ISO 27002 explicada:su modelo para controles sólidos de seguridad de la información

La Organización Internacional de Normalización (ISO) es una entidad no gubernamental que existe para elaborar normas para temas principalmente técnicos. ISO 27002 es un conjunto de estándares y procedimientos que imponen controles y seguridad de la información que permiten a una empresa realizar la seguridad adecuada. Hasta 2005, la ISO 27002 tenía otros dos nombres. Esta norma se complementa en gran medida con la ISO 27001, que detalla las tareas de gestión como la evaluación de riesgos y la revisión de la seguridad, en lugar del aspecto de control de la 27002.

Dos estándares precedieron a la ISO 27002, cada uno similar en tema y control. La primera encarnación fue en 1995 y apareció en el Reino Unido (Reino Unido) como BS7799. Después de ser limpiado y modernizado, ISO lo publicó nuevamente, esta vez como ISO 17799. En 2005, después de más ediciones, se llamó ISO 27002. Si bien cada versión es diferente y destaca sucesivamente problemas y controles más modernos, las tres encarnaciones tratan sobre la seguridad de la información.

El estándar 27002 destaca cientos de formas de abordar la seguridad de la información y tiene muchos capítulos diferentes para los diferentes aspectos de la seguridad de la información. Algunos capítulos tratan sobre recursos humanos y su interacción con la información, mientras que otros le dicen a una empresa cómo controlar el acceso y la continuidad del negocio con su procedimiento de seguridad. La seguridad de la información generalmente implica tecnología de la información (TI), pero ISO 27002 también se ocupa de la información y los activos en papel, aunque la mayor parte del estándar está dirigido al departamento de TI.

En su primera versión, el estándar 27002 pretendía ser un estándar amplio para todas las instituciones que necesitaban seguridad de la información. Esto significa que una empresa, un establecimiento sin fines de lucro, una agencia gubernamental y un negocio seguirían el mismo estándar. Las futuras publicaciones de esta norma se centran en separar la norma para diferentes sectores para que sea más eficiente.

ISO 27002 entra en gran detalle sobre los controles y procedimientos involucrados para mantener segura la información. Otras normas, como la complementaria ISO 27001, sólo ofrecen una o dos frases sobre el control. En cambio, 27002 aborda el control con gran detalle pero ofrece poco en el caso de la gestión. Con la ISO 27001 se especifican todos los aspectos de gestión.

Mucha gente confunde las normas ISO 27001 y 27002, porque tratan los mismos temas de diferentes maneras. Esto significa que muchas personas se preguntan por qué la norma se dividió en dos partes. La razón es que, si ambas partes existieran juntas, sería demasiado largo para una sola publicación.

About Mechanics se dedica a proporcionar información precisa y confiable. Seleccionamos cuidadosamente fuentes acreditadas y empleamos un riguroso proceso de verificación de datos para mantener los más altos estándares. Para obtener más información sobre nuestro compromiso con la precisión, lea nuestro proceso editorial.