IEC 27002

``

Descripción general de ISO/IEC 27002

ISO/IEC 27002 es un código de buenas prácticas que proporciona un catálogo detallado de controles de seguridad de la información. Su objetivo es servir de guía para:

• Diseñar
• Implementar
• Mantener
• Mejorar continuamente

los controles dentro de un SGI / SGSI (Sistema de Gestión de la Seguridad de la Información).

No es una norma certificable por sí misma, sino un documento de referencia que complementa a IEC 27001, ayudando a seleccionar y aplicar controles adecuados según el contexto de la organización.

Enlace introductorio:

• ¿Qué es la norma ISO 27002 y para qué sirve? - GlobalSuite Solutions

Relación con ISO/IEC 27001

ISO/IEC 27002 actúa como soporte operativo de ISO/IEC 27001:

• ISO/IEC 27001 define qué requisitos cumplir
• ISO/IEC 27002 explica cómo implementar controles concretos

Aspectos clave de la relación:

• La Declaración de Aplicabilidad (SoA) de ISO 27001 suele basarse en los controles de ISO/IEC 27002
• Facilita la justificación de:
  • Inclusión de controles
  • Exclusión de controles
  • Nivel de madurez esperado
• Aporta coherencia y trazabilidad entre riesgos y controles

Guía de controles de seguridad

ISO/IEC 27002 organiza los controles en dominios temáticos, cada uno con objetivos y controles específicos. Estos controles cubren aspectos técnicos, organizativos y humanos.

Referencia punto a punto:

• ISO 27002 punto a punto - A5 Políticas de Seguridad de la Información

A5 – Políticas de Seguridad de la Información

Controles orientados a:

• Definir políticas formales de seguridad
• Aprobarlas por la dirección
• Comunicarlas y revisarlas periódicamente

Incluye:

• Política marco de seguridad
• Políticas específicas (accesos, criptografía, uso aceptable)
• Revisión ante cambios organizativos o regulatorios

A6 – Organización de la seguridad de la información

Enfocado en la gobernanza:

• Roles y responsabilidades
• Segregación de funciones
• Coordinación entre áreas
• Seguridad en proyectos y terceros

A7 – Seguridad de los recursos humanos

Controles antes, durante y después de la relación laboral:

• Verificaciones previas
• Concienciación y formación
• Procedimientos disciplinarios
• Revocación de accesos tras la desvinculación

A8 – Gestión de activos

Protección basada en inventario y clasificación:

• Identificación de activos de información
• Asignación de propietarios
• Clasificación y etiquetado
• Uso aceptable y manejo seguro

A9 – Control de acceso

Garantiza que solo usuarios autorizados accedan a la información:

• Gestión de identidades
• Autenticación
• Autorización
• Principio de mínimo privilegio

Incluye:

• Accesos lógicos
• Accesos físicos
• Gestión de usuarios privilegiados

A10 – criptografia

Controles específicos para proteger la confidencialidad, integridad y autenticidad mediante técnicas criptográficas:

• Políticas de uso de criptografía
• Gestión del ciclo de vida de claves
• Selección de algoritmos seguros
• Protección de claves privadas y secretas

Aspectos ampliados:

• Uso de criptografía en tránsito y en reposo
• Relación con PKI
• Cumplimiento legal y regulatorio (exportación, privacidad)

A11 – Seguridad física y del entorno

Protección de instalaciones y equipamiento:

• Control de accesos físicos
• Protección frente a amenazas ambientales
• Zonas seguras
• Seguridad del puesto de trabajo

A12 – Seguridad de las operaciones

Asegura la operación segura de sistemas:

• Procedimientos documentados
• Gestión de cambios
• Copias de seguridad
• Protección contra malware
• Registro y monitorización

A13 – Seguridad de las comunicaciones

Protección de redes y flujos de información:

• Segmentación de redes
• Seguridad en servicios de red
• Intercambio seguro de información
• Protección de datos en tránsito

A14 – Adquisición, desarrollo y mantenimiento de sistemas

Seguridad integrada en el ciclo de vida del software:

• Requisitos de seguridad desde el diseño
• Desarrollo seguro
• Pruebas
• Gestión de vulnerabilidades
• Seguridad en entornos de desarrollo y producción

A15 – Relaciones con proveedores

Gestión del riesgo asociado a terceros:

• Requisitos contractuales de seguridad
• Evaluación de proveedores
• Monitorización continua
• Gestión de accesos de terceros

A16 – Gestión de incidentes de seguridad de la información

Respuesta estructurada ante incidentes:

• Notificación
• Clasificación
• Análisis
• Respuesta
• Lecciones aprendidas

Incluye:

• Evidencias
• Cadena de custodia
• Coordinación con equipos legales y regulatorios

A17 – Continuidad del negocio

Protección de la información durante interrupciones:

• Integración con BCP y DRP
• Análisis de impacto en el negocio (BIA)
• Planes de continuidad
• Pruebas periódicas

A18 – Cumplimiento

Asegura el alineamiento con:

• Requisitos legales
• Normativa sectorial
• Obligaciones contractuales
• Auditorías internas y externas

