ISO 27002

Partage

Los expertos en están familiarizados con la norma ISO 27002. Algunos se inspiran en ella para garantizar la salud del sistema de información de su empresa o para mantener la certificación ISO 27001 de su SGSI, mientras que otros la consideran desde la distancia, sin ver en ella ningún interés para su organización.

Y, sin embargo, esta norma dista mucho de estar reservada únicamente a una determinada categoría de empresas, sujetas a una reglamentación específica, sobre todo teniendo en cuenta que se actualizará en 2022. De hecho, puede ayudar a mejorar la postura de cualquier organización… siempre que se sepa cómo utilizarla y con qué herramientas.

¿QUÉ ES LA ISO 27002?

En esencia, ISO 27002 es una norma internacional que proporciona un conjunto de directrices y mejores prácticas para la gestión de la seguridad de la información en las organizaciones.

¿Cuál es la diferencia entre ISO 27001 e ISO 27002?

El objetivo de la norma ISO 27001 es proporcionar a las empresas de todos los tamaños un marco para aplicar la gobernanza de la SI. Propone un enfoque pragmático de la gestión de la seguridad de la información, basado en una evaluación precisa de los riesgos. Consiste en un conjunto de requisitos que las empresas deben cumplir para obtener la certificación, o a los que pueden remitirse para desarrollar su propia política de gobernanza.

ISO 27002, por su parte, es la caja de herramientas de buenas prácticas en la que se basa 27001. Consiste en recomendaciones sobre la elección y despliegue de las mejores medidas de seguridad. ciberseguridad Esté o no certificado, la norma 27002 tiene por objeto mejorar la postura de su empresa.

Sin embargo, ¡sería un error reducir la norma ISO 27002 a un simple apéndice de la norma ISO 27001, o a una guía de buenas prácticas para el éxito de la certificación! Aunque históricamente se diseñó con esta intención, hoy en día se considera un apoyo estratégico para cualquier entidad que desee mantener la seguridad de su sistema de información a un buen nivel.

La nueva versión, recientemente publicada, ha sido rediseñada para incorporar todos los riesgos asociados a los nuevos desarrollos tecnológicos y a las amenazas que el mundo de la informática ha encontrado en los últimos 10 años: explosión del teletrabajo, migración a la Nube, uso de múltiples aplicaciones, etc.

Esta actualización hace que la norma ISO 27002 sea aún más interesante de utilizar,incluso para las empresas que no estén interesadas en la certificación ISO 27001.Proporciona todos los elementos necesarios para construir su propia estrategia, así como los procesos que debe seguir para mantener su SI en una buena postura de seguridad.

Algunos ejemplos de aplicaciones de la norma ISO 27002
  • Bancos e instituciones financieras

    Un gran banco que utilice la norma ISO 27002 puede reforzar sus medidas de seguridad de la información en respuesta a la creciente amenaza de ciberataques en el sector financiero. Al aplicar los controles de la norma, pone en marcha..:

    • políticas estrictas de gestión del acceso;
    • supervisión continua de los sistemas ;
    • procedimientos de respuesta a incidentes bien definidos.

    El resultado: menor riesgo de fraude y robo de datos, y mayor confianza de los clientes.

  • Hospitales y establecimientos sanitarios

    Un hospital puede adoptar la norma ISO 27002 para proteger los datos sensibles de los pacientes. Esto incluye:

    • aplicación de controles de acceso estrictos;
    • formación del personal en buenas prácticas de seguridad;
    • el uso del cifrado para proteger los historiales médicos electrónicos.

    Así se preserva la confidencialidad de la información de los pacientes y se facilita el cumplimiento de la normativa sobre protección de datos sanitarios (HDS).

  • Empresas de comercio electrónico

    Para una empresa de comercio electrónico, la implantación de la norma ISO 27002 ayuda a asegurar las transacciones en línea y a proteger la información de los clientes. Introduce controles como :

    • codificación de los datos de pago;
    • auditorías periódicas de seguridad;
    • pruebas de penetración (pentests) para identificar vulnerabilidades.

