06 septiembre 2007

Diferencias entre ISO 27001 e ISO 27002

En muchos casos, tanto entre los profanos como entre los entendidos, es habitual escuchar hablar de ISO 27001 e ISO 27002 (ex-ISO 17799) como de dos normas equivalentes. En el primer caso no me parece grave, y es incluso previsible, pero creo que las personas más expertas deberían hablar con más propiedad, sobre todo teniendo en cuenta los problemas que puede ocasionar la confusión de ambas normas. Porque, aunque puede que alguien se escandalice al oirlo, ambas normas son MUY distintas.

Cuando hablo de las diferencias entre ellas no me refiero sencillamente al hecho de que una (27002) sea un código de buenas prácticas y la otra (27001) una especificación, sino a la filosofía y alcance que tienen una y otra.

La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer para mejorar la seguridad de la información. Expone, en distintos campos, una serie de apartados a tratar en relación a la seguridad, Los objetivos de seguridad a perseguir, una serie de consideraciones(controles) a tener en cuanta para cada objetivo y un conjunto de "sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya indica que no existe ningún tipo de priorización entre controles, y que las "sugerencias" que realiza no tienen por qué ser ni siquiera convenientes, en función del caso en cuestión.

Por su parte, y no nos olvidemos de ello, la ISO 27001 habla de los controles de forma residual. El núcleo de la norma anterior queda reducido a un listado de objetivos de control y controles incluidos en un anexo (normativo, pero anexo). No aparecen en el cuerpo de la norma, porque en absoluto son la parte más importante. Porque lo que importa en esta norma es la gestión de la seguridad, en forma de SISTEMA DE GESTIÓN. Desde mi punto de vista, los controles forman parte del anexo más por "compasión" que por necesidad. Lo que importa en la ISO 27001 es que los riesgos se analicen y se gestionen, que la seguridad se planifique, se implemente y, sobre todo, se revise y se corrija y mejore. Pero claro, a la hora de la verdad no se "atrevieron" a dejar totalmente abierto, sin ningún tipo de guía ni mínimo, el modo de implementar o mejorar la seguridad de la información, y por eso establecieron, aprovechando la norma anterior, un listado de controles sobre los que seleccionar los más apropiados. Para facilitar la gestión de riesgos tanto al implementador como al auditor, ya que la norma anterior (27002) sólo establecía sugerencias, pero no requisitos. Al menos, eso creo yo.

Por qué intento dejar claras las diferencias entre una y otra norma? Porque en muchos casos a la hora de pensar en implementar un SGSI la gente piensa rápidamente en ponerse a "cumplir" los 133 controles del anexo, y tratar de cumplir con todas las "sugerencias" que da la ISO 27002 para cada control. Y se olvidan de que el objetivo de la ISO 27001, que es la norma que define cómo tiene que ser un SGSI, es precisamente el CONTRARIO: que la empresa sea capaz de priorizar y seleccionar controles en base a sus posibilidades y a sus necesidades/riesgos de seguridad.

Qué quiero decir con esto? Que es mucho más importante asegurar el respaldo de la dirección, el establecimiento de una metodología efectiva de mejora continua o la existencia de un comité de seguridad que el cumplimiento exhaustivo y la trazabilidad del control x.y.z en no-sé-qué entorno de producción. Con la ventaja adicional de que probablemente sea más barato conseguir lo primero que lo segundo (si es más fácil o más difícil ya entra en el pantanoso terreno de la cultura empresarial... ). Qué pensais vosotros?

18 comentarios:

Javier Cao Avellaneda dijo...

Opino que si y que no. Evidentemente el mayor beneficio de la norma ISO 27001 es el potente marco de gestión para ir mitigando los riesgos en orden, alineando a la seguridad con las necesidades del negocio PERO como todos sabemos que la seguridad no es absoluta y se suele trabajar con un conjunto de mínimos, no está mal que en la revisión de esa gestión, se verifique el cumplimiento de unos controles necesarios para realmente disponer en la empresa de seguridad y no de la falsa creencia o sensación de que la seguridad existe porque está definida.
Es cierto que de no haberla, deben aparecer incidencias, no conformidades o contingencias pero al menos, dentro del alcance, que se tenga claro lo que debe funcionar aunque así no sea. Por eso me parece tan razonable que se especifique la versión de la declaración de aplicabilidad dentro del alcance.

Joseba Enjuto dijo...

Quizas no me he explicado bien, así que voy a intentar aclararlo un poco.

La ISO 27002 detalla los controles (mínimos) indicando la implementación máxima (mejores prácticas) de cada uno. Eso es un peligro si se usa como guía de implementación, ya que vas a ir a por una seguridad "tipo NASA", por decirlo de algún modo. Y probablemente los requisitos de seguridad de una empresa media sean menores.

Y mi crítica a la implementación de un SGSI es que se presta más atención a los controles que al propio sistema de gestión, cuando debería ser al reves. No obstante, estoy totalmente de acuerdo en que se deben identificar los mínimos de seguridad que están implementados, y por tanto un SoA (que a poder ser indique la "intensidad" de cada control me parece totalmente necesario.

Javier Cao Avellaneda dijo...

Aclarado este aspecto, estamos de acuerdo. La potencia del SGSI la va dando la madurez alcanzada en cada ciclo del sistema de gestión y lo que la organización vaya aprendiendo. Como mínimo, debe servirle para ajustar las estimaciones de impacto y frecuencia, la robustez de los controles, el cumplimiento de objetivos para pasar a otros más ambiciosos, el reto de reducir nuevos riesgos, etc...

Anónimo dijo...

Muy de acuerdo con lo que dices, Joseba. Constato una y otra vez en cursos de implantación y de auditoría de ISO 27001 cómo hay gran interés siempre en ponerse a implementar los 133 controles como objetivo principal del SGSI. Cuesta hacer comprender que lo fundamental es que la organización tenga bien evaluados sus riesgos y sea consciente de las prioridades, y que los controles se podrán o no implantar, en mayor o menor grado, dependiendo de circunstancias financieras, organizativas, de recursos humanos, de cultura empresarial, de aversión o tolerancia al riesgo o de cualquier otra índole. ISO 27001 no es un modelo rígido o una receta que si no se aplica de una determinada forma no tiene validez. Es un marco que permite gestionar y mejorar de forma continua la seguridad de la información, adaptándose a la realidad de la organización y basándose en todo momento en una buena evaluación de los riesgos.

El enfoque a controles viene dado en buena parte porque, en la práctica, no se cumple con uno de los requisitos básicos de la norma: la implicación de la dirección. Con la visión más global y gerencial que puede aportar la dirección, se cumpliría más con el espíritu de la norma de ser una herramienta de gestión. Pero, casi siempre, todo el proceso queda en manos de técnicos, que se sienten -nos sentimos- más cómodos con soluciones concretas y palpables como los controles, que con marcos más abiertos y flexibles.

Eso sí, en organizaciones con una baja madurez en seguridad de la información, puede ser muy útil el aprovechar esta tendencia natural de los técnicos para llegar a esos mínimos que mencionáis. No es necesaria siquiera una evaluación de riesgos -con todo el esfuerzo que implica- para seleccionar un subconjunto de controles básicos imprescindibles. Una vez implantados, la organización se encontrará en un nivel más apropiado para abordar ISO 27001 en toda su extensión.

Joseba Enjuto dijo...

Gracias por el comentario. Me parece muy buena puntualización la de señalar la posibilidad de comenzar con una implementación de controles en las organizaciones de baja madurez. Efectivamente, es un comienzo perfecto para todo aquél que quiera adentrarse en la gestión de la seguridad, siguiendo el modelo "clásico" (sin desarrollar un SGSI) de implementación basado en 27002 (17799)

Matías Silvero dijo...

Saludos a todos los lectores del blog.
Me gustaría saber qué opinan del grado de publicación que debería tener en particular la documentación de un SGSI. Revisando la siguiente http://www.iso27000.es/doc_sgsi_all.htm documentación que creo puede ser útil me surge la siguiente duda:
De ser la mencionada la documentación necesaria para un SGSI. El manual de seguirdad (Documentación Nivel 1) incluiría por ej los controles de ISO 27002? O se refiere a los objetivos de control como por ejemplo: La gerencia debe aprobar un documento de política, este se debe publicar y comunicar a todos los empleados y entidades externas relevantes.
Desde ya muchas gracias por su tiempo.

