuidad del negocio con su procedimiento de seguridad. La seguridad de la información generalmente implica tecnología de la información (TI), pero ISO 27002 también se ocupa de la información y los activos en papel, aunque la mayor parte del estándar está dirigido al departamento de TI.

En su primer lanzamiento, el estándar 27002 estaba destinado a ser un estándar de amplio alcance para todas las instituciones que necesitaban seguridad de la información. Esto significa que una empresa, un establecimiento sin fines de lucro, una agencia gubernamental y un negocio seguirían el mismo estándar. Las futuras publicaciones de este estándar se enfocan en separar el estándar para diferentes sectores para que sean más eficientes.

ISO 27002 detalla con gran detalle los controles y procedimientos involucrados en mantener la información segura. Otras normas, como la complementaria ISO 27001, solo ofrecen una o dos frases sobre el control. En cambio, 27002 se controla con gran detalle pero ofrece poco en el caso de la gestión. Con la ISO 27001 se especifican todos los aspectos de gestión.

Mucha gente confunde las normas ISO 27001 y 27002, porque tratan los mismos temas de diferentes formas. Esto significa que muchas personas se preguntan por qué el estándar se dividió en dos partes. La razón es que, si ambas partes existieran juntas, sería demasiado largo para una publicación.