ISO 27001 e ISO 27002 ¿Quién fue antes el huevo o la gallina?

ISO 27002

Siempre que se hace referencia al concepto de seguridad de la información nos viene a la cabeza la norma ISO 27001. Esta normativa es muy clave dentro del contexto referido ya que, es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. Esta toma como base todos los riesgos a los que se enfrenta una determinada organización en su día a día, teniendo como objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de la información de la organización.

Aun así, no se debe olvidar el papel que ocupan otras normas dentro de esta familia. Este es el caso de la ISO 27002, la cual establece un catálogo de buenas prácticas que determina, desde la experiencia, una serie de objetivos de control y controles que se integran dentro de todos los requisitos de la norma ISO 27001 en relación con el tratamiento de los riesgos.

Independientemente del contenido de cada una, hay que tener en cuenta un aspecto bastante importante en relación a ambas normas: la ISO 27001 es certificable y la ISO 27002 no lo es ¿Por qué motivo? Se preguntarán. La ISO 27002 no es certificable debido a que no contiene requisitos, es decir, en su contenido no contiene exigencias que toda organización que quiera certificarla debería cumplir. Esto requisitos si están presentes en la ISO 27001. A manera de regla generalizada, en las normas ISO, aquellas que contienen requisitos son aquellas que tienen el 01 al final del número de identificación, como por ejemplo las ISO 9001, 14001, 45001, etc, aunque no siempre ocurre así.

¿Entonces cual hay que poner en práctica primero?

He aquí la cuestión: Existen muchas dudas por parte de responsables de seguridad de la información y gerentes sobre cual debe ir antes de cara a implementar un Sistemas de Gestión de Seguridad de la Información.

Como mencionábamos anteriormente, ISO 27002 es simplemente una guía de buenas prácticas de cara a implementar los requisitos de la ISO 27001. De hecho, su contenido es una guía de implementación de los 114 controles que recoge el anexo A de la ISO 27001. Por tanto, hay que señalar que ISO 27002 no se implanta. Eso sí, habrá que tener en cuenta que si no se establecen los controles que se van a implementar (que no tienen por qué ser todos) no habrá buenas prácticas que llevar a cabo.

En resumidas cuentas, se podría decir que ISO 27001 es el ¿Qué? e ISO 27002 es el ¿Cómo?. Analicemos detenidamente el objetivo de cada una:

• ISO 27001 te indicará que tienes que cumplir con los requisitos “x” y “z” para llevar a cabo el control de un determinado activo de la información de tu organización.
• Por su parte ISO 27002 señalará que debes hacer en la práctica para poder cumplir con los requerimientos “x” y “z” que indica la ISO 27001 para este punto.

Un buen análisis es la clave

Una vez aclarado esto, se hace más sencillo entender la importancia de la norma ISO 27001 como Sistema de Gestión de Seguridad de la Información. Sin embargo, será igual de importante el papel que ocupa dentro de todos los requisitos de la norma ISO 27002 como guía de buenas prácticas para implantar controles y que garantizarán la seguridad de la información gracias a sus recomendaciones.

No cabe ninguna duda de que sin un buen análisis de las causas que afectan a la seguridad de la información de una organización, será imposible establecer buenos controles que ayuden a gestionar los activos a controlar, así como los requisitos para obtener la certificación en ISO 27001.

A la hora de establecer los controles será recomendable comenzar por el contexto, las partes interesadas para pasar posteriormente a ver el alcance  y la definición de los procesos del negocio así como los de seguridad de la información.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla.

El Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.