ISO/IEC 27002:2022 Controles Organizacionales. Todo lo que necesita saber

ISO/IEC 27002:2022

ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información, proporciona un conjunto de referencia de controles genéricos de seguridad de la información, incluida una guía de implementación. Aborda la ciberseguridad y protección de datos y ha evolucionado con respecto a su primera publicación en 2005. Ahora el contenido es más completo e integral y se basa en resiliencia, protección, defensa y gestión.

El estándar cuenta con controles que se detallan desde la cláusula 5 hasta la 8 y se denominan temas. Los controles se clasifican como:

1. físicos, si se trata de objetos físicos;
2. propiedades de seguridad de la información (confiabilidad, disponibilidad e integridad).
3. personas, si se refieren a individuos;
4. tecnológicos, si se trata de tecnología.

Organización de controles ISO 27002:2022

Para entender la manera en que los controles están dispuestos en la norma, debemos tomar en cuenta que estos se organizan de la siguiente manera:

• Tipo de control: es un atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con respecto a la ocurrencia de un incidente de seguridad de la información. Los valores de los atributos consisten en preventivo, detectivo y correctivo.
• Propiedades de seguridad de la información: son un atributo para ver los controles desde la perspectiva de qué característica de la información contribuirá a preservar el control.
• Conceptos de ciberseguridad: son un atributo para ver los controles desde la perspectiva de la asociación de controles a los conceptos de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110. Los valores de atributo consisten en identificar, proteger, detectar, responder y recuperar.
• Capacidades operativas: Las capacidades operativas son un atributo para ver los controles desde la perspectiva del profesional de las capacidades de seguridad de la información
• Dominios de seguridad: es un atributo para ver los controles desde la perspectiva de seguridad de la información. Busca garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

Reconocer un control ISO 27002:2022

¿Cómo saber que estamos ante un control? Es fácil reconocerlo, puesto que cada uno de ellos cuenta con un título, tabla de atributos, control, propósito, orientación y otra información. El primero que encontraremos es el control cinco, que está referido a los controles organizacionales. El apartado 5.1 alude a las políticas de seguridad de la información. Lo que observaremos, a continuación, será esta tabla:

Controles organizacionales ISO 27002:2022

En concreto, el control expresa que: “la política de seguridad de la información y las políticas específicas del tema deben ser definidas, aprobadas por la gerencia, publicadas, comunicadas y reconocidas por el personal relevante y las partes interesadas relevantes, y revisadas a intervalos planificados y si ocurren cambios significativos”. El objetivo es garantizar la idoneidad, la adecuación y la eficacia continuas de la dirección de gestión y el apoyo a la seguridad de la información de acuerdo con los requisitos comerciales, legales, estatutarios, reglamentarios y contractuales.

También se ofrece una guía en la que consta que, al más alto nivel, la organización debería definir una “política de seguridad de la información” que sea aprobada por la alta dirección y que establezca el enfoque de la organización para gestionar su seguridad de la información.

El estándar insta a tomar en consideración los requisitos derivados de:

• estrategia comercial y requisitos;
• reglamentos, legislación y contratos;
• los riesgos y amenazas actuales y proyectados para la seguridad de la información.
• La norma es enfática cuando propone que la política de seguridad de la información debe contener declaraciones relativas a:
  • definición de seguridad de la información;
  • objetivos de seguridad de la información o el marco para establecer objetivos de seguridad de la información;
  • principios para guiar todas las actividades relacionadas con la seguridad de la información;
  • compromiso de satisfacer los requisitos aplicables relacionados con la seguridad de la información;
  • compromiso con la mejora continua del sistema de gestión de seguridad de la información;
  • asignación de responsabilidades para la gestión de la seguridad de la información a roles definidos;
  • procedimientos para el manejo de exenciones y excepciones.

Políticas ISO 27002-2022

Según la norma ISO/IEC 27002: 2018 la política de seguridad de la información debe estar respaldada por políticas específicas del tema según sea necesario, para exigir aún más la implementación de controles de seguridad de la información. Las políticas de temas específicos generalmente se estructuran para abordar las necesidades de ciertos grupos objetivo dentro de una organización o para cubrir ciertas áreas de seguridad. Las políticas específicas de un tema deben estar alineadas y complementarse con la política de seguridad de la información de la organización. Las diferencias entre ambas se pueden visualizar claramente en la siguiente tabla:

Roles y responsabilidades ISO 27002 2022

En cuanto a los roles y responsabilidades de seguridad de la información (5.2) deben definirse y asignarse de acuerdo con las necesidades de la organización.

La segregación de funciones es el tema que ocupa el 5.3 y tiene como objetivo reducir el riesgo de fraude, error y elusión de los controles de seguridad de la información.

La norma incluye aspectos dignos de estudio y será una herramienta poderosa para quienes trabajamos arduamente en la seguridad de la información. En la próxima entrega ofreceremos más datos de ISO/IEC 27002:2022

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.