SGI / SGSI y ISO/IEC 27002

Dentro de un SGI o SGSI, ISO/IEC 27002 se utiliza como:

• Catálogo base de controles
• Referencia para evaluaciones de riesgo
• Guía para planes de tratamiento de riesgos
• Soporte para auditorías y revisiones

Beneficios clave:

• Enfoque sistemático y repetible
• Alineación con estándares internacionales
• Mejora continua de la postura de seguridad

Controles criptográficos (expansión)

La norma refuerza la criptografía como control transversal:

• Protección de datos personales
• Seguridad en comunicaciones
• Autenticación fuerte
• Firma digital

Buenas prácticas destacadas:

• Algoritmos robustos y actualizados
• Rotación y revocación de claves
• Separación de entornos
• Uso de módulos seguros (HSM)

Recursos y referencias

• ISO/IEC 27002 - Wikipedia, la enciclopedia libre
• ¿Qué es la norma ISO 27002 y para qué sirve? - GlobalSuite Solutions
• ISO 27002 punto a punto - A5 Políticas de Seguridad de la Información

IEC 27002 – Conceptos Avanzados y Temas Complementarios

Cambios clave en ISO/IEC 27002:2022

La revisión 2022 introduce un cambio estructural profundo respecto a versiones anteriores:

• Reducción y consolidación de controles
• Enfoque más orientado a resultados
• Alineación con entornos digitales, cloud y ágiles

Aspectos diferenciales:

• De 114 controles a 93 controles consolidados
• Estructura basada en 4 grandes temas
• Inclusión de atributos de control para clasificación avanzada

Nueva estructura de dominios (2022)

Los controles se agrupan en cuatro bloques principales:

• Organizativos
• Personas
• Físicos
• Tecnológicos

Esta estructura facilita:

• Lectura ejecutiva
• Implementación modular
• Mapeo con otros frameworks

Atributos de control

Cada control incluye atributos que permiten clasificarlo sin duplicarlo:

• Tipo de control
• Propiedad de seguridad
• Concepto de ciberseguridad
• Capacidad operativa
• Dominio de seguridad

Uso práctico de atributos:

• Filtrado de controles por objetivo
• Construcción de matrices de control
• Automatización en herramientas GRC

Tipos de control

Los controles se clasifican según su propósito:

• Preventivos
• Detectivos
• Correctivos

Esta clasificación ayuda a:

• Diseñar defensas en profundidad
• Identificar carencias (por ejemplo, exceso de controles preventivos sin detección)

Propiedades de seguridad

Cada control impacta una o varias propiedades:

• Confidencialidad
• Integridad
• Disponibilidad

Aplicación práctica:

• Relación directa con resultados del análisis de riesgos
• Priorización según impacto al negocio

Conceptos de ciberseguridad asociados

Los controles se alinean con funciones clásicas:

• Identificar
• Proteger
• Detectar
• Responder
• Recuperar

Esto facilita:

• Mapeo con NIST CSF
• Integración con marcos de ciberresiliencia

Capacidades operativas

Los controles contribuyen a capacidades como:

• Gobierno
• Gestión de activos
• Protección de la información
• Resiliencia
• Aseguramiento

Permite evaluar:

• Madurez organizativa
• Dependencias entre controles

Implementación basada en riesgos

ISO/IEC 27002 no exige aplicar todos los controles:

• La selección depende del contexto
• Se basa en análisis y tratamiento de riesgos

Buenas prácticas:

• Justificar cada control en la SoA
• Ajustar profundidad y alcance
• Evitar implementaciones “checklist”

Integración con análisis de riesgos

Relación directa con:

• Identificación de amenazas
• Vulnerabilidades
• Impactos

Flujo recomendado:

• Riesgo identificado
• Control aplicable
• Control implementado
• Métrica de eficacia

Medición de eficacia de controles

La norma impulsa medir si los controles funcionan:

• Indicadores clave (KPI)
• Indicadores de riesgo (KRI)

Ejemplos:

• Porcentaje de sistemas con cifrado activo
• Tiempo medio de revocación de accesos
• Incidentes detectados vs no detectados

Madurez de controles

No basta con tener el control definido:

• Inicial
• Repetible
• Definido
• Gestionado
• Optimizado

Aplicación:

• Roadmaps de mejora
• Auditorías internas
• Benchmarking

Relación con entornos cloud

ISO/IEC 27002 es aplicable a:

• IaaS
• PaaS
• SaaS

Aspectos clave:

• Responsabilidad compartida
• Gestión de identidades
• Cifrado gestionado por el cliente
• Monitorización continua

Relacionable con:

• ISO/IEC 27017
• ISO/IEC 27018

Zero Trust y 27002

La norma soporta principios Zero Trust:

• Verificar explícitamente
• Acceso mínimo
• Asumir brecha

Controles relevantes:

• Gestión de identidades
• Segmentación
• Monitorización
• Registro de eventos

Automatización y GRC

ISO/IEC 27002 es base para:

• Plataformas GRC
• Automatización de evidencias
• Auditoría continua

Beneficios:

• Reducción de carga manual
• Trazabilidad completa
• Mejora de consistencia

Mapeo con otros marcos

ISO/IEC 27002 se puede mapear con:

• IEC 27002
• NIST CSF
• COBIT
• CIS Controls

Uso habitual:

• Entornos regulados
• Organizaciones multinorma
• Auditorías cruzadas

Uso en auditorías

Rol en auditorías:

• Guía para verificar controles
• Evidencia de buenas prácticas
• Base para observaciones y no conformidades

No se audita directamente, pero:

• Sustenta la evaluación del SGSI
• Apoya la interpretación de requisitos

Evolución futura

Tendencias cubiertas implícitamente:

• Seguridad en IA
• Automatización de controles
• Integración con DevSecOps
• Gestión continua del riesgo

ISO/IEC 27002 se consolida como:

• Marco flexible
• Orientado a negocio
• Adaptable a cambios tecnológicos

ISO/IEC 27002 – Recursos 2025-2026 y Estado Actual

Normativas y ediciones oficiales

ISO/IEC 27002:2022 – Edición vigente

• Norma internacional actual de controles de seguridad de la información publicada en 2022 y vigente en 2025-2026. Proporciona orientación detallada sobre cómo implementar controles dentro de un SGI/SGSI.
• ISO/IEC 27002:2022 – Information security controls

Otros estándares de la familia 27000 relacionados

• ISO/IEC 27005:2022 – Gestión de riesgos de seguridad de la información
  • Guía para gestionar riesgos de forma estructurada y apoyar un SGSI basado en riesgos.
  • ISO/IEC 27005:2022
• ISO/IEC 27011:2024 – Telecomunicaciones
  • Extiende ISO/IEC 27002 para el sector de telecomunicaciones (confidencialidad, integridad y disponibilidad).
  • ISO/IEC 27011:2024
• Normas y proyectos futuros de la familia ISO/IEC 27000
  • Evoluciones planificadas y revisiones continuas (27006-1, 27035-1, entre otras) dentro de los ciclos normales de ISO para 2025-2026.
  • ISO/IEC JTC 1/SC 27 – Information security, cybersecurity and privacy protection

Guías, análisis y mejores prácticas accesibles en 2025

Artículos y guías actualizadas

• Guía práctica ISO/IEC 27002:2022 – análisis de cambios y nuevos controles introducidos respecto a ediciones previas, con enfoque práctico de implementación.
  • A guide to the updated ISO/IEC 27002:2022 standard – Part 1 (ISACA)
• Continuación de la guía (Parte 2) – análisis detallado de controles adicionales y su aplicación.
  • A guide to the updated ISO/IEC 27002:2022 standard – Part 2 (ISACA)

Recursos de apoyo y activos complementarios

Boletines y plantillas

• Portales especializados como iso27000.es ofrecen:
  • Explicaciones de controles
  • Listas de verificación
  • Modelos de SoA
  • Material de apoyo en español
• ISO/IEC 27002 – Recursos y guías

Prácticas del sector y artículos aplicados

• Artículos de consultoras y certificadoras describen buenas prácticas de implementación, tales como:
  • Asignación clara de responsables
  • Definición de métricas de eficacia
  • Integración con mejora continua del SGSI
• ISO/IEC 27002 Best Practices for Implementing ISO/IEC 27001

Derechos, acceso y cómo obtener las normas

• La versión oficial completa de ISO/IEC 27002:
  • No es gratuita
  • Está protegida por derechos de autor
  • Solo puede adquirirse a través de ISO o de organismos nacionales de normalización
• ISO Store – ISO/IEC 27002

Herramientas, formación y aprendizajes relevantes en 2025

Formación y cursos

• Recursos formativos utilizados en 2025-2026 para comprender y aplicar ISO/IEC 27001/27002:
  • Cursos online de implementación de SGSI
  • Webinars técnicos y de auditoría
  • Material formativo de consultoras especializadas
• Ejemplo:
  • FutureLearn – Implementing ISO/IEC 27001

Comunidades y discusiones en línea

• Comunidades técnicas comparten experiencias reales de:
  • Auditorías
  • Preparación de SoA
  • Interpretación de controles
  • Relación entre riesgos y controles
• Reddit – r/ISO27001

Recursos comparativos y marcos asociados

Marcos y estándares complementarios

• Standard of Good Practice for Information Security (SOGP):
  • Marco complementario alineable con ISO/IEC 27002
  • Actualizado de forma continua hacia 2025-2026
• Standard of Good Practice for Information Security

Notas de evolución del estándar

• La edición 2022 simplifica la estructura de controles:
  • De 14 dominios a 4 temas principales
  • Mayor enfoque en resultados y atributos de control
• ISO/IEC 27002 changes explained (BSI)
• Se incorporan controles modernos relacionados con:
  • Cloud
  • Inteligencia de amenazas
  • Monitorización continua
• New controls in ISO/IEC 27002:2022

Enlaces útiles

• ISO/IEC 27002:2022 – Controles de seguridad de la información
• ISO/IEC 27005:2022 – Gestión de riesgos
• ISO/IEC 27011:2024 – Telecomunicaciones
• ISO27000.es – Recursos ISO/IEC 27002