    Estas medidas son una garantía de protección contra el fraude en línea y, por tanto, un aumento de la confianza de los consumidores.

  • Administraciones públicas

    Las autoridades locales (entre otras) también pueden beneficiarse del cumplimiento de la norma ISO 27002. Gestión de acceso basada en roles, supervisión de sistemas para detectar actividades sospechosas, implantación de planes de continuidad de negocio… … Todos con el mismo (triple) objetivo:

    • protección de los datos personales de los ciudadanos ;
    • mejorar la resistencia de los servicios públicos ;
    • cumplimiento de la legislación sobre protección de datos.
  • Empresas de consultoría informática

    Una consultoría informática, incluso más que otras organizaciones, tiene todo el interés en adoptar la norma ISO 27002 para proteger la información de sus clientes y sus propios sistemas internos. Esto implica:

    • aplicar políticas de seguridad sólidas;
    • realizar evaluaciones periódicas de los riesgos;
    • ofrecer formación continua a su personal sobre las amenazas emergentes.

    Las ventajas de este enfoque son numerosas: mayor seguridad de la información de los clientes, mejor gestión de los riesgos de seguridad interna, diferenciación en el mercado como empresa preocupada por la seguridad, etc.

  • Universidades y centros de enseñanza

    Cuando pensamos en ciberseguridad, no solemos pensar en las escuelas, ¡y sin embargo también se enfrentan aproblemas de seguridad informática! Por ejemplo, una universidad puede aplicar la norma ISO 27002 para proteger la información académica y personal de estudiantes y personal. Esto incluye establecer controles de acceso a los sistemas de información, políticas de gestión de contraseñas y procedimientos de respuesta a incidentes de seguridad. Estas medidas contribuyen, entre otras cosas, a mantener o mejorar la reputación del establecimiento.

ISO 27002: NOVEDADES DE LA VERSIÓN 2022

En su versión 2022, la norma ISO 27002 se ha mejorado para que las medidas que deben tenerse en cuenta sean más claras y estén más adaptadas a la evolución tecnológica que ha experimentado el mundo en los últimos años. El teletrabajo, la nube, BYOD (bring your own device), el aumento y la evolución de las ciberamenazas… han llevado a la Organización Internacional de Normalización a replantearse la estructura del documento.

Esta nueva versión ofrece una estructura más ligera, con una reducción significativa de los controles en comparación con la versión de 2013. Pero la gran novedad de 2022 es la creación de atributos. Este concepto, aclamado por los expertos, ofrece una forma estandarizada de ordenar y filtrar los controles, lo que le permite beneficiarse de distintas vistas en función de sus necesidades.

Bonificación: estos atributos tienden a facilitar la integración de los controles de la norma ISO 27002:2022 con otros marcos de seguridad similares, como la gestión de riesgos del NIST.

ISO 27002: VENTAJAS Y RETOS

¿Cuáles son las ventajas de la norma ISO 27002?

También conocida como “Código de buenas prácticas para la gestión de la seguridad de la información”, la norma ISO 27002 ofrece muchas ventajas a las organizaciones que la adoptan.

  • #1 Mejorar su postura de seguridad

    La norma ISO 27002 ofrece un marco de buenas prácticas para la gestión de la seguridad de la información. En esencia, ayuda a las organizaciones a proteger sus activos de información frente a una serie de amenazas, y ese es su principal objetivo. Al ayudarles a identificar, evaluar y gestionar sus ciberriesgos, la norma ISO 27002 permite a las organizaciones aplicar medidas y controles adecuados para mitigarlos.

  • #2 Garantizar el cumplimiento de la normativa

    Muchas leyes y normativas exigen medidas específicas de gestión de la seguridad de la información. La norma ISO 27002 ayuda a las organizaciones a cumplir estos requisitos legales y reglamentarios, reduciendo el riesgo de sanciones y multas. La norma ISO 27002 está diseñada para ser utilizada conjuntamente conla norma ISO/IEC 27001: su combinación permite a las organizaciones implantar y mantener un SGSI coherente y eficaz.

