Si se encontró con el ISO 27001 y el ISO 27002, probablemente haya notado que ISO 27002 es mucho más detallado, mucho más preciso, entonces, ¿cuál es el objetivo de ISO 27001?

En primer lugar, no puede certificarse bajo ISO 27002 porque no es un estándar de gestión, es decir; dicho estándar define cómo ejecutar un sistema y, en el caso de ISO 27001, define el sistema de gestión de la seguridad de la información (SGSI) por lo tanto, es posible lograr la certificación según ISO 27001.

Leer: Seguridad de la información: ¿una ventaja competitiva?

Este sistema de gestión significa que la seguridad de la información debe planificarse, implementarse, monitorearse, revisarse y mejorarse, que la administración tiene distintas responsabilidades,  los objetivos deben establecerse, medirse y revisarse y las auditorias internas deben llevarse a cabo, etc. Todos esos elementos están definidos en ISO 27001, pero no en ISO 27002.

Los controles en ISO 27002 reciben el mismo nombre que en el Anexo A de ISO 27001, por ejemplo, en el control ISO 27002 6.1.6 se llama Contacto con las autoridades, mientras que en ISO 27001 es A.6.1.6 Contacto con las autoridades. Pero la diferencia está en el nivel de detalle: en promedio, ISO 27002 explica un control en una página entera, mientras que ISO 27001 dedica solo una oración a cada control.

Finalmente, la diferencia es que ISO 27002 no hace una distinción entre los controles aplicables a una organización en particular, y los que no lo son. Por otro lado, ISO 27001 prescribe una evaluación de riesgos que debe realizarse para identificar, para cada control, si se requiere reducir los riesgos y, en caso afirmativo, hasta qué punto se debe aplicar.

Leer: Seguridad de la información: ¿una ventaja competitiva?

La pregunta es: ¿por qué es que esos dos estándares existen por separado, por qué no se han fusionado, reuniendo los aspectos positivos de ambos estándares? La respuesta es usabilidad: si fuera un estándar único, sería demasiado complejo y demasiado grande para su uso práctico.

Todos los estándares de la serie ISO 27000 están diseñados con un cierto enfoque: si desea construir los cimientos de la seguridad de la información en su organización y diseñar su marco, debe usar ISO 27001; si desea implementar controles, debe usar ISO 27002; si desea llevar a cabo una evaluación de riesgos y un tratamiento de riesgo, debe usar ISO 27005, etc.

Para concluir, se podría decir que sin los detalles provistos en ISO 27002, los controles definidos en el Anexo A de ISO 27001 no podrían ser implementados; sin embargo, sin el marco de gestión de ISO 27001, ISO 27002 seguiría siendo solo un esfuerzo aislado de algunos entusiastas de la seguridad de la información, sin la aceptación de la alta dirección y, por lo tanto, sin un impacto real en la organización.

 

© 2019 EQA México
Síganos en nuestras redes sociales: