ISO 27002. Las medidas de seguridad de un sistema de gestión de seguridad de la información

Un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO 27001, es el medio más adecuado para gestionar los riesgos en esa materia, al asegurar que se identifican y valoran los activos, sus amenazas y vulnerabilidades, considerando el impacto para la organización, y que se adoptan las medidas de seguridad más coherentes con la estrategia de negocio.

Las medidas de seguridad o controles que minimizan el riesgo se recogen en el “Anexo A. Objetivos de control y controles de referencia” de la norma ISO 27001:2013.

Los objetivos de control y los controles se detallan en la norma ISO 27002:2013 y este anexo se va a utilizar en el contexto de la cláusula “6.1.3. Tratamiento de riesgos de la seguridad de la información”.

Respecto a la norma ISO 27002:2005, el número de controles se reducen de 133 controles a 114 controles, los objetivos de control pasan a 35 y el número de dominios se amplía de 11 a 14. Algunos controles son idénticos o similares; algunos se fusionan; algunos se eliminan y algunos son nuevos.

Es importante destacar que la aplicabilidad de un control a una organización no debe cambiar, aunque éste se haya eliminado en el Anexo A. De acuerdo con la cláusula 6.1.3, la aplicabilidad de los controles se determina ahora sobre la base de tratamiento del riesgo. Si una organización para tratar un riesgo desea aislar un ordenador, tendrá que utilizar un control como el antiguo 11.6.2 independientemente de si se encuentra en el Anexo A o no.

Anexo A se mantiene como un “anexo normativo”. Ésto no se debe a que el Anexo A contenga requisitos normativos, sino porque es referencia de un requisito normativo, es decir, en este caso, las cláusulas 6.1.3 c) y d).