ISO/IEC 27002 en humano

Controles de seguridad pensados para funcionar en organizaciones reales

La ISO/IEC 27002 no es una lista de obligaciones técnicas ni un checklist para auditores.
Es una guía de buenas prácticas que ayuda a decidir qué medidas de seguridad aplicar, por qué y en qué medida.

Bien entendida, la 27002 sirve para proteger la información sin bloquear la operativa.

¿Qué es la ISO 27002?

La ISO/IEC 27002 es la norma que describe los controles de seguridad de la información que pueden aplicarse dentro de un SGSI.

No dice qué tienes que hacer sí o sí, sino:

  • Qué controles existen

  • Qué problema ayudan a evitar

  • En qué contextos tienen sentido

¿Para qué sirve realmente?

Aplicada con criterio, la 27002 permite:

  • Traducir riesgos en medidas concretas

  • Elegir controles proporcionales al contexto

  • Evitar medidas innecesarias o sobredimensionadas

  • Dar coherencia a políticas, procedimientos y prácticas reales

  • Justificar decisiones ante auditorías

No es un catálogo para implantar todo,
es una caja de herramientas para decidir mejor.

Qué NO es la ISO 27002

Para evitar errores habituales, conviene dejar claro que la 27002:

  • ❌ No obliga a implantar todos los controles

  • ❌ No sustituye al análisis de riesgos

  • ❌ No es solo para grandes organizaciones

  • ❌ No es un documento técnico aislado

  • ❌ No garantiza seguridad por sí sola

La ISO 27002 como apoyo al análisis de riesgos

Los controles de la 27002 no se eligen al azar.

Su función es:

  • Responder a riesgos identificados

  • Reducir impacto o probabilidad

  • Proteger activos clave

  • Apoyar decisiones de negocio

Primero se entiende el riesgo.
Después se decide qué control encaja.

Cómo aplicar la 27002 sin burocracia

Una aplicación práctica implica:

  • Seleccionar solo controles necesarios

  • Adaptarlos a la realidad operativa

  • Documentarlos de forma clara

  • Integrarlos en procesos existentes

  • Revisarlos con el tiempo

La clave no es cuántos controles tienes,
sino cuáles y cómo funcionan.

Documentar controles: lo útil frente a lo decorativo

Aporta valor cuando:

  • Se explica qué se hace y por qué

  • Las personas saben cómo aplicar el control

  • Existe evidencia real

  • El control se revisa periódicamente

No aporta valor cuando:

  • Se copia el texto de la norma

  • Nadie conoce el procedimiento

  • No se aplica en la práctica

  • Solo sirve para “pasar auditoría”

Mi enfoque con la ISO 27001

Trabajo la 27002 como una herramienta de decisión, no como una imposición normativa.

Me centro en:

  • Entender el contexto real de la organización

  • Traducir riesgos en controles comprensibles

  • Ajustar el nivel de exigencia

  • Evitar controles innecesarios

  • Asegurar que los controles se mantienen en el tiempo

En resumen

Un buen uso de la ISO 27002 no consiste en aplicar más controles,
sino en aplicar los controles adecuados de la forma adecuada.

Si quieres revisar qué controles de la 27002 tienen sentido en tu organización y cómo aplicarlos sin complicarte, hablamos.
Contacto
Scroll al inicio