Saltar al contenido principal

ÚLTIMAS NOTICIAS

ARTÍCULOS RECIENTES

Publicado el 16 febrero 2023

ISO 27002: qué es, para qué sirve y su implementación

Un tema que ha adquirido interés y relevancia en los últimos años es la seguridad de la información (SI), debido, principalmente, al aumento de incidentes de seguridad en el mundo. Las certificaciones en ciberseguridad y otros procesos relacionados están siendo indispensables. La norma ISO/IEC 27002 es fundamental para garantizar tanto la continuidad como el mantenimiento de los procesos de seguridad, con base en los objetivos de la empresa en cuestión. Veamos qué es, cuáles son sus utilidades y cómo implementarla.

Definición de ISO/IEC 27002

La ISO/IEC 27002:2022 es un conjunto de directrices establecidas por la Organización Internacional de Normalización para ayudar a las empresas en el establecimiento y mejora de estándares de seguridad de la información, así como en las prácticas de gestión de la seguridad de la información.

Usualmente implementada junto con la norma ISO 27001, la ISO 27002 es un código que contiene sugerencias y no requisitos para una gestión eficaz del Sistema de Gestión de Seguridad de la Información (SGSI).

¿Para qué sirve la ISO/IEC 27002?

La ISO/IEC 27002 puede ser de utilidad en los siguientes campos:

  • Sensibilización sobre la seguridad de la información.
  • Mayor gestión de activos y datos sensibles.
  • Ofrecimiento de una perspectiva para la puesta en marcha de políticas de control.
  • Identificación y corrección de puntos débiles.
  • Limitación del riesgo de responsabilidad por la falta de un SGSI o especificación de políticas y métodos.
  • Procesos y mecanismos mejor diseñados y gestionados.
  • Disminución de costos a través de la prevención de fallas de seguridad de la información.

Considera que una empresa puede tener pérdidas financieras por falta de certificaciones en ciberseguridad así como de una auditoría en seguridad de la información eficiente.

La implementación de ISO/IEC 27002

Primero debes comprender que la ISO 27002 es una norma complementaria incluida en el Anexo A de ISO 27001. Recuerda que la norma ISO 27002 tuvo una actualización en el año 2022, en el que se contemplan controles más precisos para atender a las necesidades modernas de ciberseguridad y privacidad.

La diferencia entre ISO 27001 e ISO 27002 es que mientras la primera es el estándar para la gestión de seguridad de la información internacional, la segunda es una guía acerca de cómo se pueden implementar los controles de seguridad de la información.Aclarado lo anterior, los pasos para implementar un SGSI ISO 27001 son:

Inicia el proyecto

Establece un comité de alta dirección y gestión de proyectos para garantizar una comprensión integral de los objetivos, así como del contexto de la organización.

Define el SGSI

Incluye objetivo, alcance, límites, interferencias, dependencias, exclusiones y justificaciones.

Evalúa riesgos

Establece un marco de evaluación de riesgos, desarrolla un registro de activos con amenazas asociadas, analiza el riesgo y su impacto.

Gestiona riesgos

Determina cuál es la próxima acción y qué controles deben implementarse. Esto incluye la reducción del riesgo, la aceptación y la transferencia.

Capacita y sensibiliza

Educa a los empleados sobre el sistema de gestión, incluido su impacto en la seguridad y los procesos de la organización.

Prepárate para la auditoría

Realiza un análisis de deficiencias en el sistema y los procesos para determinar su conformidad con la norma ISO 27001. Aborda las acciones correctivas necesarias.

Auditoría de certificación

Un organismo de certificación independiente externo realizará la auditoría de certificación y determinará si tu organización cumple con la norma ISO 27001.

Mejora continua

Mide, vigila y revisa el sistema de gestión a través de un programa de auditoría interna efectivo para identificar áreas de mejora.

Las organizaciones deben implementar sistemas efectivos de seguridad de la información

Finalmente, resta comentar que, de acuerdo a la firma IDC, México obtuvo el primer lugar en intentos de ciberataque durante el primer semestre de 2022, con 85 mil millones, es decir, un incremento de 40 % anual. Por esta razón se espera que 55 % de las organizaciones invierta en seguridad en 2023. ¿Qué hará tu empresa?

CONSULTAR A UN EXPERTO

VER CURSOS

Artículos Relacionados

Normas ISO

Sistemas de Gestión Antisoborno ISO 37001: qué son y cuáles son los requisitos para su aplicación

Implementa una cultura antisoborno en la organización con la norma ISO 37001.

Leer Más
Auditoria y Consultoría

Competencias y habilidades que debe tener un auditor ISO 27001

La o el auditor interno son muy importantes en la organización, su papel es fundamental para validar, identificar y mejorar los procesos para su cumplimiento.

Leer Más
Capacitación

Grupo CYNTHUS, primera empresa en Latinoamérica en recibir el reconocimiento Titanium Partner de PECB

Grupo Cynthus, empresa mexicana que brinda formación profesional en Tecnologías de la Información, fue galardonada con el distintivo Titanium Partner otorgado por Professional Evaluation and Certification Board (PECB), organismo internacional de certificación, que brinda capacitación en una amplia gama de estándares y disciplinas globales.

Leer Más

¿CÓMO PODEMOS APOYARTE?
CUÉNTANOS MÁS

Nos agradará saber más de ti y de tus proyectos. Completa el siguiente formulario y muy pronto nos pondremos en contacto contigo.

CONTÁCTANOS

0
    0
    Tu carrito
    Your cart is emptyRegresar a compra
    Dirígete a la página de finalizar pedido.
    Continuar Comprando