  • #3 Inspirar confianza

    La adopción de la norma ISO 27002 demuestra a clientes, socios y partes interesadas que la organización se lo toma en serio. Esto puede generar confianza y mejorar la reputación de la empresa.

  • #4 Optimizar los procesos y la cultura empresarial

    La norma ISO 27002 fomenta el uso de procesos y prácticas eficaces para gestionar su ciberseguridad. El resultado: una mejor gestión de los recursos e incluso una reducción de los costes asociados a los incidentes de seguridad. El objetivo es también promover una cultura de la seguridad en la empresa, sensibilizando y formando a los empleados en buenas prácticas cibernéticas. Por último, pero no por ello menos importante, la norma ISO 27002 anima a las organizaciones a revisar y mejorar continuamente sus prácticas de seguridad de la información, garantizando que los controles sigan siendo eficaces frente a la evolución de las amenazas.

Dificultades de establecimiento

Aunque esta norma puede ayudar a los CISO, una de sus principales características es que es exhaustiva, lo que implica un gran volumen de datos a procesar. Sin embargo, una estrategia de ciberseguridad incluye otros elementos, como el calendario de implantación, el seguimiento, la verificación de la aplicación de las acciones y los controles, todo lo cual puede repercutir en el nivel de seguridad previsto.

Para gestionar este proyecto puede utilizarse una herramienta como Excel. Sin embargo, la cantidad de información que hay que manipular (consolidar y notificar) hace que se quede obsoleta rápidamente, e incluso puede obstaculizar la correcta gestión de la política de seguridad, poniendo en peligro a la empresa. Lo mismo ocurre con las herramientas “caseras”.

OPTIMICE LA GESTIÓN DE LA CONFORMIDAD CON ISO 27002

La gran mayoría de los CISO o ISSM utilizan (¿demasiados?) muchos archivos (Excel, Word, etc.) para gestionar su gobernanza y, en particular, su conformidad con la norma ISO 27002. En un estudio publicado en 2021 por IDG para ReliaQuest, el 70 % de los CISO afirmaron que la gestión de la seguridad se había vuelto tan laboriosa que limitaba su capacidad para proteger su negocio.

En este contexto, y para ayudarles a organizar y gestionar su ciberseguridad día a día, se han desarrollado soluciones CRM de nueva generación (¡como Tenacy!). Estas soluciones reúnen todos los procesos de gestión cibernética de forma centralizada, medida e interconectada. Tienen la ventaja de integrar todas las medidas ISO 27002 en una única consola de administración.

Gestión de atributos

El objetivo de los “atributos” introducidos por la norma ISO 27002:2022 es ayudar a las organizaciones a seleccionar áreas de mejora de acuerdo con sus propias políticas, o facilitar la elaboración de informes.

En la práctica, sin embargo, esto puede resultar tedioso para un CISO que utilice herramientas caseras. Ni siquiera un experto en tablas dinámicas será capaz de:

  • integrar todos los elementos que componen la norma ISO 27002:2022 en un único archivo Excel;
  • añadir interconexiones para hacerlo “inteligente”;
  • para mantenerla en el tiempo.

Al cambiar a una solución GRC, el CISO se beneficia del poder de una herramienta “inteligente” capaz de alinear las acciones con la estrategia. En unos pocos clics, por ejemplo, pueden conocer su nivel de cumplimiento en función del atributo que hayan elegido y de su plan de acción.

De este modo, dispondrán de una imagen clara del progreso y el impacto de las medidas que han puesto en marcha en la postura de su organización, lo que les permitirá tomar decisiones con conocimiento de causa.

Para saber cómo podemos ayudarte a gestionar el cumplimiento de la norma ISO 27002, reserva una demostración de la plataforma.

Reservo una demostración