Anónimo dijo...

Que gran verdad, la verdad es que leyendo esto me he sentido completamente identificado, no puedo estar más de acuerdo, no debemos olvidar que la norma ISO 27001 lo que hace es dar las pautas para un SGSI (Sistema de gestión de seguridad de la información) de acuerdo al Plan, Do, Check, Act, es decir, basado en la mejora continua. Los controles de 27002 no son más que unas buenas prácticas, no de obligatorio cumplimiento, ni siquiera de mínimos, inclusive la norma alude a la posibilidad (remota) de incluir controles no establecidos en la norma.

Saludos

Unknown dijo...

Hola gente muy bueno la explicacion y los comentarios quisiera saber si alguno ya implemento estas normas, y si me harían el favor de decirme como se realiza el informe de la implementación. me sería de gran ayuda para el trabajo que estoy realizando. Muchisimas gracias

Joseba Enjuto dijo...

Buenas tardes,

Ejemplos de implementación cada vez hay más a lo largo del globo. Basta con echar un vistazo a la cantidad de empresas certificadas en ISO 27001... y cada una es un ejemplo válido. Cada maestrillo tiene su librillo, como se suele decir, y no hay una referencia única. No obstante, elementos clásicos de un SGSI suelen ser las Políticas de Seguridad, que describen los controles aplicados en la organización, y los Manuales de Gestión, que describen el sistema de gestión. En cuanto al "informe de implementación" un buen modelo puede ser la propia Declaración de Aplicabilidad, ya que de ese modo matas dos pájaros de un tiro, puesto que es un documento exigido por el estándar.

Anónimo dijo...

Disculpe si me podria decir para que sirve y donde se imlementa la iso/iec 27002

Joseba Enjuto dijo...

La ISO 27002 es una guía de buenas prácticas para la implantación de medidas de seguridad de la información. Como tal, sirve como recopilatorio de buenos ejemplos para la implantación de medidas de seguridad, y se suele utilizar como guía a la hora de implantar medidas de seguridad tras un análisis de riesgos.

En cuanto a dónde se implementa... Te diría que casi en cualquier parte. Los controles están organizados por ámbitos, y que se pueden orientar a áreas de RRHH, de seguridad física, de compras o de TI, pero si los valoras en conjunto o te centras en un ámbito determinado su aplicación es transversal a una organización. Al fin y al cabo, son de aplicación en cualquier organización preocupada por la seguridad de la información.

Anónimo dijo...

que tema de tesis podria sacar de este tema, me parece demasiado interesante este tema

Anónimo dijo...

pene

Anónimo dijo...

Me gustaria que publicaras ejemplos de empresas que han implementado la norma ISO 27002, esto como referencia de la importancia de su uso.

Anónimo dijo...

y que diferencia hay entre iso27000 e iso27001

nadeemkhan8 dijo...

it will be good for us.

stevenjocb dijo...

La serie de normas ISO 27000 es una compilación de normas internacionales relacionadas con la seguridad de la información. La diferencia es que la norma ISO 27001 tiene un enfoque organizativo y requisitos de requisitos contra los cuales se puede auditar el Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. La ISO 27002, por otro lado, está más enfocada en el individuo y proporciona un código de práctica para el uso de individuos dentro de una organización. Si los comparas, verás que están estructurados de manera similar y que se asignan entre sí.

La diferencia está en el nivel de detalle, ISO 27002 explica un control en una página entera, mientras que ISO 27001 dedica solo una frase a cada control. o mantenimiento de los Sistemas de Gestión de Seguridad de la Información (SGSI). Considerando que ISO 27001 define los requisitos de auditoría. Puede seguir https://laseguridad.online/questions/4444/cual-es-la-diferencia-entre-iso-27001-e-iso-27002 donde también puede encontrar el contenido valioso.

Anónimo dijo...

en que se parecen o que similitudes tienen las dos ISO (27001 y 27002)???